【问题现象】:
SSL VPN对接LDAP服务器,用户没有被导入,出现单个用户登录认证提示:用户名或密码错误
【排查过程】: 1、查看AD域有这个用户 2、查看设备对接ldap的配置,从搜索入口进入可以正常访问到该用户的组织下 3、尝试登录一个正常的用户在控制台抓取一个正常的数据包和这个登录失败的数据包做对比 正常: 失败:
4、通过分析发送失败的数据包发现失败的数据包返回的报错为52e,百度搜索该报错后发现该报错为密码错误的报错
5、测试在ldap服务器上修改密码,然后使用这个账号密码可以正常登录电脑,唯独登录不了vpn,抓包也是同样报错52e
6、通过抓包看到回复的数据包确实返回的是密码错误的信息,因此到ldap服务器上查看此用户,在搜索此用户的时候发现,搜索这个用户的账号名可以看到两个用户,但是第一个用户是已经被禁用的,初步推测为认证的时候识别到了被禁用的用户,因此返回密码错误
7、通过修改被禁用的用户的登录名属性后,另一个用户正常登录,因此得到问题原因为在ldap上存在两个登录名相同的用户,认证识别的不是原本的信息导致的失败,在ldap上这个登录名属性并不是唯一字段导致的认证失败 |