問題タブ [ldapconnection]

正常に動作する Python を使用して Active Directory サーバーにクエリを実行しようとしました。しかし、暗号化されていない資格情報をネットワーク上で送信したくないので、LDAP を使用したいと考えています。これを行う簡単な方法はありますか？これまでに見つけたのは、このオプションを追加する必要があるということだけでした:

しかし、実際には、CA証明書または正しい証明書を取得して、それを検証したくありません。確かに、セキュリティの観点から、通信パートナーが正しいことを確認する必要がありますが、内部ネットワークは気にせず、これをより簡単に処理したいと考えています。LDAP URL を ldap から ldaps に変更すると、次のエラーが発生します。

OPENLDAP LDAP で証明書ベースの認証を実行したいと考えています。

PKIを作成し、適切なキーストア、トラストストア/証明書、キーを使用してクライアントとサーバーをセットアップしました。また、SSL ハンドシェーク中に証明書を要求するように LDAP を構成します。

次に、次のように UnboudID LDAP で認証しようとしました。

接続をバインドするユーザーの DN は、次のものに対応します cn=12345,ou=anOrganizationUnit,o=anOrganization,dc=com,dc=example。証明書からの DN は次のようcn=12345,ou=...,o=...,l=Berlin,st=some-state,c=deに見えるため、LDAP で一致ルールも作成しました。

CA によって署名された証明書を取得するとすぐに、bindRequest は常に成功します。LDAP からの DN が LDAP 内の何にも対応しない場合、それは問題ではありません。匿名接続に変換されていると思います。ただし、既存のユーザーに該当する場合は、それも問題ありません。ユーザーは認証されておらず、ユーザーの権限にアクセスできません。私は WhoAmI リクエストを実行しようとしましたが、次のように返されました: authzId=dn:cn=12345,ou=anorganizationunit,o=anorganization,dc=com,dc=exampleこれは良いようです (大文字が小文字に変換されています)。

LDAP 構成で見逃したものはありますか? またはそれは私の証明書でしょうか？

どんな助けにも本当に感謝します:)

編集: それが役立つかどうかはわかりませんが、一致するルールを追加する前に、WhoAmI リクエストを実行したところ、結果は次のようになりました dn:cn\3D12345\2C...,o=organization,dc=com,dc=example。証明書の作成時に入力した共通名がエスケープされているようです (\3D は「=」、\2C は「,」)。

さて、パスワードの最小有効期間と履歴ポリシーが適用されているシナリオで、DirectoryEntry と LdapConnection を使用してパスワードをリセットしています。誰かがパスワードを忘れた場合、パスワード履歴に違反しないパスワードにパスワードをリセットできるようにしたいと考えています。別の解決策として、「SetPassword」を使用してパスワードを生成された値にリセットし、ユーザーが次回のログイン時にパスワードを変更するように強制することができます。これは、私たちのシナリオでは不可能です。そのため、 technet のこのブログ投稿をフォローし、パスワード履歴を尊重してパスワードをリセットするための LDap 拡張コントロールを試していました。簡単に言えば、同じパスワードに何度も何度も変更するだけで、文句はありません。私のコードは次のとおりです。

Password changer への呼び出しは、次のように囲まれています。

編集：

これは、ここで説明されているシナリオと関係があります

https://support.microsoft.com/en-us/kb/2386717/

RE 私のコメント re 「別の解決策として、「SetPassword」を使用してパスワードを生成された値にリセットし、ユーザーが次回のログイン時にパスワードを変更するように強制することができます。」

このシナリオでは、パスワード履歴と最低年齢制限 (24 時間) が有効になっているため、これを行うことはできません。したがって、ユーザー コンテキストで ChangePassword を使用し、管理コンテキストで SetPassword を使用することはできません (パスワード履歴を尊重しないため)。

c プログラムを使用して openLDAP サーバーに接続しようとしています。openLDAP クライアント ライブラリが見つかり、次のプログラムを実装しました。このLDAP サーバーとローカルの LDAP サーバーに接続しようとします。このコマンドを使用して、エラーなしでプログラムをコンパイルします

このコマンドを使用してプログラムを実行しようとしました

それからそれは言います

ldap_simple_bind_s: プロトコル エラー

私はグーグルで検索して、このようないくつかの答えを見つけました。彼らは、このエラーにはプロトコルバージョンのミスマッチ ei: LDAPv2 and LDAPv3 が含まれていると言いますが、この問題を解決する方法をうまく見つけることができませんでした

私たちは、Oracle Identity Management Server をセットアップしている別の会社と協力しています。これに接続し、サーバーから再試行された LDAP データに基づいてユーザーを認証します。

LdapConnection オブジェクトを使用してサーバー名とポートを渡し、それらが提供するネットワーク資格情報を使用してこれにプラグインしようとしたため、Basic の AuthType を使用しています。ただし、Bind() では、資格情報が無効であると表示されるため、常に失敗します。クライアントと協力してそれらが正しいことを確認し、資格証明を使用してOracle Identity Managementにログインできましたが、ユーザー名はSearchRequests識別名のデータを使用する必要がありました。しかし、それを使用しても、同じエラーを受け取り続けます。クライアントも認証情報を使用して Java 経由で接続しています。

これは本当に解決策がないと思う問題ですが、これを行う方法について何か考えがある人はいますか? Active Directory からプルして機能している同じコードが実行されています。したがって、Oracle がこの方法での接続をサポートしている限り、コードは問題ないはずです。しかし、このトピックに関して何かを見つけることは、歯を抜くようなものです.

誰でもこれを経験したことがありますか？必要に応じて追加の詳細情報を提供させていただきます。

前もって感謝します！

次のリンクに従って、仮想マシンに Active Directory サーバーをセットアップし、LDAP over SSL を有効にしました: https://support.microsoft.com/en-us/kb/321051

ldp.exe を使用して設定をテストしたところ、ポート 636 に接続でき、「SSL」チェックボックスがオンになっていました。次に、「SSL」チェックボックスのチェックを外し、ポート 636 への接続を再試行しました。ポート 636 は LDAP over SSL 用に予約されているため、接続が失敗すると予想していました。しかし、驚いたことに、接続はまだ続いていました。私は困惑しています。SSL なしでポート 636 を使用して Active Directory に接続できるのは正常ですか?

上記のコードを使用してアプリケーションで LDAP 接続をテストしたところ、IsSSL 変数が false の場合に接続できました。

Active Directory と C# を使用して認証しようとしています。コードは Visual Studio 15 の IIS Express で動作していますが、プロジェクトを IIS サーバーにデプロイすると、LDAP 接続で次のエラーが返されます。

「提供された資格情報は無効です」

私が使用しているコードは次のとおりです。

Visual Studio でデバッグするとすべて問題ありません。ユーザーが AD サーバーに存在することを確認して検証できますが、IIS サーバーではエラーが発生します。

アップデート

IIS サーバーでドメイン コントローラーを無効にすることで、この問題を修正しました。