ADにLDAP接続したらinvalidCredentialsエラー
作成日: 2012年6月14日
更新日: (なし)
Active DirectoryにLDAP接続
WindowsのActive DirectoryにLDAP接続することになりました。 Active Directoryについては門外漢で、気色が悪いというネガティブな印象しかありません(Negative Directoryと言いたい訳ではありません)。 ともかく、仕事なので四の五の言わずにconnectです。
invalidCredentialsエラー
受け取ったユーザーでLDAP接続したところ、接続エラーが発生しました。 やっぱりActive Directoryは気色が悪いです。 以下がWireSharkで引っこ抜いたLDAPメッセージです。
LDAPMessage bindResponse(1) invalidCredentials (80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece)
エラー・メッセージを頼りにググりました。 情報筋によると、このエラーが出る場合はLDAP接続ユーザー、つまりActive Directory上にあるユーザーの設定が悪いということでした。 具体的にはユーザーのプロパティ画面で次のような項目にチェックが入っていると、このエラーが発生するとありました。
- ユーザーは次回ログオン時にパスワードの変更が必要
- アカウントを無効にする
- アカウントのロックアウト
確認したところ、LDAP接続ユーザーにはそのようなチェックは入っていません。 LDAP接続ツールは「LDAP Admin」を使っていました。 別ドメインのActive Directoryにはすんなり接続できたので、ツールの設定(接続オプション)が悪い訳ではなさそうでした。
解決
他にこれといった情報が見つかりませんでした。 そうなると北斗百烈拳しかありません。 接続ユーザーのパスワードをワザと間違えたり、接続オプションを変えたりして、エラー・メッセージの変化を見ながら神のお出ましを待つという技です。 北斗百烈拳という名前は百回くらい何かやれば何か閃くだろうというとこから来ています。
珍しく今回は直ぐに奇跡が起きました。 LDAP接続ユーザーのユーザー名の後ろに「@ドメイン名」を付けると接続できるようになりました。 画像では赤線を引いている「@hogehoge」という箇所です。
これがActive DirectoryへのLDAP接続では当たり前のことなのかどうかは分かりません。 ただ、別のActive Directoryへの接続では「@ドメイン名」は不要でした。 LDAP接続を試みていたPCはそのどちらのドメインにも参加していないWORKGROUP構成だったので、違いはActive Directory側の設定にあるように思えます。 いずれにせよ、ますますActive Directoryを気色悪く感じるようになった一件でした。
余談ですが、あるミドルウェアのマニュアルに「活動ディレクトリー」という語句が出てきて「?」となったことを思い出しました。 元々が英語のマニュアルだったものを機械翻訳に頼り過ぎたのか、「Active Directory」を「活動ディレクトリー」と訳していたのでした。
更新履歴
更新日 | 更新内容 |
2012年6月14日 | 新規作成 |