我正在尝试将 FreeIPA 与 Active Directory 集成,以便按照本指南为 Windows 和 Linux 用户提供单点登录。
我已成功创建“winsync”协议并将 AD 数据加载到 FreeIPA,但我正在努力从指南的这一部分设置 Windows 密码同步。
当用户更改密码时,我在域控制器上的 389 PassSync 插件日志中看到以下内容:
06/17/16 08:47:32: Backoff time expired. Attempting sync
06/17/16 08:47:32: Password list has 1 entries
06/17/16 08:47:32: Attempting to sync password for some.user
06/17/16 08:47:32: Searching for (ntuserdomainid=some.user)
06/17/16 08:47:32: Ldap error in QueryUsername
34: Invalid DN syntax
06/17/16 08:47:32: Deferring password change for some.user
06/17/16 08:47:32: Backing off for 1024000ms
当我从 CLI 运行查询时,使用 PassSync 插件使用的相同用户和密码,它是成功的:
$ ldapsearch -x -h ldaps://localhost -p 636 -D 'uid=passsync,cn=sysaccounts,cn=etc,dc=dc,my=domain,dc=com' -w 'password' -b 'cn=users,cn=accounts,dc=my,dc=domain,dc=com' '(ntuserdomainid=some.user)'
谁能指出我做错了什么?