LDAP认证常见问题
更新时间: 2026/02/08
在Gitcode上查看源码常见问题
[Q1] LDAP 连接提示超时/连接拒绝(如ldap_bind: Can't contact LDAP server)
BMC 与 LDAP 服务器不在同一网段、存在防火墙/ACL 策略拦截636 端口(LDAPS 加密) 解决方式:
- 检查 BMC 网络配置(IP/网关/子网掩码),ping LDAP服务器IP验证通断;
- 放行防火墙 636 端口,LDAPS 需确认服务器端 636 端口监听正常(netstat -tulpn | grep 636)。
LDAP 服务器服务未启动/监听地址错误 解决方式:
- 重启 LDAP 服务并设置开机自启;
- 配置 LDAP 服务器监听所有网卡地址(0.0.0.0),验证telnet LDAP_IP 389/636可连通。
DNS 服务器无法解析 LDAP 域名; 解决方式:
- 直接使用 LDAP 服务器 IP 替代域名测试,避免 DNS 解析故障;
- 检查 BMC 的 DNS 配置(cat /etc/resolv.conf),确保能正常解析 LDAP 域名。
[Q2] 账号密码正确但无法登录BMC
账号 DN(可分辨名称)配置错误 BMC 需通过Base DN(基础目录)+ User DN Pattern(用户 DN 模板) 匹配 LDAP 账号,模板错误会导致 BMC 无法找到对应账号。 示例错误:Base DN 为dc=example,dc=com,但 User DN Pattern 配置为uid=%s,ou=users,dc=test,dc=com(域不匹配);或账号实际存储在ou=employees,模板配置为ou=users。 解决方式:
- 在 LDAP 服务器端查询账号实际 DN;
- BMC 侧修改 User DN Pattern 为实际路径,如uid=%s,ou=employees,dc=example,dc=com(% s 为登录用户名占位符)。
LDAP 账号状态异常 账号在 LDAP 服务器中被锁定 / 禁用 / 过期(如 AD 账号密码过期、OpenLDAP 账号设置accountLocked: true); 解决方式:在 LDAP 服务器端解锁账号、重置密码 / 延长有效期,确保账号处于启用状态。