我有一个 Active Directory 用户,并且可以使用以下命令通过 LDAP 搜索成功连接到它:
ldapsearch -x -H <AD_server> -D "cn=user_test,cn=users,dc=<dc1>,dc=<dc2>" -w <password> -b "cn=<dc1>,cn=<dc2>"
但是,当我在 AD 中设置“登录到”限制并指定特定的计算机名称时,遇到以下错误:
ldap_bind:无效凭证(49)
additional info: 80090308: LdapErr: DSID-0C090434, comment: AcceptSecurityContext error, data 52e, v4f7c
我已经按照以下步骤将我的 Linux 机器加入到 AD 域:
sudo apt install -y realmd libnss-sss libpam-sss sssd sssd-tools adcli samba-common-bin oddjob oddjob-mkhomedir packagekit
sudo hostnamectl set-hostname <hostname>.<domain_name>
echo 'nameserver <ldap_server_ip>' > /etc/resolv.conf
realm discover <domain_name>
realm --verbose join -U '<username>' <domain_name>
我通过使用领域列表和检查 AD UI 来验证计算机是否已加入域。
有人能帮我理解为什么“登录到”限制可能导致此身份验证问题,以及如何解决它吗?谢谢!
最佳答案
1
有人能帮助我理解为什么“登录到”限制可能会导致这个身份验证问题,以及我该如何解决它吗?
“登录到”仅适用于使用 LAN 上的特定 Windows 桌面工作站以交互方式登录的帐户,目的是使用 RPC在该工作站上运行特定应用程序。它不能用于需要使用 LDAP 通过网络登录的帐户,或无法在 RPC 上显示工作站名称的其他机制。
您需要找到另一个配置设置来完成目标,并且不知道是否与现有设置和配置不兼容。
工作站(又名“登录到”)属性已被弃用:
“不应再使用此用户属性。要管理哪些帐户可以登录到哪些工作站,我们建议使用“允许本地登录”和“拒绝本地登录”或“允许通过远程桌面服务登录”和“拒绝通过远程桌面服务登录”。
“去年我们曾多次评估过这个 BZ,我们认为它可能对某些人很有价值的功能,但该功能的受众非常小。 ”
|
|