Привёл как на картинке, только группу изменил. Ничего не изменилось:
Некорректная регистрационная информация
При этом AD чётко отвечает:
LDAP 88 bindResponse(1) success LDAP 165 searchResEntry(2) "<ROOT>" | searchResDone(2) success [1 result]
Отправлено 21 Август 2018 - 07:38
Привёл как на картинке, только группу изменил. Ничего не изменилось:
Некорректная регистрационная информация
При этом AD чётко отвечает:
LDAP 88 bindResponse(1) success LDAP 165 searchResEntry(2) "<ROOT>" | searchResDone(2) success [1 result]
Отправлено 21 Август 2018 - 11:18
Гляньте, что в логе drwcsd.log пишет.
Отправлено 21 Август 2018 - 13:55
Ничего не пишет.
Отправлено 21 Август 2018 - 14:12
Тогда надо сделать лог дебажным. --verbosity=ALL --rotate=30,100M
Отправлено 22 Август 2018 - 09:36
20180822.082155.53 tr1 [08440 08473] wwr:5 [Srv/Authentication] LDAP-4515: Module order is 20
20180822.082155.53 tr1 [08440 08473] wwr:5 [Srv/Authentication] LDAP-4515: Enable secure and insecure connections
20180822.082155.53 tr1 [08440 08473] wwr:5 [Srv/Authentication] LDAP-4515: Server is set to "domain.com" (SSL is OFF, TLS is OFF)
20180822.082155.53 tr1 [08440 08473] wwr:5 [Srv/Authentication] LDAP-4515: Search base is to "" with scope "sub-tree"
20180822.082155.53 tr1 [08440 08473] wwr:5 [Srv/Authentication] LDAP-4515: CA certificate file is ""
20180822.082155.53 tr1 [08440 08473] wwr:5 [Srv/Authentication] LDAP-4515: Base filter is "&(objectClass=user)(memberOf=\admingrp1)"
20180822.082155.53 tr1 [08440 08473] wwr:5 [Srv/Authentication] LDAP-4515: Total 1 variable defined
20180822.082155.53 tr1 [08440 08473] wwr:5 [Srv/Authentication] LDAP-4515: Variable "admingrp1" is search result of "dn" attribute in "" with filter "(&(objectClass=group)(cn=Domain Users))" and scope "sub-tree"
20180822.082155.53 tr1 [08440 08473] wwr:5 [Srv/Authentication] LDAP-4515: Total 1 user transformation defined
20180822.082155.53 tr1 [08440 08473] wwr:5 [Srv/Authentication] LDAP-4515: User "^domain\\(.*)$" specific filter "sAMAccountName=\1"
20180822.082155.53 db3 [08440 08473] wwr:5 [Srv/Authentication] LDAP-4515: Connecting to "domain.com" with login "domain\admin" (SSL OFF, TLS OFF)
20180822.082155.54 tr1 [08440 08473] wwr:5 [Srv/Authentication] LDAP-4515: Search base DN set to "DC=domain,DC=com"
20180822.082155.54 db3 [08440 08473] wwr:5 [Srv/Authentication] LDAP-4515: User "domain\admin" matched to "^domain\\(.*)$" produced "sAMAccountName=admin"
20180822.082155.54 db3 [08440 08473] wwr:5 [Srv/Authentication] LDAP-4515: Variable "admingrp1" set to "CN=Domain Users,CN=Users,DC=domain,DC=com"
20180822.082155.54 db3 [08440 08473] wwr:5 [Srv/Authentication] LDAP-4515: Replace variables in "(&(&(objectClass=user)(memberOf=\admingrp1))(sAMAccountName=admin))" produced "(&(&(objectClass=user)(memberOf=CN=Domain Users,CN=Users,DC=domain,DC=com))(sAMAccountName=admin))"
20180822.082155.54 db3 [08440 08473] wwr:5 [Srv/Authentication] LDAP-4515: Searching at "DC=domain,DC=com" with filter "(&(&(objectClass=user)(memberOf=CN=Domain Users,CN=Users,DC=domain,DC=com))(sAMAccountName=admin))" and scope "sub-tree"
20180822.082155.54 tr1 [08440 08473] wwr:5 [Srv/Authentication] LDAP-4515: Search "DC=domain,DC=com" with filter "(&(&(objectClass=user)(memberOf=CN=Domain Users,CN=Users,DC=domain,DC=com))(sAMAccountName=admin))" and scope "sub-tree" returned unexpected 0 replies
Отправлено 22 Август 2018 - 10:57
В memberOf данного пользователя есть 'Domain Users'?
Сообщение было изменено Kirill Polubelov: 22 Август 2018 - 10:57
Отправлено 22 Август 2018 - 12:02
Конечно:
Отправлено 22 Август 2018 - 12:54
А гляньте, пожалуйста, ещё вот этой утилиткой https://docs.microsoft.com/en-us/sysinternals/downloads/adexplorer
Отправлено 22 Август 2018 - 13:59
А что там смотреть: primaryGroupID=513
Отправлено 22 Август 2018 - 14:01
Как там memberOf отображён, для требуемого пользователя.
Отправлено 22 Август 2018 - 14:20
В любом случае спасибо! Уже проглядывается логика Dr.Web.
Сильно заморочились в этих настройках, нигде такого ещё не встречал для связки с LDAP.
Отправлено 22 Август 2018 - 15:20
Ну, для упрощенных настроек логика простая -- пользователь задает, в каких группах или комбинациях групп, состоит пользователь, которому разрешён вход. С PrimaryGroup странно, мне кажется я подобное наблюдал только с некоторыми встроенными (builtin) умолчательными группами, к которым, видимо, Domain Users тоже относится.
0 пользователей, 1 гостей, 0 скрытых