JumpServer 版本 v4.10.7 社区版
设置LDAP从windows域中同步用户,测试连接和同步用户没问题,但测试登录显示用户名和密码不正确。
测试发现是Windows限制了用户登录的计算机(为了安全),如果去除限制就能正常登录。请问windows域里如何设置才能使Windows域用户正常登录jumpserver?
尝试将jumpserver的服务器ip添加到windows用户允许登录的计算机里,再尝试下
我没有限制用户登录的计算机,也出现这个错误,是为什么?测试连接和同步用户没问题。
在 Windows 域环境中,若域用户通过 LDAP 同步至 JumpServer 后出现“用户名或密码错误”的问题,通常与域控对用户登录权限的限制有关。以下是建议的设置步骤:
-
检查用户登录权限:确保域用户具有“允许登录到”权限。在 Windows 域控制器中,打开“Active Directory 用户和计算机”,右键用户 → 属性 → “登录到”选项,确认未限制登录的计算机。
-
组策略配置:检查是否通过组策略限制了用户的登录权限。可前往“组策略管理编辑器”→ 计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 用户权限分配,确保用户或所属组拥有“允许本地登录”或“允许通过远程桌面服务登录”权限。
-
LDAP同步配置:确认 JumpServer 中 LDAP 配置的绑定用户具有读取域用户属性的权限,如
userPrincipalName和sAMAccountName。 -
日志排查:查看 JumpServer 的 LDAP 登录日志(
logs/ldap.log)确认认证过程中是否存在错误信息。
如仍无法解决,请联系 JumpServer 技术支持 获取进一步协助。
-
确认账号格式:在登录 JumpServer 时,若使用域账号,请确保输入的账号格式为
username@domain或domain\\username。 -
检查系统平台配置:确保资产的系统平台设置为 “Windows-TLS” 或其他适合 Windows 资产的平台选项。
-
验证网络级别身份验证设置:在 Windows 资产上,检查是否启用了“仅允许使用网络级别身份验证的远程桌面的计算机连接”。若有此设置,请关闭该选项。
-
测试本地登录:尝试使用 MSTSC 工具直接连接目标 Windows 资产,确认域账号是否可以正常登录。
-
查看日志信息:检查 JumpServer 的 LDAP 登录日志(
logs/ldap.log)和资产登录日志,确认认证过程中的具体错误。 -
联系技术支持:如仍无法解决,请联系 JumpServer 技术支持 获取进一步协助。