我在一个环境中工作,我们根据活动目录对我们的应用程序用户进行身份验证。该应用程序是运行在WebSphere上的J2EE应用程序。
我们有三个森林(A, B和C),我们遇到了三个森林中的两个的问题。应用程序始终以大写形式发送用户id,并且身份验证在B和C区域总是失败,但在A区域通过。
抛出的错误是invalidCredentials。
我们对密码进行了两次/三次检查,多次运行测试,使用了多个客户端(WebSphere上的完整应用程序,代码存根(没有WebSphere),第三方LDAP浏览器),结果都是相同的。我们还交叉连接了区域,问题总是跟随B和C AD森林,当用户名中包含大写字母而不是小写字母时,这些区域报告凭据无效。
就我在研究中所看到的,AD并不关心在LDAP查询中传递userid的情况。你知道是什么导致这两个森林看起来是区分大小写的吗?
事实证明,我们相信我们已经找到了问题所在。A地区的森林名称为小写,B和C地区的森林名称为混合大小写。作为测试,创建了一个混合用例的新林,身份验证失败。