认证 > 解决 Active Directory Authentication 时的绑定错误

解决 Active Directory Authentication 时的绑定错误

如果在通过 Active Directory Server 进行认证时出现问题,并发现日志消息中有 LDAP 绑定未成功的消息,则很可能是 Active Directory Server 设置有错误,或是 Active Directory 用户帐户信息有错误。

Policy Manager Active Directory Authentication 服务器设置

当用户进行认证时,Fireware XTM 会发送两个绑定请求到 Active Directory Server:认证进程开始时和结束时各发送一个。 第一个绑定建立允许访问目录服务的许可。 第二个绑定验证目录中的用户认证信息。 如果第一个绑定失败,第二个绑定就不会发生。

如果在“认证服务器”对话框的“搜索用户的 DN”和“搜索用户的密码”字段中添加了凭据,Fireware XTM 会使用这些凭据进行第一次绑定,来建立访问目录服务的许可。 这些文本框是可选的。

如果这些字段为空,Fireware XTM 将用该用户名称的用户主体名称 (UPN) 形式发送第一个绑定请求,这种形式通常与该用户的电子邮件地址相同。 为了构成用户的 UPN,Fireware 会将以下值组成一个字符串:

例如,如果“搜索库”为 OU=salespeople,OU=corp,OU=seattle,DC=seattle,DC=mywatchguard,DC=com,并且用户尝试对用户名 bsmith 进行认证,那么 Fireware XTM 就会以用户名 bsmith@seattle.mywatchguard.com 尝试进行第一次绑定。

如果“搜索库”字段中包含值,则 Fireware XTM 就会用这些值来进行第一次绑定。 要成功绑定,“搜索用户的 DN”字段中必须显示出正确完整的可分辨名称 (DN) 或搜索用户 UPN。 如果该值不完整或不正确,则绑定请求失败,您将会在日志文件中看到消息 LDAP 绑定未成功

如果您遇到这种错误,请查看 Active Directory Server 设置,并确保已正确配置“搜索库”和“搜索用户的 DN”字段。

如果“搜索用户” 文本框为空:

如果“搜索用户” 文本框包含值:

有关详细信息和为 Active Directory Server 配置设置的具体步骤,请参阅“配置 Active Directory Authentication”。

Active Directory 用户帐户设置

当您在 Active Directory 中定义用户帐户设置时,可以指定用户能够登录的计算机(通过计算机名称指定)。 默认情况下对用户帐户没有此类限制。 如果您设置了此限制,则该用户帐户的 LDAP 绑定请求不会成功,即使从列表中的计算机发出请求也是如此,并且您会收到消息 LDAP 绑定未成功

要解决这个问题,请将 Active Directory Server 的 netBIOS 名称添加到该用户帐户能够登录的计算机列表中。

这样并不会许可该用户从本地登录到域控制器上。 普通用户不允许从本地登录到域控制器上。

提供反馈  •   获得支持  •   全部产品文件  •   知识库