如何將 ldapsearch 與跨領域票證一起使用?
kinit user@DOMAIN.TLD
klist -afe
票證記憶體:FILE:/tmp/krb5cc_1000
預設主體:user@DOMAIN.TLD
有效的開始過期服務主體
08/04/11 13:14:53 08/05/11 01:14:53 krbtgt/DOMAIN.TLD@DOMAIN。 TLD
續訂至 2011 年 8 月 5 日 13:14:53,標誌:FRI
Etype(skey,tkt):des3-cbc-sha1,des3-cbc-sha1
地址:(無)
ldapwhoami -h dc1.windows.domain.tld
SASL/GSSAPI 身份驗證已啟動
ldap_sasl_interactive_bind_s:本地錯誤 (-2)
附加資訊:SASL(-1):一般故障:GSSAPI 錯誤:未指定的 GSS 故障。次要程式碼可能會提供更多資訊(在 Kerberos 數據庫中找不到伺服器 ldap/dc1.windows.DOMAIN.TLD@DOMAIN.TLD)
kvno ldap/dc1.windows.domain.tld@WINDOWS.DOMAIN.TLD
ldap/dc1.windows.domain.tld@WINDOWS.DOMAIN.TLD: kvno = 65
klist -afe
票證記憶體:FILE:/tmp/krb5cc_1000
預設主體:user@DOMAIN.TLD
有效的開始過期服務主體
08/04/11 13:14:53 08/05/11 01:14:53 krbtgt/DOMAIN.TLD@DOMAIN。 TLD
續訂至 2011 年 8 月 5 日 13:14:53,標誌:FRI
Etype(skey,tkt):des3-cbc-sha1,des3-cbc-sha1
地址:(無)
11 年 8 月 4 日 13:24:35 2011 年8 月 5 日 01:14:53 krbtgt/WINDOWS.DOMAIN.TLD@DOMAIN.TLD
續訂至 2011 年 8 月 5 日 13:14:53,標誌:FRT
Etype(skey,tkt):des-cbc-crc, des-cbc-crc
地址:(無)
08/04/11 13:24:35 08/05/11 01:14:53 ldap/dc1.windows.domain.tld@WINDOWS.DOMAIN.TLD 續訂至 08/05 /11 13:14:53,旗幟:FR
Etype(skey,tkt):arcfour-hmac,arcfour-hmac
地址:(無)
ldapwhoami -h dc1.windows.domain.tld
SASL/GSSAPI 身份驗證已啟動
ldap_sasl_interactive_bind_s:本地錯誤 (-2)
附加資訊:SASL(-1):一般故障:GSSAPI 錯誤:未指定的 GSS 故障。次要程式碼可能會提供更多資訊(在 Kerberos 數據庫中找不到伺服器 ldap/dc1.windows.domain.tld@DOMAIN.TLD)
域領域映射不足。
需要
krb5.conf:
[domain_realm]
windows.domain.tld = WINDOWS.DOMAIN.TLD
.windows.domain.tld = WINDOWS.DOMAIN.TLD
或
DNS:
_kerberos.windows.domain.tld. TXT "WINDOWS.DOMAIN.TLD"
只有DNS:
_kerberos.domain.tld. IN TXT "DOMAIN.TLD"
ldapserver 必須是 /etc/hosts 中的第一個條目
192.168.1.5 fqdn.of.your.ad.server some.other.name and.another
如果 dns 中的所有內容都正確,則從 /etc/hosts 中刪除該行。