Solución:
Bien, aquí están las configuraciones específicas que necesitaba para que esto funcione:
Host: ims.example.com
Port: 389
User: MYDOMAINaccountName
Password: *******
Base DN: dc=mydomain,dc=example,dc=com
On-The-Fly User Creation: YES
Login: sAMAccountName
Firstname: givenName
Lastname: sN
Email: mail
El truco fue eliminar cn=Users
desde el DN base, después de lo cual todo se unió.
La otra cosa destacable fue la inclusión de un usuario para leer el directorio.
Por último, el usuario que inicia sesión utiliza su nombre de usuario sin calificación de dominio y su contraseña de dominio como de costumbre. Nuestro dominio no requiere una dirección de correo electrónico, por lo que hay un paso adicional en el que la dirección de correo electrónico debe establecerse durante la creación del usuario, pero eso es bastante sencillo.
Un truco para encontrar el DN base para la autenticación LDAP de ActiveDirectory es verificar cuál es el nombre de dominio completo de los usuarios. puedes comprobarlo con:
whoami /FQDN
si ha iniciado sesión como ese usuario, que devuelve algo como
CN=John Doe,OU=users,OU=department,DC=corp,DC=domain,DC=com
y el DN base se puede encontrar quitando el primer CN.
OU=users,OU=department,DC=corp,DC=domain,DC=com
No estoy familiarizado con Redmine, pero parece que estás intentando hacer un enlace anónimo a Active Directory para validar las credenciales. Eso no va a funcionar. Habiendo configurado varios productos para la integración LDAP con AD, este es un problema común que he visto.
De fábrica, AD requiere que los clientes se autentiquen cuando se unen al directorio para realizar consultas.
Eche un vistazo a esta publicación de la wiki de Redmine sobre cómo configurar la autenticación LDAP. Están hablando de especificar una cuenta y contraseña para que Redmine las use (una que tenga derechos para leer el directorio, un “Usuario de dominio” simple y simple servirá) para vincularse al directorio.