Discussion :

[Christophe P.]

Bonjour,

mon application utilise un appel LDAP. L'utilisateur Nourredine arrive à se connecter mais pas les autres.
L'erreur est :

LDAP: error code 49 - 80090308: LdapErr: DSID-0C090400, comment: AcceptSecurityContext error, data 52e, v1db1

Cela indique une erreur de mot de passe ou de droits (traduction de "credential" en anglais si je ne me trompe pas). Le mot de passe est bon. Explication de l'erreur :

80090308: LdapErr: DSID-0C09030B, comment: AcceptSecurityContext error, data 52e, v893
HEX: 0x52e - invalid credentials
DEC: 1326 - ERROR_LOGON_FAILURE (Logon failure: unknown user name or bad password.)
NOTE: Returns when username is valid but password/credential is invalid. Will prevent most other errors from being displayed as noted.

Je n'arrive pas à trouver ce qui ne va pas. J'ai ajouté l'utilisateur dans les mêmes groupes que Nourredine mais ça ne change rien.
J'ai exporté chaque compte dans un LDIF pour les comparer mais je ne vois pas ce qui cloche :

dn: CN=noureddine,CN=Users,DC=monDomaine
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: noureddine
givenName: noureddine
distinguishedName: CN=noureddine,CN=Users,DC=monDomaine
instanceType: 4
whenCreated: 20170503131223.0Z
whenChanged: 20170810101740.0Z
displayName: noureddine
uSNCreated: 81851
memberOf: CN=GroupExtern,CN=Users,DC=monDomaine
memberOf: CN=USRGRP-CTX-PSNIIRAM,CN=Builtin,DC=monDomaine
memberOf: CN=Domain Admins,CN=Users,DC=monDomaine
memberOf: CN=Administrators,CN=Builtin,DC=monDomaine
uSNChanged: 650986
name: noureddine
objectGUID:: P8cK0s6JbU+E91sS0ShBZQ==
userAccountControl: 590336
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 131474560379791728
lastLogoff: 0
lastLogon: 131475446475388073
pwdLastSet: 131395927989955299
primaryGroupID: 513
objectSid:: AQUAAAAAAAUVAAAA62n7hb+jy26tjQ+QZwQAAA==
adminCount: 1
accountExpires: 9223372036854775807
logonCount: 700
sAMAccountName: noureddine
sAMAccountType: 805306368
userPrincipalName: noureddine@monDomaine
objectCategory:
CN=Person,CN=Schema,CN=Configuration,DC=monDomaine
dSCorePropagationData: 20170731100103.0Z
dSCorePropagationData: 20170503134210.0Z
dSCorePropagationData: 16010101000000.0Z
lastLogonTimestamp: 131468338600583751
msDS-SupportedEncryptionTypes: 0

dn: CN=MARTIN-00001-0100182,OU=01,OU=People,OU=USR_FONCTIONNEL,DC=monDomaine
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
objectClass: inetOrgPerson
objectClass: appliperson
cn: MARTIN-00001-0100182
sn: MARTIN
givenName: Jeanne
distinguishedName:
CN=MARTIN-00001-0100182,OU=01,OU=People,OU=USR_FONCTIONNEL,DC=monDomaine
instanceType: 4
whenCreated: 20170816131357.0Z
whenChanged: 20170818152853.0Z
displayName: Jeanne MARTIN (001)
uSNCreated: 684721
memberOf: CN=GroupExtern,CN=Users,DC=monDomaine
memberOf: CN=USRGRP-CTX-Pappli,CN=Builtin,DC=monDomaine
memberOf: CN=Domain Admins,CN=Users,DC=monDomaine
memberOf: CN=Administrators,CN=Builtin,DC=monDomaine
memberOf: CN=GRP_FORUM,CN=Groups,OU=USR_FONCTIONNEL,DC=monDomaine
memberOf: CN=GRP_DICO,CN=Groups,OU=USR_FONCTIONNEL,DC=monDomaine
memberOf:
CN=GRP_ACCUEIL,CN=Groups,OU=USR_FONCTIONNEL,DC=monDomaine
memberOf:
CN=GRP_REGION_82,CN=Groups,OU=USR_FONCTIONNEL,DC=monDomaine
memberOf:
CN=GRP_OUTILS_BO,CN=Groups,OU=USR_FONCTIONNEL,DC=monDomaine
memberOf:
CN=GRP_PARTENAIRE_01,CN=Groups,OU=USR_FONCTIONNEL,DC=monDomaine
memberOf:
CN=GRP_PROFIL_001,CN=Groups,OU=USR_FONCTIONNEL,DC=monDomaine
uSNChanged: 697314
name: MARTIN-00001-0100182
objectGUID:: WcOMqY431ECb9Z0lt7qlMA==
userAccountControl: 66048
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 0
lastLogoff: 0
lastLogon: 0
pwdLastSet: 131475437337516023
primaryGroupID: 513
objectSid:: AQUAAAAAAAUVAAAA62n7hb+jy26tjQ+QuQoAAA==
accountExpires: 9223372036854775807
logonCount: 0
sAMAccountName: $PL2000-F4887HEJREC1
sAMAccountType: 805306368
userPrincipalName: MARTIN-00001-0100182@monDomaine
objectCategory:
CN=Organizational-Person,CN=Schema,CN=Configuration,DC=monDomaine
dSCorePropagationData: 16010101000000.0Z
uid:
MARTIN-00001-0100182,OU=01,OU=People,OU=USR_FONCTIONNEL,DC=monDomaine
mail: jeanne.martin@recupmonmail.fr
middleName: MARTIN-00001
appliutilisateurpardefaut: FALSE
appliidt: A0000001
applicodepartenaire: 01
applicodeorganisme: 011
appliprofilattr: 001
orclisenabled: true
appliidc: 01A000000100182
orclactiveenddate: 20990101120000z
orclsecondaryuid: MARTIN-00001
applirole: 000
applidernierecgu: 20170624000000
applicoderegionurcam: 82
applisynchro: 1
orclactivestartdate: 20010101120000z
applitypeorganisme: 01
applicodecomplementaire: 000

[cerede2000]

Bonjour à toi,

Pourrais tu poster le code de ta requête LDAP afin que nous ayons tout les éléments

[Christophe P.]

Je ne sais pas si ça va beaucoup aider mais le voici.

LdapContextFactory :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
public DirContext getObjectInstance(String ldapUsername, String ldapPassword) throws Exception {

             Hashtable<Object, Object> env = new Hashtable<Object, Object>();

             env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");

             env.put(Context.PROVIDER_URL, prop.get("ldapAdServer"));

             env.put(Context.SECURITY_AUTHENTICATION, "simple");

             env.put(Context.SECURITY_PRINCIPAL, ldapUsername);

             env.put(Context.SECURITY_CREDENTIALS, ldapPassword);

             try {
                    context = new InitialDirContext(env);
             } catch (NamingException e) {
                    LOGGER.error(e.getMessage());
                    throw new LdapException(e);
             }
             return context;
       }

Test

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
try {
    DirContext testPassword = new LdapContextFactory().getObjectInstance("noureddine", "mdpxxx");
    testPassword.close();
} catch (LdapException e) {
    return LdapTools.fromListsToMap(new HashSet<>(), new HashSet<>(), pass, cgu, "", "", "", "Mauvais mot de passe");
}

[Lekno]

-> Vérifie tes mots de passe
-> Tes users sont bien dans la bonne UO ? (CN=noureddine,CN=Users,DC=monDomaine)
-> Tes identifiants sont ils bien renseigné dans le CN ? (CN=noureddine)

Utilise l'outil ADSI de l'ad afin de vérifier cela : adsiedit.msc

[cerede2000]

Hum je connais pas cet class Java, par contre ce qui me saute aux yeux est un truc simple :

dn: CN=noureddine,CN=Users,DC=monDomaine

dn: CN=MARTIN-00001-0100182,OU=01,OU=People,OU=USR_FONCTIONNEL,DC=monDomaine

noureddine se trouve dans le conteneur AD Users par défaut alors que ton utilisateur MARTIN-00001-0100182 se trouve dans une autre OU

Peux tu faire un test en plaçant MARTIN-00001-0100182 dans l'OU Users ?

[Christophe P.]

@Lekno : tout correspond
@cerede2000 : même résultat. J'ai créé une politique de sécurité pour OU=USR_FONCTIONNEL et si cela venait de là, cela aurait dû fonctionner en effet.

[Christophe P.]

La personne qui travaille dessus n'avait pas tester avec le nom complet... et ça fonctionne avec.
Désolé de vous avoir dérangé pour rien.