服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 无法从Linux主机使用Kerberos查询AD
Intereting Posts
phpMyAdmin在RHEL 6上对nginx和php-fpm有问题 如何通过root访问阻止黑客删除远程备份? 带有GeoIP的Nginx – 没有find映射时返回的地理代码是什么? A-Record故障切换? 刷新连接到SSAS的Excel Web部件和要求? 在保修/服务合同之外更换LeftHand SAN硬盘 Bash更新到4.2后开始丢失debugging器 为什么AWS CodeDeploy超时时间超过了指定的超时时间? 跟踪已连接到networking的networking电缆 什么时候在logrotate中使用delaycompress选项? 如何更换我的NAS上的驱动器? Windows更新通知? networking移动存储 Git远程遥控 匿名Samba跨子网共享(没有WINS?)

无法从Linux主机使用Kerberos查询AD

 
ldapsearch -H <URL> -b <BASE> -s sub -D <USER> -x -w <PW>

工作正常 

 kinit <USER>@<REALM> ldapsearch -H <URL> -b <BASE> -s sub

失败: 

 text: 000004DC: LdapErr: DSID-0C0906E8, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v1db1 kinit Administrator@<REALM> ldapsearch -H <URL> -b <BASE> -s sub

也正常工作

通常的谷歌search没有显示任何有趣的事情。 (关于时间偏差和使用userPrincipalName与组件名称的-D ,通常有一些评论,但在使用kinit时应该注意这一点。)

有任何想法吗?

我发现在ldapsearch命令行上指定“-O maxssf = 0”是必要的,以便GSSAPI ADsearch能够正常工作。 以下命令适用于通过SSL连接searchAD全局编录: 

 ldapsearch -LLL -O maxssf=0 -Y GSSAPI -H ldaps://ad.realm.local:3269 -b "dc=realm,dc=local" '(sAMAccountName=userid)'

此外,为了使Kerberos身份validation与ldapsearch一起使用,必须正确configurationDNS以进行反向IP查找。 如果没有,你会得到一个“不能确定数字主机地址领域”的错误。 如有必要,您可以将AD服务器的IP和主机名放在hosts文件中以使其工作。

ldapsearch(1)页: 

 -Y mech Specify the SASL mechanism to be used for authentication. If it's not specified, the program will choose the best mechanism the server knows.

例如: 

 ldapsearch -Y GSSAPI -b "dc=example,dc=com" uid=user

假设你的/etc/gssapi_mech.conf如下所示: 

 # grep -v ^# /etc/gssapi_mech.conf libgssapi_krb5.so.2 mechglue_internal_krb5_init