LDAP身份驗證適用於DN，但不適用於CN的CN

Question

最近，我不得不與與host1和host2上的2個AD進行交互的應用程序進行交互。我發現在連接到1臺主機時ldap連接失敗。錯誤如下所示：

與'LDAP：// [host1]/RootDSE'的連接失敗。
System.DirectoryServices.DirectoryServicesCOMException（0x8007052E）：
登錄失敗：未知的用戶名或密碼錯誤。

爲了排除故障我安裝Apache目錄工具和不同的CN/DN的組合，我的意見是：

1. 連接與CN指向host1（在這種情況下，Administrator）時/ [密碼]，我獲取基本DN時得到以下錯誤：

   錯誤擷取基本DN
   [LDAP：錯誤C頌49 - 80090308：LdapErr：DSID-0C0903A9，註釋：AcceptSecurityContext錯誤，數據52E，v1db1

2. 連接與管理員和密碼相同的專有名稱指向host1的時候，我能夠成功地檢索基本DN

3. 當連接到主​​機2只有CN（Administrator再次）/，我可以成功檢索基準DN的列表。

所以我的問題是，有AD設置，我可以設置爲允許使用CN而不是完整的DN認證？

我完全不熟悉AD，所以如果在我的問題中有些東西可以提供給瀏覽類似問題的人更好，請讓我知道。謝謝。

Answer 1

什麼是host1和host2 - 他們是不同的域控制器（DC）爲同一個域還是他們爲不同的域？根據你的解釋，他們似乎是針對不同的域，如果是這樣的話，那麼host2只是擁有不同的管理員和不同的密碼。

直接回答你的問題。當且僅當給定CN是唯一的時，AD允許CN用於用戶登錄。所以沒有必要爲此做任何配置。

但是有很多其他的方法可以在AD中登錄。您可以使用用戶的sAMAccountName或userPrincipalName屬性，這些屬性包含用戶的用戶名。第一個包含DOMAIN\username的用戶名，其中DOMAIN是AD的NetBIOS域名（我不確定這是否是確切的術語，但我使用它是因爲缺乏更好的）。第二個屬性包含username@example.com形式的用戶名，其中example.com通常是AD的DNS域名（儘管它可能不同）。

因此，如果您要搜索比DN更短的東西，請使用上述之一。