Precisa de ajuda para criar o servidor LDAP que sincroniza usuários de três controladores AD separados

Question

Precisa de ajuda para criar o servidor LDAP que sincroniza usuários de três controladores AD separados

#1 resposta do (0 votos)

1

Espero que eu possa obter alguma ajuda aqui, já que tenho batido minha cabeça contra o velho teclado aqui.

Então, aqui está a situação.

Recentemente, migramos usuários finais de um servidor do Exchange no local para Exchange Online e o cliente escolheu o Barracuda Cloud Archiving para a solução de arquivamento. Aqui é onde todo o problema começou. Barracuda nos disse que poderíamos nos autenticar contra os três DCs quando começamos o projeto porque estávamos sob a hipótese de que todos os três DCs estavam na mesma floresta.

Bem, Barracuda não foi capaz de se autenticar contra DCs porque eles estão em uma relação de confiança, não em uma floresta. E o Barracuda usa um plug-in do Outlook que requer que seu servidor seja autenticado em relação ao nosso servidor ldap para permitir o acesso à caixa de correio de Archive dos usuários finais.

Agora, o Barracuda só pode aceitar uma conexão LDAP para fazer a autenticação, por isso, ficamos com 2/3 de nossos usuários incapazes de autenticar.

Minha ideia como solução alternativa (além de reconstruir o domínio corretamente, que está nos planos, mas não é a prioridade mais alta ou temos o tempo e os recursos para migrar todos os dados do usuário para o DC principal atualmente) era construa um servidor Linux e use Autenticação OpenLDAP e SASL para uma passagem através da autenticação. aos DCs correlacionados.

Agora eu passei pelo menos 4 dias inteiros no trabalho tentando resolver isso, e não consigo fazer isso funcionar. Eu posso obter o testsaslauthd para executar com êxito, usando o seguinte comando e resultado.

testsaslauthd -u [email protected] -p password
0: OK "Success."

Mas quando eu executo um comando de pesquisa LDAP, aqui estão os resultados:

ldapsearch -x -H ldap://maindc.domain.com -b dc=domain,dc=com -d uid=test,ou=people,dc=my-domain,dc=com -w password

ldap_bind: Invalid credentials (49)
additional info: 80090308:  LdapErr: DSID-0C09042F, comment: AcceptSecurityContext error, data 52e, v2580

Então, minha esperança é que talvez alguém aqui possa me ajudar a corrigir esse erro, ou talvez fornecer uma maneira melhor de fazer o que estou tentando fazer. Eu sou apenas um Jr. System Admin, então leve para o leste, por favor.

Obrigado pela ajuda!

active-directory openldap sasl saslauthd

por thedelorean 25.07.2017 / 22:39

1 resposta

Tags active-directory openldap sasl saslauthd

Wildcards para nomes de ACL do Squid (aclname) Não é possível obter serviço upsmon começou a monitorar (e responder a) UPS remoto

score 0 · Answer 1

Vou postar isso como resposta para obter mais de 400 caracteres.

Acho que você pode ter me entendido mal no meu comentário. Na sua pergunta você disse que costumava seguir o comando: ldapsearch -x -H ldap://maindc.domain.com -b dc=domain,dc=com -d uid=test,ou=people,dc=my-domain,dc=com -w password

Como afirmei anteriormente, não estou familiarizado com o comando ldapsearch. Mas, suas mensagens de erro são: Invalid credentials (49)

Se eu olhar para a página de manual do ldapsearch aqui, https://linux.die.net/man/1/ldapsearch , vejo que -d é para definir um nível de depuração. E não sei ao certo o que uid=test,ou=people,dc=my-domain,dc=com corresponde.

O problema aqui é que você não especificou um nome de usuário para acessar o diretório ativo. Então, achei que você poderia ter mixado -d para -D .

É possível que você esteja substituindo -d uid=test,ou=people,dc=my-domain,dc=com por -D "[email protected]" ?

Mesmo se eu estiver interpretando parte do seu comando incorretamente, no mínimo, você precisa especificar um nome de usuário E uma senha ao se conectar ao diretório ativo. Então, você precisa usar -D e -W em seu comando de alguma forma.