如何將 ldapsearch 與跨領域票證一起使用？

kinit user@DOMAIN.TLD

klist -afe

票證記憶體：FILE:/tmp/krb5cc_1000

預設主體：user@DOMAIN.TLD

有效的開始過期服務主體

08/04/11 13:14:53 08/05/11 01:14:53 krbtgt/DOMAIN.TLD@DOMAIN。 TLD

續訂至 2011 年 8 月 5 日 13:14:53，標誌：FRI

Etype（skey，tkt）：des3-cbc-sha1，des3-cbc-sha1

地址：（無）

ldapwhoami -h dc1.windows.domain.tld

SASL/GSSAPI 身份驗證已啟動

ldap_sasl_interactive_bind_s：本地錯誤 (-2)

附加資訊：SASL(-1)：一般故障：GSSAPI 錯誤：未指定的 GSS 故障。次要程式碼可能會提供更多資訊（在 Kerberos 數據庫中找不到伺服器 ldap/dc1.windows.DOMAIN.TLD@DOMAIN.TLD）

kvno ldap/dc1.windows.domain.tld@WINDOWS.DOMAIN.TLD

ldap/dc1.windows.domain.tld@WINDOWS.DOMAIN.TLD: kvno = 65

klist -afe

票證記憶體：FILE:/tmp/krb5cc_1000

預設主體：user@DOMAIN.TLD

有效的開始過期服務主體

08/04/11 13:14:53 08/05/11 01:14:53 krbtgt/DOMAIN.TLD@DOMAIN。 TLD

續訂至 2011 年 8 月 5 日 13:14:53，標誌：FRI

Etype（skey，tkt）：des3-cbc-sha1，des3-cbc-sha1

地址：（無）

11 年 8 月 4 日 13:24:35 2011 年8 月 5 日 01:14:53 krbtgt/WINDOWS.DOMAIN.TLD@DOMAIN.TLD

續訂至 2011 年 8 月 5 日 13:14:53，標誌：FRT

Etype（skey，tkt）：des-cbc-crc， des-cbc-crc

地址：（無）

08/04/11 13:24:35 08/05/11 01:14:53 ldap/dc1.windows.domain.tld@WINDOWS.DOMAIN.TLD 續訂至 08/05 /11 13:14:53，旗幟：FR

Etype（skey，tkt）：arcfour-hmac，arcfour-hmac

地址：（無）

ldapwhoami -h dc1.windows.domain.tld

SASL/GSSAPI 身份驗證已啟動

ldap_sasl_interactive_bind_s：本地錯誤 (-2)

附加資訊：SASL(-1)：一般故障：GSSAPI 錯誤：未指定的 GSS 故障。次要程式碼可能會提供更多資訊（在 Kerberos 數據庫中找不到伺服器 ldap/dc1.windows.domain.tld@DOMAIN.TLD）

域領域映射不足。

需要

krb5.conf:

[domain_realm]

windows.domain.tld = WINDOWS.DOMAIN.TLD

.windows.domain.tld = WINDOWS.DOMAIN.TLD

或

DNS:

_kerberos.windows.domain.tld. TXT "WINDOWS.DOMAIN.TLD"

只有DNS：

_kerberos.domain.tld. IN TXT "DOMAIN.TLD"

ldapserver 必須是 /etc/hosts 中的第一個條目

192.168.1.5  fqdn.of.your.ad.server some.other.name and.another

如果 dns 中的所有內容都正確，則從 /etc/hosts 中刪除該行。

引用自：https://serverfault.com/questions/297769