Ldap

如何將 ldapsearch 與跨領域票證一起使用?

  • November 7, 2014

kinit user@DOMAIN.TLD

klist -afe

票證記憶體:FILE:/tmp/krb5cc_1000

預設主體:user@DOMAIN.TLD

有效的開始過期服務主體

08/04/11 13:14:53 08/05/11 01:14:53 krbtgt/DOMAIN.TLD@DOMAIN。 TLD

續訂至 2011 年 8 月 5 日 13:14:53,標誌:FRI

Etype(skey,tkt):des3-cbc-sha1,des3-cbc-sha1

地址:(無)

ldapwhoami -h dc1.windows.domain.tld

SASL/GSSAPI 身份驗證已啟動

ldap_sasl_interactive_bind_s:本地錯誤 (-2)

附加資訊:SASL(-1):一般故障:GSSAPI 錯誤:未指定的 GSS 故障。次要程式碼可能會提供更多資訊(在 Kerberos 數據庫中找不到伺服器 ldap/dc1.windows.DOMAIN.TLD@DOMAIN.TLD

kvno ldap/dc1.windows.domain.tld@WINDOWS.DOMAIN.TLD

ldap/dc1.windows.domain.tld@WINDOWS.DOMAIN.TLD: kvno = 65

klist -afe

票證記憶體:FILE:/tmp/krb5cc_1000

預設主體:user@DOMAIN.TLD

有效的開始過期服務主體

08/04/11 13:14:53 08/05/11 01:14:53 krbtgt/DOMAIN.TLD@DOMAIN。 TLD

續訂至 2011 年 8 月 5 日 13:14:53,標誌:FRI

Etype(skey,tkt):des3-cbc-sha1,des3-cbc-sha1

地址:(無)

11 年 8 月 4 日 13:24:35 2011 年8 月 5 日 01:14:53 krbtgt/WINDOWS.DOMAIN.TLD@DOMAIN.TLD

續訂至 2011 年 8 月 5 日 13:14:53,標誌:FRT

Etype(skey,tkt):des-cbc-crc, des-cbc-crc

地址:(無)

08/04/11 13:24:35 08/05/11 01:14:53 ldap/dc1.windows.domain.tld@WINDOWS.DOMAIN.TLD 續訂至 08/05 /11 13:14:53,旗幟:FR

Etype(skey,tkt):arcfour-hmac,arcfour-hmac

地址:(無)

ldapwhoami -h dc1.windows.domain.tld

SASL/GSSAPI 身份驗證已啟動

ldap_sasl_interactive_bind_s:本地錯誤 (-2)

附加資訊:SASL(-1):一般故障:GSSAPI 錯誤:未指定的 GSS 故障。次要程式碼可能會提供更多資訊(在 Kerberos 數據庫中找不到伺服器 ldap/dc1.windows.domain.tld@DOMAIN.TLD

域領域映射不足。

需要

krb5.conf:

[domain_realm]

windows.domain.tld = WINDOWS.DOMAIN.TLD

.windows.domain.tld = WINDOWS.DOMAIN.TLD

DNS:

_kerberos.windows.domain.tld. TXT "WINDOWS.DOMAIN.TLD"

只有DNS:

_kerberos.domain.tld. IN TXT "DOMAIN.TLD"

ldapserver 必須是 /etc/hosts 中的第一個條目

192.168.1.5  fqdn.of.your.ad.server some.other.name and.another

如果 dns 中的所有內容都正確,則從 /etc/hosts 中刪除該行。

引用自:https://serverfault.com/questions/297769