Я работаю в среде, где мы аутентифицируем пользователей нашего приложения по активному каталогу. Приложение представляет собой приложение J2EE, работающее в WebSphere.
У нас есть три леса (A, B и C), и мы столкнулись с проблемой в двух из трех лесов. Приложение всегда отправляет идентификатор пользователя в верхнем регистре, и аутентификация всегда завершается неудачей в областях B и C, но проходит в области A.
Брошенная ошибка - invalidCredentials.
Мы дважды / трижды проверили пароли, выполнили тесты несколько раз, использовали несколько клиентов (полное приложение в WebSphere, заглушка кода (без WebSphere), сторонний браузер LDAP) с одинаковыми результатами. Мы также перекрестно соединили регионы, и проблема всегда следует за лесами AD B и C, и эти регионы сообщают invalidCredentials, когда вместо имени в нижнем регистре в имени пользователя указана заглавная буква.
Насколько я вижу в своем исследовании, AD не заботится о том, чтобы идентификатор пользователя передавался в запросе LDAP. Любая идея, что может быть причиной того, что два леса кажутся чувствительными к регистру?