Question

概述

有两个域：domainA和domainB。我正在寻求进行配置，以便domainB的Web服务器可以利用另一个domainA中的AD服务帐户。

在domainB所在的环境中，我有一个Web服务器，该服务器需要回到domainA才能查询所有用户。 domainA帐户的所有者创建了一个服务帐户用户，该用户允许domainB查询用户群。我们已经确定该帐户在直接从domainB控制器到domainA控制器进行测试时可以工作。当我们尝试使用服务帐户用户从Web服务器运行ldapsearch时，我们遇到了一些问题：

[ec2-user@hostname ~]$ ldapsearch -x -LLL -h $domainB_ipAddress -D $service_account_username -w $ad_pwd -b "OU=xxxxx,DC=xxxxx,DC=xxxxx,DC=xxxxx" 

ldap_bind: Invalid credentials (49)
        additional info: 80090308: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 52e, v3839

注意：使用ldp.exe绑定已成功从domainB AD控制器向domainA AD控制器验证了该用户，因此我认为凭据是可以的。

我们当前的方法

根据我从我的团队收到的反馈，我们应该将服务帐户的请求从domainB Web服务器发送到domainB控制器，然后该信息将信息转发到受信任的domainA控制器并返回所需的信息返回到domainB Web服务器。

对于应该如何进行这种转发，我有些困惑，但是我们有一个要求，即我们不能从domainB的任何非AD服务器直接进入domainA控制器。

请求的反馈

假设应该将任何请求从domainB控制器转发到domainA控制器是否正确？如果是这样，那需要什么才能发生？
如果无法转发请求，我们需要怎么做才能将用户从受信任的domainA引入到domainB控制器中，以便服务帐户可以在其中引用他们？

Answer 1

此：

data 52e

Means：

ERROR_LOGON_FAILURE

1326（0x52E）

用户名或密码不正确。

您说该服务帐户来自domainA，但您正在连接到domainB。这仅在两个域之间至少存在单向信任的情况下有效：如果domainB信任domainA。根据您的描述，我认为情况并非如此。如果您连接到domainB，则需要使用domainB帐户进行身份验证。

唯一可以进行转发的方法就是信任。此术语是“引荐”。如果域之间存在信任关系，那么您可能会发生这种情况，例如，您尝试绑定到一个域中的用户而又连接到另一个域。服务器将返回“引荐”，告诉您连接到另一个域。

LDAP与受信任的Active Directory域集成

1 个答案: