Active Directory LDAP 오류 코드 모음 및 설명
- IT/윈도우(Window)
- 2024. 1. 4.
LDAP(라이트웨이트 디렉터리 액세스 프로토콜)은 디렉터리 서비스에 접근하기 위한 프로토콜입니다.
LDAP 연동을 위한 개발을 하게될텐데, 다양한 오류코드와 마주할 겁니다. LDAP의 각 오류코드 별 설명에 대해서 알아보도록 하겠습니다.
LDAP은 IP 네트워크를 통해 분산된 디렉토리 정보 서비스에 접근하고 관리하는데 사용됩니다. LDAP에 오류 코드는 클라이언트와 서버 간의 작업 결과를 전달하는 과정을 숫자로 나타낸 값입니다.이러한 상호 작용 중 발생한 문제를 개발자와 관리자가 이해하는데 도움을 줍니다.
LDAP 에러코드 모음
| Error / data code | Text | Description |
| 0 | LDAP_SUCCESS | 요청한 클라이언트 작업이 성공적으로 완료되었음을 나타냅니다. |
| 2 | LDAP_PROTOCOL_ERROR | 서버가 클라이언트로부터 유효하지 않거나 형식이 잘못된 요청을 수신했음을 나타냅니다. |
| 3 | LDAP_TIMELIMIT_EXCEEDED | 클라이언트 또는 서버에서 지정한 작업의 시간 제한이 초과되었음을 나타냅니다. 검색 작업에서 불완전한 결과가 반환됩니다. |
| 4 | LDAP_SIZELIMIT_EXCEEDED | 검색 작업에서 클라이언트 또는 서버에서 지정한 크기 제한을 초과했음을 나타냅니다. 불완전한 결과가 반환됩니다. |
| 5 | LDAP_COMPARE_FALSE | 오류 상태를 나타내지 않습니다. 비교 작업의 결과가 거짓임을 나타냅니다. |
| 6 | LDAP_COMPARE_TRUE | 오류 상태를 나타내지 않습니다. 비교 작업의 결과가 참임을 나타냅니다. |
| 7 | LDAP_AUTH_METHOD_NOT_SUPPORTED | 바인드 작업 중에 클라이언트가 LDAP 서버에서 지원하지 않는 인증 방법을 요청했음을 나타냅니다. |
| 8 | LDAP_STRONG_AUTH_REQUIRED | I다음 중 하나를 나타냅니다. 바인드 요청에서 LDAP 서버는 강력한 인증만 허용합니다. 클라이언트 요청에서 클라이언트는 강력한 인증이 필요한 삭제와 같은 작업을 요청했습니다. 요청하지 않은 연결 끊김 알림에서 LDAP 서버는 클라이언트와 서버 간의 통신을 보호하는 보안이 예기치 않게 실패했거나 손상되었음을 발견합니다. |
| 9 | 예약된. | |
| 10 | LDAP_REFERRAL | 오류 상태를 나타내지 않습니다. LDAPv3에서 서버는 요청의 대상 항목을 보유하지 않지만 참조 필드의 서버는 보유할 수 있음을 나타냅니다. |
| 11 | LDAP_ADMINLIMIT_EXCEEDED | 관리 권한이 설정한 LDAP 서버 제한이 초과되었음을 나타냅니다. |
| 12 | LDAP_UNAVAILABLE_CRITICAL_EXTENSION | 하나 이상의 중요한 확장을 사용할 수 없기 때문에 LDAP 서버가 요청을 충족할 수 없음을 나타냅니다. 서버가 컨트롤을 지원하지 않거나 컨트롤이 작업 유형에 적합하지 않습니다. |
| 13 | LDAP_CONFIDENTIALITY_REQUIRED | 세션 기밀성을 제공하는 TLS(전송 계층 보안)와 같은 프로토콜에 의해 세션이 보호되지 않음을 나타냅니다. |
| 14 | LDAP_SASL_BIND_IN_PROGRESS | 오류 상태를 나타내지는 않지만 서버가 프로세스의 다음 단계를 위해 준비되었음을 나타냅니다. 클라이언트는 프로세스를 계속하려면 동일한 SASL 메커니즘을 서버에 보내야 합니다. |
| 15 | 사용되지 않습니다. | |
| 16 | LDAP_NO_SUCH_ATTRIBUTE | 수정 또는 비교 작업에 지정된 속성이 항목에 없음을 나타냅니다. |
| 17 | LDAP_UNDEFINED_TYPE | I수정 또는 추가 작업에 지정된 속성이 LDAP 서버의 스키마에 존재하지 않음을 나타냅니다. |
| 18 | LDAP_INAPPROPRIATE_MATCHING | 검색 필터에 지정된 일치 규칙이 속성 구문에 대해 정의된 규칙과 일치하지 않음을 나타냅니다. |
| 19 | LDAP_CONSTRAINT_VIOLATION | DN 수정, 추가 또는 수정 작업에 지정된 속성 값이 속성에 적용된 제약 조건을 위반함을 나타냅니다. 제약 조건은 크기 또는 내용 중 하나일 수 있습니다(문자열만, 바이너리 없음). |
| 20 | LDAP_TYPE_OR_VALUE_EXISTS | 수정 또는 추가 작업에 지정된 속성 값이 해당 속성에 대한 값으로 이미 존재함을 나타냅니다. |
| 21 | LDAP_INVALID_SYNTAX | 추가, 비교 또는 수정 작업에 지정된 속성 값이 속성에 대해 인식할 수 없거나 잘못된 구문임을 나타냅니다. |
| 22-31 | 사용되지 않습니다. | |
| 32 | LDAP_NO_SUCH_OBJECT | I대상 개체를 찾을 수 없음을 나타냅니다. 이 코드는 다음 작업에서는 반환되지 않습니다. 검색 기준을 찾았지만 검색 필터와 일치하는 항목을 찾을 수 없는 검색 작업. 바인딩 작업. |
| 33 | LDAP_ALIAS_PROBLEM | 별칭이 역참조될 때 오류가 발생했음을 나타냅니다. |
| 34 | LDAP_INVALID_DN_SYNTAX | IDN 구문이 올바르지 않음을 나타냅니다. (DN 구문이 올바르지만 LDAP 서버의 구조 규칙이 작업을 허용하지 않는 경우 서버는 코드 53: LDAP_UNWILLING_TO_PERFORM을 반환합니다.) |
| 35 | LDAP_IS_LEAF | 지정된 작업을 리프 항목에 대해 수행할 수 없음을 나타냅니다. (이 코드는 현재 LDAP 사양에 없지만 이 상수를 위해 예약되어 있습니다.) |
| 36 | LDAP_ALIAS_DEREF_PROBLEM | 검색 작업 중에 클라이언트에 별칭이 지정된 개체의 이름을 읽을 수 있는 액세스 권한이 없거나 역참조가 허용되지 않음을 나타냅니다. |
| 37-47 | 사용되지 않습니다. | |
| 48 | LDAP_INAPPROPRIATE_AUTH | 바인드 작업 중에 클라이언트가 클라이언트가 올바르게 사용할 수 없는 인증 방법을 사용하려고 시도하고 있음을 나타냅니다. 예를 들어, 다음 중 하나로 인해 이 오류가 발생합니다. 강력한 자격 증명이 필요할 때 클라이언트가 단순 자격 증명을 반환합니다. 또는 ~항목에 암호가 정의되어 있지 않을 때 클라이언트가 단순 바인드에 대한 DN과 암호를 반환합니다. |
| 49 | LDAP_INVALID_CREDENTIALS | 바인드 작업 중에 다음 중 하나가 발생했음을 나타냅니다. 클라이언트가 잘못된 DN 또는 비밀번호를 전달했거나 비밀번호가 만료되었거나 침입자 감지로 계정이 잠겼거나 기타 유사한 이유로 비밀번호가 올바르지 않습니다. 자세한 내용은 데이터 코드를 참조하십시오. |
| 49 / 52e | AD_INVALID CREDENTIALS | 사용자 이름은 유효하지만 암호와 사용자 자격 증명의 조합이 잘못된 경우 반환되는 AD(Active Directory) AcceptSecurityContext 오류를 나타냅니다. 이것은 LDAP 오류 코드 49에 해당하는 AD입니다. |
| 49 / 525 | USER NOT FOUND | 사용자 이름이 유효하지 않을 때 반환되는 AD(Active Directory) AcceptSecurityContext 데이터 오류를 나타냅니다. |
| 49 / 530 | NOT_PERMITTED_TO_LOGON_AT_THIS_TIME | 사용자가 현재 로그온할 수 없기 때문에 발생한 로그온 실패인 AD(Active Directory) AcceptSecurityContext 데이터 오류를 나타냅니다. 유효한 사용자 이름과 유효한 암호 자격 증명이 제공된 경우에만 반환됩니다. |
| 49 / 531 | RESTRICTED_TO_SPECIFIC_MACHINES | 사용자가 이 컴퓨터에서 로그온할 수 없기 때문에 발생한 로그온 실패인 AD(Active Directory) AcceptSecurityContext 데이터 오류를 나타냅니다. 유효한 사용자 이름과 유효한 암호 자격 증명이 제공된 경우에만 반환됩니다. |
| 49 / 532 | PASSWORD_EXPIRED | 로그온 실패인 AD(Active Directory) AcceptSecurityContext 데이터 오류를 나타냅니다. 지정된 계정 비밀번호가 만료되었습니다. 유효한 사용자 이름과 암호 자격 증명이 제공된 경우에만 반환됩니다. |
| 49 / 533 | ACCOUNT_DISABLED | 로그온 실패인 AD(Active Directory) AcceptSecurityContext 데이터 오류를 나타냅니다. 현재 계정이 비활성화되어 있습니다. 유효한 사용자 이름과 암호 자격 증명이 제공된 경우에만 반환됩니다. |
| 49 / 568 | ERROR_TOO_MANY_CONTEXT_IDS | 로그온 시도 중에 사용자의 보안 컨텍스트가 너무 많은 보안 ID를 축적했음을 나타냅니다. 이것은 LDAP 관리자가 조사해야 하는 특정 LDAP 사용자 개체/계정과 관련된 문제입니다. |
| 49 / 701 | ACCOUNT_EXPIRED | 로그온 실패인 AD(Active Directory) AcceptSecurityContext 데이터 오류를 나타냅니다. 사용자의 계정이 만료되었습니다. 유효한 사용자 이름과 암호 자격 증명이 제공된 경우에만 반환됩니다. |
| 49 / 773 | USER MUST RESET PASSWORD | AD(Active Directory) AcceptSecurityContext 데이터 오류를 나타냅니다. 처음 로그인하기 전에 사용자의 비밀번호를 변경해야 합니다. 유효한 사용자 이름 및 암호 자격 증명이 제공된 경우에만 반환됩니다. |
| 50 | LDAP_INSUFFICIENT_ACCESS | 호출자에게 요청된 작업을 수행할 수 있는 충분한 권한이 없음을 나타냅니다. |
| 51 | LDAP_BUSY | 현재 LDAP 서버가 너무 바빠서 클라이언트 요청을 처리할 수 없지만 클라이언트가 요청을 기다렸다가 다시 제출하면 서버가 해당 요청을 처리할 수 있음을 나타냅니다. |
| 52 | LDAP_UNAVAILABLE | 일반적으로 종료 중이기 때문에 LDAP 서버가 클라이언트의 바인드 요청을 처리할 수 없음을 나타냅니다. |
| 52e | AD_INVALID CREDENTIALS | 사용자 이름은 유효하지만 암호와 사용자 자격 증명의 조합이 잘못된 경우 반환되는 AD(Active Directory) AcceptSecurityContext 오류를 나타냅니다. 이것은 LDAP 오류 코드 49: LDAP_INVALID_CREDENTIALS에 해당하는 AD입니다. |
| 53 | LDAP_UNWILLING_TO_PERFORM | 서버 정의 제한 때문에 LDAP 서버가 요청을 처리할 수 없음을 나타냅니다. 이 오류는 다음과 같은 이유로 반환됩니다. 항목 추가 요청이 서버의 구조 규칙을 위반합니다. 또는 속성 수정 요청이 사용자가 수정할 수 없는 속성을 지정합니다. 또는 비밀번호 제한이 작업을 방지합니다. 또는 연결 제한으로 인해 작업이 수행되지 않습니다. |
| 54 | LDAP_LOOP_DETECT | 클라이언트가 별칭 또는 참조 루프를 발견하여 이 요청을 완료할 수 없음을 나타냅니다. |
| 55-63 | 사용되지 않습니다. | |
| 64 | LDAP_NAMING_VIOLATION | DN 추가 또는 수정 작업이 스키마의 구조 규칙을 위반함을 나타냅니다. 예를 들어, 요청은 항목을 별칭에 종속시킵니다. 요청은 격리 규칙에 의해 금지된 컨테이너에 항목을 종속시킵니다. 항목의 RDN은 금지된 속성 유형을 사용합니다. |
| 65 | LDAP_OBJECT_CLASS_VIOLATION | DN 추가, 수정 또는 수정 작업이 항목에 대한 객체 클래스 규칙을 위반함을 나타냅니다. 예를 들어, 다음 유형의 요청은 이 오류를 반환합니다. 추가 또는 수정 작업은 필수 속성 값이 없는 항목을 추가하려고 합니다. 추가 또는 수정 작업은 클래스 정의에 포함되지 않은 속성 값이 있는 항목을 추가하려고 합니다. 수정 작업은 속성을 필수로 정의하는 보조 클래스를 제거하지 않고 필수 속성을 제거하려고 시도합니다. |
| 66 | LDAP_NOT_ALLOWED_ON_NONLEAF | 요청한 작업이 리프 항목에서만 허용됨을 나타냅니다. 예를 들어, 다음 유형의 요청은 이 오류를 반환합니다. 클라이언트가 상위 항목에 대한 삭제 작업을 요청합니다. 클라이언트가 상위 항목에 대한 DN 수정 작업을 요청합니다. |
| 67 | LDAP_NOT_ALLOWED_ON_RDN | 수정 작업이 항목의 상대 고유 이름을 형성하는 속성 값을 제거하려고 시도했음을 나타냅니다. |
| 68 | LDAP_ALREADY_EXISTS | 추가 작업이 이미 존재하는 항목을 추가하려고 시도했거나 수정 작업이 이미 존재하는 항목의 이름으로 항목 이름을 바꾸려고 시도했음을 나타냅니다. |
| 69 | LDAP_NO_OBJECT_CLASS_MODS | 수정 작업이 개체 클래스의 구조 규칙을 수정하려고 시도했음을 나타냅니다. |
| 70 | LDAP_RESULTS_TOO_LARGE | CLDAP용으로 예약되었습니다. |
| 71 | LDAP_AFFECTS_MULTIPLE_DSAS | DN 수정 작업이 항목을 한 LDAP 서버에서 다른 LDAP 서버로 이동하고 둘 이상의 LDAP 서버가 필요함을 나타냅니다. |
| 72-79 | 사용되지 않습니다. | |
| 80 | LDAP_OTHER | 알 수 없는 오류 상태를 나타냅니다. 이것은 다른 LDAP 오류 코드에 매핑되지 않는 NDS 오류 코드의 기본값입니다. |
| 775 | USER_ACCOUNT_LOCKED | 사용자 계정이 잠겨 있어 사용자가 로그인할 수 없음을 나타냅니다. |
[취약점 점검/웹(Web)] - [Web] LDAP 인젝션 (LI)
[Web] LDAP 인젝션 (LI)
LDAP 인젝션 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 취약한 시스템에 신뢰할 수 없는 LDAP 코드 삽입 공격을 통한 비인가자의 악의적인 행위를 차단하기 위함 ■ 보안 위협 - 응용 프로그램이
coconuts.tistory.com