跳至主要內容

LDAP常见错误代码

2025/10/29大约 3 分钟

LDAP常见错误代码

LDAP错误代码位置

当通过FortiGate的LDAP认证失败时(例如显式代理认证、SSLVPN认证、ZTNA认证),可以通过在FortiGate上执行diagnose debug application fnbamd -1或通过抓取LDAP认证报文来排查错误原因。

fnbamd的Debug信息或LDAP认证结果报文中会包含的LDAP服务器返回的错误代码,从错误代码代表的含义,可以快速定位到LDAP认证失败的原因。

  • 如下所示的fnbamd的Debug信息,[778] fnbamd_ldap_parse_response-Error 49(80090308: LdapErr: DSID-0C090446, comment: AcceptSecurityContext error, data 52e, v4563)中的data 52e即为错误代码”。

    FortiGate # diagnose debug application fnbamd -1
FortiGate # diagnose debug enable

[584] fnbamd_ldap_build_dn_search_req-base:'DC=fortinet,dc=com' filter:sAMAccountName=xxxxx
[1100] __fnbamd_ldap_dn_entry-Get DN 'CN=XXX,CN=XXX,DC=XXX,DC=com'
[90] ldap_dn_list_add-added CN=XXX,CN=XXX,DC=XXX,DC=com
[52] ldap_dn_list_del_all-Del CN=XXX,CN=XXX,DC=XXX,DC=com
[2821] fnbamd_ldap_result-Result for ldap svr XXX.XXX.XXX.XXX is SUCCESS
[1552] fnbamd_ldap_init-search filter is: sAMAccountName=XXX
[1561] fnbamd_ldap_init-search base is: DC=XXX,dc=com
[584] fnbamd_ldap_build_dn_search_req-base:'DC=XXX,dc=com' filter:sAMAccountName=XXX
[1100] __fnbamd_ldap_dn_entry-Get DN 'CN=XXX,OU=XXX,OU=XXX,OU=XXX,OU=XXX,DC=XXX,DC=com'
[90] ldap_dn_list_add-added CN=XXX,OU=XXX,OU=XXX,OU=XXX,OU=XXX,DC=XXX,DC=com
[429] fnbamd_ldap_build_userbind_req-Trying DN ' CN=XXX,OU=XXX,OU=XXX,OU=XXX,OU=XXX,DC=XXX,DC=com '
[196] __ldap_build_bind_req-Binding to ' CN=XXX,OU=XXX,OU=XXX,OU=XXX,OU=XXX,DC=XXX,DC=com'
[852] fnbamd_ldap_send-sending 123 bytes to XXX.XXX.XXX.XXX
[864] fnbamd_ldap_send-Request is sent. ID 3
[815] __ldap_rxtx-state 6(User Bind resp)
[895] __fnbamd_ldap_read-Read 8
[895] __fnbamd_ldap_read-Read 102
[1075] fnbamd_ldap_recv-Response len: 104, svr: XXX.XXX.XXX.XXX
[756] fnbamd_ldap_parse_response-Got one MESSAGE. ID:3, type:bind
[778] fnbamd_ldap_parse_response-Error 49(80090308: LdapErr: DSID-0C090446, comment: AcceptSecurityContext error, data 52e, v4563)
//这里的“data 52e”,即为错误代码//
[791] fnbamd_ldap_parse_response-ret=49
[882] __ldap_rxtx-Change state to 'User Binding'
[815] __ldap_rxtx-state 5(User Binding)
[425] fnbamd_ldap_build_userbind_req-No more DN left
[737] __ldap_error-
[726] __ldap_stop-svr 'ad_server'
[52] ldap_dn_list_del_all-Del CN=XXX,OU=XXX,OU=XXX,OU=XXX,OU=XXX,DC=XXX,DC=com
[182] fnbamd_comm_send_result-Sending result 1 (error 0, nid 0) for req 1824141631
[653] destroy_auth_session-delete session 1824141631

  • 使用diagnose sniffer packet any 'tcp and port 389' 6 0 l(或GUI抓包)抓取LDAP报文,也可以看到类似的错误代码信息。

    image-20240517162013614

LDAP错误代码含义

  • 525 - User not found:当提供的用户名无效时,将返回此错误,表明LDAP目录中不存在指定的用户。
  • 52e - Invalid credentials:表示提供了有效的用户名,但提供的密码或凭据不正确。此错误通常会阻止显示其他错误,因为没有有效凭据身份验证无法继续。
  • 530 - Not permitted to logon at this time:当在限制登录期间提供有效用户名和密码时,将返回此错误。可能存在基于时间的访问限制。
  • 531 - Not permitted to logon from this workstation:当提供有效的用户名和密码时,将返回该错误,但用户被限制使用尝试登录的工作站。基于工作站的访问限制生效。
  • 532 - Password expired:当提供了有效的用户名并且提供的密码正确但已过期时,会出现此错误。用户需要更改他们的密码。
  • 533 - Account disabled:当提供了有效的用户名和密码,但用户的帐户已被禁用时返回。由于帐户的禁用状态,身份验证被阻止。
  • 701 - Account expired:当提供了有效的用户名和密码,但用户的帐户已过期,无法成功进行身份验证时,将返回此错误。
  • 773 - User must reset password:如果提供了有效的用户名和密码,此错误表示用户需要在首次登录前或管理员重置密码后立即重置密码。
  • 775 - Account locked out:当提供了有效的用户名,但用户的帐户由于登录尝试失败次数过多而被锁定时,将返回此错误。请务必注意,即使提供的密码有效,也会返回此错误。
最近更新:
统计数据加载中…
Copyright © 2025 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.