Eu tenho uma boa ajuda no IRC, e agora posso ligar com:
ldapsearch -H ldap://raadc04.corp.MUNGED.com/ -x -D USERNAME_MUNGED@DOMAIN_MUNGED.com
-W sAMAccountName=MUNGED
Então eu mudei o parâmetro -D, e a pesquisa de uid para sAMAccountName.
Estou tentando adicionar um servidor Linux a uma rede controlada pelo AD. O objetivo é que os usuários do servidor possam se autenticar no domínio do AD. Eu tenho o Kerberos funcionando, mas o NSS / PAM é mais problemático. Eu estou tentando depurar com um comando simples como o seguinte, por favor, veja o erro. Alguém pode me ajudar a depurar?
root@antonyg04:~# ldapsearch -H ldap://raadc04.corp.MUNGED.com/ -x -D
"cn=MUNGED,ou=Users,dc=corp,dc=MUNGED,dc=com" -W uid=MUNGED
Enter LDAP Password:
ldap_bind: Invalid credentials (49)
additional info: 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext
error, data 525, vece
Precisei obter alguns detalhes, mas posso dizer que cn = MUNGED é meu nome de usuário para fazer login no domínio do AD, e a senha que eu digitei era a senha do domínio. Não sei por que diz "Credenciais inválidas" e o resto do erro é tão enigmático que não faço ideia.
A minha abordagem é de alguma forma falha? Meu DN está obviamente errado? Como posso confirmar o DN correto? Havia uma ferramenta on-line, mas não consigo encontrá-la.
NB Eu não tenho acesso ao AD Server para administração ou configuração.
Eu tenho uma boa ajuda no IRC, e agora posso ligar com:
ldapsearch -H ldap://raadc04.corp.MUNGED.com/ -x -D USERNAME_MUNGED@DOMAIN_MUNGED.com
-W sAMAccountName=MUNGED
Então eu mudei o parâmetro -D, e a pesquisa de uid para sAMAccountName.
Eu tenho documentado este processo aqui, há um tempo atrás, mas eu tenho alguns f / b positivos e isso funcionou bem com o Fedora recente.
Seu problema aqui é que seu nome de usuário e senha para usar as ferramentas ldap precisam ser um usuário vinculado para o AD e suas credenciais são insuficientes.
No entanto, eu suspeito que a principal coisa que você precisa é conseguir chaves e bind, para as quais você precisa ter uma conta de administrador. Ou seja, você precisa de um amigo no administrador.
Existem alguns modelos de autenticação ldap mais simples, mas o seu AD tem que concordar em falar com eles.