Загрузка профиля в доверенных доменах
Closed this issue · 0 comments
Текущее поведение:
Домен multifactor.local в двухстороннем трасте с second.base. В файле конфигурации Radius Adapter указан multifactor.local.
Пользователь user есть в second.base, но отсутствует в multifactor.local. При попытке аутентификации без указания полного UPN, профиль пользователя для проверки группы не загружается, адаптер возвращает AccessReject.
[14:58:51 INF] Received AccessRequest from 127.0.0.1:60642 id=2 user='user' client 'cisco with ad.config'
[14:58:51 DBG] Verifying user 'user' credential and status at multifactor.local
[14:58:51 INF] User 'user' credential and status verified successfully in multifactor.local
[14:58:51 DBG] Loading forest schema from DC=multifactor,DC=local
[14:58:51 DBG] Found trusted domain DC=second,DC=base
[14:58:51 DBG] Querying user 'user' in DC=multifactor,DC=local
[14:58:51 ERR] Unable to find user 'user' in DC=multifactor,DC=local
[14:58:51 INF] AccessReject sent to 127.0.0.1:60642 id=2 user='user'
Аналогичное поведение, если домены указаны через точку с запятой (и не в трасте):
<add key="active-directory-domain" value="multifactor.local;second.base"/>
Ожидаемое поведение:
Если имя указывается не в формате UPN, адаптер последовательно пытается загрузить профиль из всех доверенных доменов в порядке указанном в:
<IncludedDomains>
<add name="multifactor.local"/>
<add name="second.base"/>
</IncludedDomains>
либо в:
<add key="active-directory-domain" value="multifactor.local;second.base"/>
Либо загрузка профиля и binding должны быть синхронизированы и осуществляться в одном домене.