红帽全球峰会6.5.6. WinSync Agreement 失败
创建同步协议会失败,因为它无法连接到 ActiveActive Directorynbsp;Directory 服务器。
一个最常见的同步协议失败是 IdM 服务器无法连接到 ActiveActive Directorynbsp;Directory 服务器:
"Update failed! Status: [81 - LDAP error: Can't contact LDAP server]
如果发生错误的 ActiveActive Directorynbsp;Directory CA 证书是在创建协议时指定的,则会出现这种情况。这会在 IdM LDAP
数据库(/etc/dirsrv/slapd-DOMAIN/ 目录中)中创建名为 Imported CA 的重复证书。这可使用 certutil 检查:
$ certutil -L -d /etc/dirsrv/slapd-DOMAIN/ Certificate Nickname Trust Attributes SSL,S/MIME,JAR/XPI CA certificate CTu,u,Cu Imported CA CT,,C Server-Cert u,u,u Imported CA CT,,C
要解决这个问题,从证书数据库中删除 CA 证书:
# certutil -d /etc/dirsrv/slapd-DOMAIN-NAME -D -n "Imported CA"
存在错误,指出密码未同步,因为它表示该条目存在
对于用户数据库中的一些条目,可能会有一条信息错误消息,指出没有重置密码,因为该条目已存在:
"Windows PassSync entry exists, not resetting password"
这不是错误。当没有更改 Password Synchronization 用户(Password Synchronization 用户)时,会发生此消息。Password Synchronization 用户是服务用来更改 IdM 中的密码的操作用户。
