ActiveDirectory でユーザ登録する時は LDAP の CN と アカウント名を統一すること

Windows Server の話.

背景

  • ActiveDirectory は LDAP プロトコルで認証できる.
  • LDAPでは, CN=hogehoge,OU=foobar,... という形(DN)で エントリを一意に指定する.

現象

某F社検疫が通らない

原因

  • Windows の 「ActiveDirectory ユーザとコンピュータ」からユーザを登録した場合に, CNに姓+名が設定されてしまう.CN と アカウント名が食い違ってしまう.
  • 某F社検疫は、radius サーバーを見にいっている.
  • radiusLDAP で ActiveDirectory からユーザを引く.
  • ここで問題. どうやら radiusLDAPを引きに行くと, CNをユーザ名として扱っているらしい,上記のような, ActiveDirectoryで登録したアカウント名で認証しようとすると ユーザが見つからない旨のエラーが出る..

対処方法

  • adsiedit.msc (LDAPを編集するツール) で CNと アカウント名が食い違っている項目を探し出し,統一した..