我需要让我们的 freebsd 服务器通过 AD 进行身份验证,但这给我带来了问题。
环境:AD后端(Win 2k8r2)。这适用于通过 SSSD
FreeBSD 9.1 为客户端服务器进行身份验证的其他 linux 主机
我已经配置了我能想到的所有内容,我认为它是正确的,但是当我尝试使用 AD 帐户登录时,它失败了:
pam_ldap: error trying to bind as user "CN=testuser,CN=Users,DC=example,DC=com" (Invalid credentials)
所以我知道它正在通过初始绑定,因为它带回的 DN 是正确的并且来自 AD 服务器。当它然后尝试与该 DN 绑定时,它不能,这会导致身份验证失败。我已经使用 ldapsearch 在 AD 服务器上测试了测试用户的凭据,甚至将其设置为 ldap.conf 中的默认绑定 DN,它适用于所有测试。
我一生都无法弄清楚为什么初始绑定有效,但随后用户的绑定失败了。
作为参考,这是我的配置文件:
/usr/local/etc/ldap.conf
pam_login_attribute uid
base dc=example,dc=com
uri ldap://xxx.xxx.xxx.xxx/
ssl no
binddn CN=ro_user,CN=Users,DC=example,DC=com
bindpw somerandompw
/usr/local/etc/openldap/ldap.conf
pam_login_attribute uid
base dc=example,dc=com
uri ldap://xxx.xxx.xxx.xxx/
ssl no
/etc/pam.d/sshd
auth sufficient pam_opie.so no_warn no_fake_prompts
auth requisite pam_opieaccess.so no_warn allow_local
auth sufficient /usr/local/lib/pam_ldap.so no_warn debug …