如果在通过 Active Directory Server 进行认证时出现问题,并发现日志消息中有 LDAP 绑定未成功的消息,则很可能是 Active Directory Server 设置有错误,或是 Active Directory 用户帐户信息有错误。
当用户进行认证时,Fireware XTM 会发送两个绑定请求到 Active Directory Server:认证进程开始时和结束时各发送一个。 第一个绑定建立允许访问目录服务的许可。 第二个绑定验证目录中的用户认证信息。 如果第一个绑定失败,第二个绑定就不会发生。
如果在“认证服务器”对话框的“搜索用户的 DN”和“搜索用户的密码”字段中添加了凭据,Fireware XTM 会使用这些凭据进行第一次绑定,来建立访问目录服务的许可。 这些文本框是可选的。
如果这些字段为空,Fireware XTM 将用该用户名称的用户主体名称 (UPN) 形式发送第一个绑定请求,这种形式通常与该用户的电子邮件地址相同。 为了构成用户的 UPN,Fireware 会将以下值组成一个字符串:
例如,如果“搜索库”为 OU=salespeople,OU=corp,OU=seattle,DC=seattle,DC=mywatchguard,DC=com,并且用户尝试对用户名 bsmith 进行认证,那么 Fireware XTM 就会以用户名 bsmith@seattle.mywatchguard.com 尝试进行第一次绑定。
如果“搜索库”字段中包含值,则 Fireware XTM 就会用这些值来进行第一次绑定。 要成功绑定,“搜索用户的 DN”字段中必须显示出正确完整的可分辨名称 (DN) 或搜索用户 UPN。 如果该值不完整或不正确,则绑定请求失败,您将会在日志文件中看到消息 LDAP 绑定未成功。
如果您遇到这种错误,请查看 Active Directory Server 设置,并确保已正确配置“搜索库”和“搜索用户的 DN”字段。
如果“搜索用户” 文本框为空:
如果“搜索用户” 文本框包含值:
有关详细信息和为 Active Directory Server 配置设置的具体步骤,请参阅“配置 Active Directory Authentication”。
当您在 Active Directory 中定义用户帐户设置时,可以指定用户能够登录的计算机(通过计算机名称指定)。 默认情况下对用户帐户没有此类限制。 如果您设置了此限制,则该用户帐户的 LDAP 绑定请求不会成功,即使从列表中的计算机发出请求也是如此,并且您会收到消息 LDAP 绑定未成功。
要解决这个问题,请将 Active Directory Server 的 netBIOS 名称添加到该用户帐户能够登录的计算机列表中。
这样并不会许可该用户从本地登录到域控制器上。 普通用户不允许从本地登录到域控制器上。