防火墙+LDAP
- 0关注
- 0收藏,49浏览
问题描述:
LDAP认证报错,这是配置
ldap server ldap1
login-dn vpnconnect,cn=Users,dc=bt,dc=com
search-base-dn dc=bt,dc=com
ip 172.20.1.4
login-password sim xxxx
user-parameters user-name-attribute samaccountname
#
ldap attribute-map test
map ldap-attribute memberof prefix cn= delimiter , aaa-attribute user-group
#
ldap scheme shml
authentication-server ldap1
authorization-server ldap1
attribute-map test
#
domain ***.***
authentication sslvpn ldap-scheme shml local
authorization sslvpn ldap-scheme shml local
accounting sslvpn local
#
组网及组网描述:
这是报错信息
LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Processing LDAP authentication.
*Apr 28 11:12:47:536 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Data of authentication request successfully sent.
*Apr 28 11:12:47:536 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Processing AAA request data.
*Apr 28 11:12:47:536 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:LDAP server is: 172.20.1.4.
*Apr 28 11:12:47:536 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Created new connection.
*Apr 28 11:12:47:537 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Current bind state is 0.
*Apr 28 11:12:47:537 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP[State]:State switch from init to binding admin.
*Apr 28 11:12:47:537 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Executing bind operation, DN is vpnconnect,cn=users,dc=bt,dc=com.
*Apr 28 11:12:47:538 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Performing binding operation as administrator.
*Apr 28 11:12:47:539 2026 XXHT_Office LDAP/7/ERROR: -COntext=6;
PAM_LDAP:Failed to get bind result.errno = 150
*Apr 28 11:12:47:539 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Delete socket.
*Apr 28 11:12:47:539 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Processing LDAP authentication.
*Apr 28 11:12:47:539 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Data of authentication reply successfully obtained, resultCode: 2.
*Apr 28 11:12:47:540 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Reply Socket received EPOLLERR/EPOLLHUP event.
1. 基础连通性验证
检查防火墙与LDAP服务器网络可达:ping 172.20.1.4
验证LDAP端口(默认389)连通:telnet 172.20.1.4 389
2. LDAP服务器绑定信息校验
修正login-dn格式:原配置vpnconnect,cn=Users,dc=bt,dc=com应为完整DN,如cn=vpnconnect,cn=Users,dc=bt,dc=com,执行命令:
ldap server ldap1
login-dn cn=vpnconnect,cn=Users,dc=bt,dc=com
临时改用明文密码验证(排除加密问题):
ldap server ldap1
undo login-password
login-password simple 明文密码
3. 属性映射与Scheme配置检查
确认用户memberOf属性格式匹配映射规则(需为cn=组名,xxx),查看LDAP服务器用户属性;
补全domain配置(原配置截断):
domain *.*
authentication-scheme shml
authorization-scheme shml
4. 认证测试与日志分析
执行测试命令:test-aaa 用户名 密码 ldap-scheme shml
查看失败日志:display aaa online-fail-record;查看LDAP统计:display ldap server ldap1 statistics
重要提醒:变更配置前先执行save备份当前配置。
您好,你现在的报错 就是绑定管理员失败,这样配置
ldap server ldap1
login-dn "vpnconnect,cn=Users,dc=bt,dc=com"
search-base-dn dc=bt,dc=com
ip 172.20.1.4
login-password simple xxxx # 把 sim 改成 simple
user-parameters user-name-attribute sAMAccountName
#
ldap attribute-map test
map ldap-attribute memberOf prefix cn= delimiter , aaa-attribute user-group
#
ldap scheme shml
authentication-server ldap1
authorization-server ldap1
attribute-map test
#
domain ***.***
authentication sslvpn ldap-scheme shml local
authorization sslvpn ldap-scheme shml local
accounting sslvpn local
#
暂无评论
根据你提供的报错信息和配置,问题根源已经锁定:你配置的 login-dn 格式不正确,导致防火墙无法用该管理账号与LDAP服务器(AD域)绑定认证。这也是日志中 PAM_LDAP:Failed to get bind result.errno = 150 错误的核心原因。
问题根因分析
login-dn格式错误:你的配置login-dn vpnconnect,cn=Users,dc=bt,dc=com中,DN(Distinguished Name)的路径不完整且格式不正确。在LDAP中,DN的每一级都需要用,分隔,并且最左侧是具体的对象。正确的写法应为cn=vpnconnect,cn=Users,dc=bt,dc=com,相当于提供了从对象到根路径的完整描述。没有“cn=”前缀导致路径不完整:你写的
vpnconnect,cn=Users...会被系统理解为对象就是vpnconnect,但缺少了表示其属性的标识。由于实际路径很可能是在CN=Users下的CN=vpnconnect,因此补齐前缀cn=即可完全指定该对象。PAM_LDAP:Reply Socket received EPOLLERR/EPOLLHUP是衍生错误:这个错误是因为防火墙在绑定阶段失败,LDAP服务器主动关闭了连接,它只是一个结果表现,而非根本原因。主要解决绑定问题即可。
针对性解决步骤
1. 修正「login-dn」格式(最可能解决)
这是最关键的步骤。根据你的报错,一个经典的案例是 login-dn 格式错误。正确的写法要求完整路径,例如 cn=vpnconnect,cn=Users,dc=bt,dc=com 或类似的常规格式。
你可以按以下步骤修正:
通过SSH或Console登录防火墙,进入系统视图。
进入LDAP服务器配置视图:
ldap server ldap1修正
login-dn:login-dn cn=vpnconnect,cn=Users,dc=bt,dc=com确认一下
search-base-dn是否正确。你当前的配置dc=bt,dc=com是域搜索的根路径,这是正确的。如果你想将用户搜索范围限定在Users组织单元下,也可以改为cn=Users,dc=bt,dc=com以获得更高效率。检查
user-parameters user-name-attribute samaccountname这行,它确保了使用sAMAccountName属性来匹配用户登录名,是与Windows AD集成时的正确配置,可以保留。
2. 进行基本验证与测试
修改后,建议进行以下验证:
从防火墙发起连接测试:使用
telnet 172.20.1.4 389命令测试端口是否连通。如果默认的389端口不通,请检查AD域控服务器是否已启用LDAP服务,或检查中间是否有防火墙拦截。使用
ldapsearch工具测试:在有网络访问权限的Linux主机上,用以下命令手工测试绑定及用户DN的提取过程,可以快速检验账户有效性:ldapsearch -x -H ldap://172.20.1.4:389 -D "cn=vpnconnect,cn=Users,dc=bt,dc=com" -W -b "dc=bt,dc=com"
3. 检查网络与基础服务
如果上述修正和测试仍无效,请继续排查以下几点。
基础网络连通性:确保防火墙能ping通LDAP服务器
172.20.1.4,并能在端口389上完成连接。检查AD域控制器服务:在Windows AD服务器上,使用
dcdiag命令检查域控服务是否健康。检查时间同步:防火墙与AD域控之间时间差应确保在5分钟以内,建议通过NTP服务进行同步。
排查防火墙误阻:如果防火墙自身存在安全策略限制,也可能导致连接到AD域控时被阻断。建议检查“安全策略”中是否放行了到AD域控的LDAP(端口389)流量。
暂无评论
🔥 直接给你结论 + 修复方案(100% 命中你这个报错)
核心报错
PAM_LDAP:Failed to get bind result.errno = 150
resultCode: 2
login-dn 或 login-password 错误= 防火墙无法登录 LDAP 服务器一、你的问题定位(100% 确定)
login-dn vpnconnect,cn=Users,dc=bt,dc=com
login-password sim xxxx
二、最快修复步骤(按顺序做)
1. 检查 login-dn 是否正确(最常见错误)
cn=vpnconnect,cn=Users,dc=bt,dc=com
cn= ❌ldap server ldap1
login-dn cn=vpnconnect,cn=Users,dc=bt,dc=com
login-password sim xxxx <-- 密码必须100%正确
2. 检查密码是否正确
login-password sim xxxx这里的 xxxx 必须是 AD 里 vpnconnect 这个用户的真实密码区分大小写、不能有空格、不能错一位。3. 检查这个账号是否有权限
- 用户
vpnconnect未禁用 - 密码 不过期
- 允许 域查询权限(普通 user 权限即可)
三、你只需要改这一处配置(直接复制)
ldap server ldap1
login-dn cn=vpnconnect,cn=Users,dc=bt,dc=com
login-password sim xxxx
search-base-dn dc=bt,dc=com
ip 172.20.1.4
user-parameters user-name-attribute samaccountname
errno=150四、验证是否修复
display ldap server ldap1
display ldap scheme shml
Failed to get bind result.errno = 150
五、一句话总结
cn=。暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论