AD Import nicht mehr möglich

Guten morgen,

da mein letzter Beitrag zu einer Fehlermeldung verschwunden ist (warum?), versuche ich nochmal mein Glück.

Wir haben seit einigen Tagen das Thema das wir keinen AD Import mehr durchführen können.

  • der Account ist aktiv und funktional
  • Serverreboot brachte keinen Erfolg
  • Fehler beim laden von AD-Accounts (Fehlermeldung)

Die Logdaten haben folgendes ergeben:

2019-07-01 11:17:38,942 ERROR [http-bio-8080-exec-457] (HibernateCommandService.java:178) - Error while executing command
org.springframework.ldap.AuthenticationException: [LDAP: error code 49 - 80090308: LdapErr: DSID-0C090400, comment: AcceptSecurityContext error, data 701, v1db1]; nested exception is javax.naming.AuthenticationException: [LDAP: error code 49 - 80090308: LdapErr: DSID-0C090400, comment: AcceptSecurityContext error, data 701, v1db1]
at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:103)
Caused by: javax.naming.AuthenticationException: [LDAP: error code 49 - 80090308: LdapErr: DSID-0C090400, comment: AcceptSecurityContext error, data 701, v1db1]
at com.sun.jndi.ldap.LdapCtx.mapErrorCode(LdapCtx.java:3154)
2019-07-01 15:18:23,865 ERROR [http-bio-8080-exec-512] (HibernateCommandService.java:178) - Error while executing command
org.springframework.ldap.AuthenticationException: [LDAP: error code 49 - 80090308: LdapErr: DSID-0C090400, comment: AcceptSecurityContext error, data 701, v1db1]; nested exception is javax.naming.AuthenticationException: [LDAP: error code 49 - 80090308: LdapErr: DSID-0C090400, comment: AcceptSecurityContext error, data 701, v1db1]
at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:103)
Caused by: javax.naming.AuthenticationException: [LDAP: error code 49 - 80090308: LdapErr: DSID-0C090400, comment: AcceptSecurityContext error, data 701, v1db1]
at com.sun.jndi.ldap.LdapCtx.mapErrorCode(LdapCtx.java:3154

Hat jemand dieses Fehlerbild / Logdaten schon mal so gehabt, und hat eventuell einen Lösungsansatz für mich?

Danke und Gruss
Dennis

Hallo Dennis,
auf den ersten Blick würde ich nach dem Entwicklerpost zum Thema LDAP-Fehler (Active Directory Fehlercodes) und der Nummer 701 auf “account expired” tippen, da der Statuscode i.d.R. vom AD selbst kommt.

Wenn Du natürlich überprüft hast, dass der Account aktiv und funktional ist (wie von Dir oben beschrieben), dann wäre hier ein Auszug Deiner verinice-ldap.properties-Datei vom verinice.PRO-Server hilfreich (liegt normalerweise unter /var/lib/tomcat/webapps/veriniceserver/WEB-INF). Dabei Achtung, die Datei enthält Passwörter, die wir nicht wissen brauchen :wink:
Besten Gruß

2 Likes

Hallo, danke für die Rückmeldung

wir haben in der zwischenzeit einmal mit meinem alternativen Account getestet. Mit diesem ist die Anbindung funktional. Wir werden also nochmal auf detailsuche gehen woran es mit dem normalen Serviceaccount scheitert.

Danke und Gruss
Dennis

Dazu fallen mir als nicht-AD-ler nur noch zwei Sachen ein:

  • Meine Konfiguration sagt an der unteren Stelle für ActiveDirectory ldap.import.user=<username>@<company>.de (die beiden Werte natürlich ersetzt). Hast Du ebenfalls die Form mit At-Zeichen gewählt?
  • Und um ganz sicher zu gehen, hast Du prüfen lassen, ob der User nicht abgelaufen ist? Unter Windows kann man das meist selbst prüfen, indem man den Befehl net user <username> /Domain an einem Domänen-PC eingibt. Dann steht etwas wie das Folgende da:
...
Konto aktiv                         Ja
Konto abgelaufen                    Nie

Letztes Setzen des Kennworts        29.11.2013 16:00:00
Kennwort läuft ab                   Nie
Kennwort änderbar                   30.11.2013 16:00:00
Kennwort erforderlich               Ja
...

Da bitte einmal sicherstellen, dass das Konto nicht gesperrt oder inaktiv oder abgelaufen ist.

Hallo, danke nochmal für die schnelle Hilfe.

Wie oben beschrieben haben wir heute im laufe des Vormittags bereits parallel es mit einem alternativen Account versucht. Mit diesem klappt es. Wir gehen nun auf detailsuche wo da Problem mit unserem eigentlich dafür genutzten SerivceAccount liegt.

Sorry, für die Überschneidung.

Danke und Gruss
Dennis

Hallo zusammen,

was sagt ldapsearch?
Die Abrfage kann auf der Kommandozeile, z.B. wie folgt erfolgen:

ldapsearch -x -W -D “benutzer” -b “dc=domain,dc=de” -H “ldap://domain.de”

Wobei der Benutzer auch "Benutzer@domain.de" sein kann.

Gruß
Julia

1 Like