и группами. некий сервис, ролевая модель которого завязана на группы в АД (при логине пользователя проверяется атрибут memberof и на основании членства назначаются права в сервисе). для сервиса создан своя непривилегированная учетка для подключения к АД. Все отрабатывает, юзеры логинятся.
продакшен среда: домен АД (домен 12R2, лес 2к8), такой же сервис, для него создана такая же непривилегированная учетка, запрос осуществляется, приходит ответ, содержащий не все атрибуты, т.е. именно memberof там нет, следовательно вся ролевая модель идет по пизде, юзеры не могут залогиниться.
сервис на линухе, под капотом делается запрос через ldapsearch и парсится его ответ. запрос, выполненный руками дает точно такие же результаты - на тестовом стенде memberof есть в ответе, на проде - нет. Сервисные учетки на тесте и проде сравнены по атрибутам (ObjectClass, PrimaryGroupID, SAMAccountType, UserAccessControl) - идентичны. Самое интересное - GUI тулза на проде при бинде через ту же сервисную учетку показывает наличие атрибута memberof!
Внимание, вопрос:
какого хуя? Куда копать?
@hitriy @omg_dead_elf ало, милорды знатоки
Ok. Solved it. The port that is used plays a role in what is returned. 3268 searches only the Global Cat. while 389 search is expanded. as soon as I switched ports to 389 all is good.
не, там на 389 порт запросы
Обсуждают сегодня