add_principal：DN 在創建“principal@REALM.COM”時不在領域子樹中

我正在嘗試根據 MIT 文件創建一個連結到 ldap 對象的主體。這是我的 ldap 結構：LDAP STRUCTURE

一旦我在 Ldap ou=people,dc=domain,dc=com, (cn=nano,dc=people,dc=domain,dc=com) 中創建了 UID 對象，當我嘗試使用附加的連結 dn 我收到：

kadmin.local:  add_principal -x linkdn=uid=nano,ou=people,dc=domain,dc=com nano

NOTICE: no policy specified for nano@DOMAIN.COM; assigning "default"
Enter password for principal "nano@DOMAIN.COM":
Re-enter password for principal "nano@DOMAIN.COM":

add_principal: DN is out of the realm subtree while creating "nano@DOMAIN.COM".

我一直在網際網路上尋找解決方案，我發現的只是一個錯誤報告。

Yast 使用者和組管理器能夠創建使用者並通過 UserKerberosPlugin 創建與其連結的主體。

有人知道我可能配置錯誤嗎？

編輯：我注意到它不辨識任何子樹：

dc01:~ # kdb5_ldap_util -r DOMAIN.COM -H ldapi:/// -D "cn=Manager,dc=domain,dc=com" -W view
Password for "cn=Manager,dc=domain,dc=com":
              Realm Name: DOMAIN.COM

因此，我嘗試將其送出到 kerberos 數據庫：

dc01:~ # kdb5_ldap_util -r DOMAIN.COM -H ldapi:/// -D "cn=Manager,dc=domain,dc=com" create -subtrees "ou=people,dc=domain,dc=com" -sscope 2
Password for "cn=Manager,dc=domain,dc=com":
Initializing database for realm 'DOMAIN.COM'
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key:
Re-enter KDC database master key to verify:
kdb5_ldap_util: Already exists while creating realm 'DOMAIN.COM'

為什麼會發生這種情況？

非常感謝。親切的問候。

最後我解決了這個破壞數據庫並再次創建的問題。

kdb5_ldap_util destroy -r DOMAIN.COM
kdb5_ldap_util -r DOMAIN.COM -H ldapi:/// -D "cn=Manager,dc=DOMAIN,dc=com" create -subtrees "ou=people,dc=DOMAIN,dc=com" -sscope 2
kdb5_ldap_util -r DOMAIN.COM -H ldapi:/// -D "cn=Manager,dc=domain,dc=com" -W view

引用自：https://serverfault.com/questions/994420