防火墙-LDAP报错
- 0关注
- 0收藏,39浏览
问题描述:
如下是报错信息
<XXHT_Office>*Apr 28 16:17:06:114 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Processing LDAP authentication.
*Apr 28 16:17:06:114 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Data of authentication request successfully sent.
*Apr 28 16:17:06:114 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Processing AAA request data.
*Apr 28 16:17:06:114 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:LDAP server is: 172.20.1.4.
*Apr 28 16:17:06:114 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Created new connection.
*Apr 28 16:17:06:115 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Current bind state is 0.
*Apr 28 16:17:06:115 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP[State]:State switch from init to binding admin.
*Apr 28 16:17:06:116 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Executing bind operation, DN is cn=vpnconnect,cn=users,dc=bt,dc=com.
*Apr 28 16:17:06:118 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Performing binding operation as administrator.
*Apr 28 16:17:06:118 2026 XXHT_Office LDAP/7/ERROR: -COntext=6;
PAM_LDAP:Failed to get bind result.errno = 150
*Apr 28 16:17:06:118 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Delete socket.
*Apr 28 16:17:06:118 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Reply Socket received EPOLLERR/EPOLLHUP event.
*Apr 28 16:17:06:118 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Processing LDAP authentication.
*Apr 28 16:17:06:119 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Data of authentication reply successfully obtained, resultCode: 2.
组网及组网描述:
如下是报错信息
<XXHT_Office>*Apr 28 16:17:06:114 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Processing LDAP authentication.
*Apr 28 16:17:06:114 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Data of authentication request successfully sent.
*Apr 28 16:17:06:114 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Processing AAA request data.
*Apr 28 16:17:06:114 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:LDAP server is: 172.20.1.4.
*Apr 28 16:17:06:114 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Created new connection.
*Apr 28 16:17:06:115 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Current bind state is 0.
*Apr 28 16:17:06:115 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP[State]:State switch from init to binding admin.
*Apr 28 16:17:06:116 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Executing bind operation, DN is cn=vpnconnect,cn=users,dc=bt,dc=com.
*Apr 28 16:17:06:118 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Performing binding operation as administrator.
*Apr 28 16:17:06:118 2026 XXHT_Office LDAP/7/ERROR: -COntext=6;
PAM_LDAP:Failed to get bind result.errno = 150
*Apr 28 16:17:06:118 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Delete socket.
*Apr 28 16:17:06:118 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Reply Socket received EPOLLERR/EPOLLHUP event.
*Apr 28 16:17:06:118 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Processing LDAP authentication.
*Apr 28 16:17:06:119 2026 XXHT_Office LDAP/7/EVENT: -COntext=6;
PAM_LDAP:Data of authentication reply successfully obtained, resultCode: 2.
1. 连通性检查:
测试防火墙与LDAP服务器网络可达:ping
测试LDAP端口(默认389,加密636)连通:telnet
2. 配置正确性验证:
查看LDAP服务器配置:display ldap server
查看LDAP模板配置(含Base DN、绑定DN等):display ldap template,确认服务器地址、端口、绑定账号密码、用户搜索路径等参数与LDAP服务器一致
3. 服务器端验证:确认LDAP服务正常运行,待认证用户账号存在、密码正确且允许被防火墙查询
4. 开启调试日志定位:
开启LDAP调试:debugging ldap all
触发认证操作后收集完整交互日志,分析具体失败环节
重要提醒:操作前备份防火墙配置:save
根据最新的日志信息,可以确认问题所在:由 DN(Distinguished Name,专有名称)格式错误引起的 LDAP 协议错误。
关键日志解读
日志中直接指出问题在于"Failed to get bind result.errno = 150"和"resultCode: 2"。
errno = 150:这个错误通常指向与LDAP服务器的基本连接失败,常见原因包括网络不通、端口不对,或认证凭据(
login-dn和login-password)被拒绝。在多次排查案例中,该错误常与DN格式错误相关联。resultCode: 2:这是一个非常明确的LDAP协议错误码,含义是
LDAP_PROTOCOL_ERROR。它表示防火墙(作为LDAP客户端)发送给LDAP服务器的请求格式有问题,导致服务器无法理解。在你的场景中,这最有可能就是由于login-dn的格式不规范引起的。
结构化排查清单
请按照以下顺序逐步排查,可以有效定位并解决问题:
首先,核对
login-dn语法(最可能原因)
这是目前发现的最直接问题。你配置的login-dn vpnconnect,cn=Users,dc=bt,dc=com缺少了表示用户对象的关键属性CN=。在LDAP的DN语法中,每个路径段都需要有明确的标识,对象需要用CN=或UID=等指定。验证方法:请修改为
login-dn cn=vpnconnect,cn=Users,dc=bt,dc=com,并确保其中的大小写、逗号和空格与AD中的实际记录完全匹配。 修改后请保存配置。
其次,检查基础网络连接性
errno = 150也可能源于网络层面的问题。验证方法:从防火墙Ping LDAP服务器地址
172.20.1.4确保网络层可达。然后使用telnet 172.20.1.4 389测试TCP连接。如果默认的389端口不通,请检查是否有其他安全设备或策略阻断,或者LDAP服务器是否使用了加密端口(636)。
接着,验证认证凭据
验证方法:请检查
login-dn对应的用户vpnconnect在AD中是否未锁定、未过期、密码正确,且拥有足够的目录查询权限(通常域用户默认有读权限)。如果密码含有特殊字符(如#,@等),尝试在CLI中加密或避免特殊字符。必要时,可以在AD上手动重置该用户的密码,并同步修改防火墙配置。
然后,检查通用LDAP服务器与防火墙策略
验证方法:在
ldap server视图下,执行display this检查login-dn、search-base-dn等关键参数是否准确无误。同时,在AD服务器上查看安全日志,筛选源IP为防火墙的事件,寻找被拒绝的具体原因(如4625登录失败)。
最后,优化调试方法
建议:若以上步骤均无效,请在防火墙上使用
debugging ldap all命令开启LDAP调试(建议在业务低谷时操作,以免影响性能),并结合抓包工具(如Wireshark)抓取防火墙与LDAP服务器的交互报文。通过深入分析这些交互细节,可以找到更具体的原因。
暂无评论
故障精准定位:LDAP 报错 errno = 150 + resultCode:2
一、日志核心关键行
PAM_LDAP:Executing bind operation, DN is cn=vpnconnect,cn=users,dc=bt,dc=com.
PAM_LDAP:Failed to get bind result.errno = 150
resultCode: 2
- errno=150:H3C 防火墙 LDAP 私有错误码 → 管理员绑定失败、AD 拒绝 Bind 连接
- resultCode:2:LDAP 标准错误码 → 协议错误 / 绑定凭据非法 / 服务拒绝
- 现象:防火墙和 AD 172.20.1.4 网络通、建连成功,但管理员 DN 绑定 AD 直接失败
二、100% 对应 4 个根因(按概率排序)
原因 1:【最常见】管理员 DN 填写错误
cn=vpnconnect,cn=users,dc=bt,dc=com
cn=users → 错误
正确:ou=Users 或直接 cn=xxx,dc=bt,dc=com
cn=users不是合法 AD 路径,AD 直接拒绝 Bind- 很多人混淆 CN 容器 / OU 组织单元,直接导致绑定失败
原因 2:管理员账号密码错误、过期、锁定
- vpnconnect 账号密码填错
- AD 账号密码过期、域策略强制改密
- 账号已被管理员锁定、禁用
原因 3:端口 / 协议模式不匹配
- 你用默认 389 非加密端口,但 AD 组策略强制要求 LDAPS 636 加密
- 防火墙未开启 SSL,明文 Bind 被 AD 安全策略拦截断开
原因 4:AD 防火墙 / 域安全策略拦截
- AD 本地防火墙放行 389 但域安全策略拒绝陌生设备 LDAP 绑定
- 第三方安全软件、域控加固策略,拦截设备 LDAP 查询
三、快速排查 + 修复步骤(直接落地)
步骤 1:修正【管理员绑定 DN】(重中之重)
# 正确格式
cn=vpnconnect,dc=bt,dc=com
cn=users,删掉这段。步骤 2:核对绑定账号密码
- 域控上登录
vpnconnect账号,确认:- 账号启用、未锁定、密码未过期
- 防火墙 LDAP 配置里,密码完全一致、无空格特殊字符
步骤 3:测试端口连通与加密
- 防火墙测试域控 389 端口连通:
ping 172.20.1.4
telnet 172.20.1.4 389
- 若 telnet 通但绑定失败:改成 LDAPS 636 加密模式 对接
步骤 4:LDAP 参数配套检查
- 搜索基准 DN(Base DN):
dc=bt,dc=com - 用户过滤条件:
(sAMAccountName=$user) - 关闭 AD 域控 “拒绝明文 LDAP” 加固策略
四、极简总结
- 报错核心:管理员 DN 路径写错(cn=users 非法) + AD 拒绝 Bind 请求
- 优先修改:绑定 DN 改为
cn=vpnconnect,dc=bt,dc=com - 其次核对账号密码、AD 账号状态、389/636 端口加密
- 改完直接测试,立马恢复正常认证
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论