ldap同步策略

这个问题非常典型，通常不是同步策略问题，而是由 “密码修改机制”​ 和 “认证缓存”​ 导致的。新用户认证通过、已修改密码用户认证失败，两者对比说明基础LDAP连接和配置是正常的。
根本原因分析
1. 新旧密码哈希算法不一致（最常见原因）
现象：用户在自助系统（如AD域控门户）修改密码后，新密码可能使用了新的加密算法（如从SHA-1升级为SHA-256），而华三设备配置的LDAP客户端可能仍然使用旧算法进行密码验证。
验证方法：查看LDAP服务器（如AD）的密码策略和哈希算法设置。
2. LDAP认证缓存机制
华三设备可能缓存了用户的旧密码哈希值，特别是当：
设备启用了本地认证缓存功能
使用了SSO或会话保持机制
缓存未及时刷新
3. 密码策略冲突
密码历史策略：LDAP服务器可能禁止使用最近N次用过的密码，而设备可能还在尝试旧密码的某种形式。
密码复杂度变更：新密码不符合设备端配置的密码策略（尽管LDAP服务器接受了）。
4. 用户属性变化
密码修改后，LDAP服务器上的用户对象属性可能发生了改变，如：
pwdLastSet时间戳更新
unicodePwd属性格式变化
userAccountControl状态位变更
解决方案（按优先级）
方案一：检查并调整华三设备LDAP配置
1. 验证LDAP服务器类型和加密设置
# 进入系统视图
system-view

# 查看当前LDAP方案配置
display ldap scheme [scheme-name]

# 检查关键参数
ldap scheme [scheme-name]
# 确保服务器类型正确（AD、OpenLDAP等）
server-type { microsoft | standard }

# 修改密码修改配置（如果有）
set-password enable
set-password-attribute unicodePwd # AD用unicodePwd

# 检查加密方式（尝试改为tls或starttls）
security-protocol { none | ssl | tls | starttls }

# 设置正确的用户属性和密码属性
user-parameters-attribute uid
login-attribute sAMAccountName # AD的用户登录名属性
2. 清除认证缓存
# 清除LDAP认证缓存
reset ldap cache [username username]

# 如果配置了本地用户缓存，也清除
reset local-user cache [username username]
3. 调整LDAP搜索参数
ldap scheme [scheme-name]
# 增加搜索深度和范围
search-base dn
search-scope { base-level | single-level | whole-subtree }

# 调整超时和重试
timers server-timeout 10
timers bind-timeout 5
方案二：在LDAP服务器端检查和调整
1. 检查AD域控的密码哈希策略
在AD服务器上执行：
# 查看密码策略
Get-ADDefaultDomainPasswordPolicy

# 查看用户密码属性（注意：不能直接读取密码）
Get-ADUser -Identity username -Properties PasswordLastSet, LockoutTime, BadPasswordCount
2. 重置用户密码并设置正确的加密方式
# 强制重置密码（使用可逆加密，仅测试用）
Set-ADAccountPassword -Identity username -Reset -NewPassword (ConvertTo-SecureString "NewPassword123!" -AsPlainText -Force)

# 或使用LDIF修改
dsmod user "CN=username,OU=Users,DC=domain,DC=com" -pwd "NewPassword123!"
3. 检查LDAP绑定账户权限
确保华三设备使用的LDAP绑定账户有足够的权限读取用户密码属性：
绑定账户需要在Domain Users组中
或具有Read all properties权限
方案三：在华三设备上调试和验证
1. 启用LDAP调试信息
# 开启调试（业务低峰期操作）
terminal monitor
terminal debugging
debugging ldap packet
debugging ldap event

# 执行一次失败的认证测试
# 然后查看调试输出
display debugging ldap
2. 使用LDAP测试工具验证
# 使用华三内置的LDAP测试功能
test-ldap scheme [scheme-name] username username password password

# 或者使用命令行测试连接
ldap test [scheme-name] username username
3. 检查认证日志
# 查看认证相关日志
display logbuffer | include LDAP
display logbuffer | include AAA
display logbuffer | include Authen

# 查看详细调试信息
display diagnostic-information | include -i ldap
具体配置示例（以AD为例）
! 1. 创建或修改LDAP方案
system-view
ldap scheme AD_SCHEME
server-type microsoft
server-address 192.168.1.10 # AD服务器IP
server-port 389
security-protocol starttls # 或使用tls/ssl
login-domain-name ***.*** # AD域名
login-attribute sAMAccountName
user-parameters-attribute uid
search-base DC=domain,DC=com
set-password enable
set-password-attribute unicodePwd
# 增加密码修改相关参数
modify-password enable
password-attribute unicodePwd
password-encoding { rsa | des | aes }
quit

! 2. 创建域并引用LDAP方案
domain domain_ldap
authentication ldap-scheme AD_SCHEME
authorization ldap-scheme AD_SCHEME
accounting ldap-scheme AD_SCHEME
quit

! 3. 配置AAA方案
aaa
domain domain_ldap
authentication-scheme ldap_auth
authentication-mode ldap
quit