ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

ActiveDirectoryではLDAPによる匿名バインド、認証が無効、使えない

Windows Server 2016とLdap連携で、設定する情報を整理しているんですが、実は外部連携をするのは初めてなので色々とはまっています。


まず、Ldapで指定する値は、ActiveDirectoryとは違うことがあるので、そこは間違いなく注意点になります。それぞれ固有の属性があるので、設定するDNの値などに差が出る可能性があります。


今回の動作確認上では、ActiveDirectoryではLDAPによる匿名バインド、認証が無効、使えないことが分かりました。古い記事ですが、こちらを参考に。

 

Windows Server 2003ドメイン コントローラでは Active Directory に対する匿名の LDAP 操作が無効になっている

https://support.microsoft.com/ja-jp/help/326690/anonymous-ldap-operations-to-active-directory-are-disabled-on-windows


以下は抜粋です。

 

概要
Microsoft Windows Server 2003 では、rootDSE の検索とバインドを除き、Active Directory に対する匿名の LDAP (Lightweight Directory Access Protocol) 操作はデフォルトで使用できなくなっています。

詳細
以前のバージョンの Microsoft Windows ベース ドメインActive Directory は匿名の要求を受け付けます。以前のバージョンでは、要求が成功するかどうかは Active Directory のユーザーに正しいアクセス許可があるかどうかで決まります。

 

実際に連携サービスを提供しているもので参考になるのがこちらの説明。オラクルのものです。

Active Directory に対する認証(oracle

https://docs.oracle.com/cd/E19199-01/817-4727-10/a_activedirauth.html


以下は抜粋です。

 

「root ユーザーバインド DN」属性を、Active Directory の読み取り権限を持つユーザーに変更して、パスワードを更新します。
Active Directory への匿名アクセスは許可されないため、バインドアカウントが必要になります。これは、ユーザーが認証する属性に対する読み取り機能を持つ Active Directory の単なるアカウントです。たとえば、cn=administrator,cn=Users,dc=domain,dc=com のようになります。このエントリのパスワードは、更新が必要です。

 

実際に私は構築したことがないですが、確かにADと外部のldap連携システムを構築している場合に、AD状に接続用のアカウントを用意していた記憶があるので、まさにこれでしょうね。


実際に連携設定をしたときに、この設定をしなければ正常に認証されませんでした。それぞれお決まりがあるので、こういった予備知識があるとはまらなくてすみますね。もしくは問題解決に時間がかかりません。