使用 Windows 2008 服务器的用户 id 组映射
19724
Created On 09/25/18 19:43 PM - Last Modified 03/26/21 16:53 PM
Symptom
LDAP如果 2008 年域控制器不允许简单的绑定请求,则尝试配置组映射失败 LDAP 。 当尝试扩展活动目录根对象以浏览到组时,会显示错误消息:"需要强(呃)身份验证"。
Environment
- Windows 2008 服务器。
- LDAP 组映射。
- 帕洛阿尔托 Firewall .
- PAN-OS 7.1及以上。
Cause
如果域控制器默认 LAN 管理器身份验证级别设置设置为"需要签名"(而不是"谈判签名")或"拒绝+连接",则可能会出现错误 LM NTLM 。 当应用在组中执行上述设置的 Hisecdc.inf 安全模板时,会自动应用此设置 Policy 。
Resolution
要解决,请按照以下程序在 firewall (服务器配置文件)使用的域控制器上 LDAP 执行此程序:
- 在组 Policy 对象编辑器中,选择以下内容:计算机配置> Windows 设置>安全设置>本地策略>安全选项
- 在本节中, 搜索以下条目:
- 域控制器: LDAP 服务器签名要求。
- 网络安全: LDAP 客户端签名要求。
- 要启用简单绑定, 请将上面的内容设置为如下所示:
- 域控制器: LDAP 服务器签名要求=无
- 网络安全: LDAP 客户端签名要求 =谈判
Additional Information
注意: 此过程也适合 Windows 2012 服务器。