Назад | Перейти на главную страницу

Как использовать ldapsearch с межсферным билетом?

kinit user@DOMAIN.TLD
klist -afe

Кеш билетов: ФАЙЛ: / tmp / krb5cc_1000
Принципал по умолчанию: user@DOMAIN.TLD
Действительный начиная с истекает срок действия принципала обслуживания
04.08.11 13:14:53 08.05.11 01:14:53 krbtgt/DOMAIN.TLD@DOMAIN.TLD
продлить до 08.05.11 13:14:53, Флаги: FRI
Etype (скей, ткт): des3-cbc-sha1, des3-cbc-sha1
Адреса: (нет)

ldapwhoami -h dc1.windows.domain.tld

SASL / GSSAPI аутентификация запущена
ldap_sasl_interactive_bind_s: Локальная ошибка (-2)
дополнительная информация: SASL (-1): общий сбой: ошибка GSSAPI: неуказанный сбой GSS. Дополнительный код может предоставить дополнительную информацию (сервер ldap/dc1.windows.DOMAIN.TLD@DOMAIN.TLD не найден в базе данных Kerberos)

kvno ldap/dc1.windows.domain.tld@WINDOWS.DOMAIN.TLD
ldap/dc1.windows.domain.tld@WINDOWS.DOMAIN.TLD: kvno = 65

klist -afe

Кеш билетов: ФАЙЛ: / tmp / krb5cc_1000
Принципал по умолчанию: user@DOMAIN.TLD
Действительный начиная с истекает срок действия принципала обслуживания
04.08.11 13:14:53 08.05.11 01:14:53 krbtgt/DOMAIN.TLD@DOMAIN.TLD
продлить до 08.05.11 13:14:53, Флаги: FRI
Etype (скей, ткт): des3-cbc-sha1, des3-cbc-sha1
Адреса: (нет)
04.08.11 13:24:35 08.05.11 01:14:53 krbtgt/WINDOWS.DOMAIN.TLD@DOMAIN.TLD
продлить до 08.05.11 13:14:53, Флаги: FRT
Etype (skey, tkt): des-cbc-crc, des-cbc-crc
Адреса: (нет)
04.08.11 13:24:35 08.05.11 01:14:53 ldap/dc1.windows.domain.tld@WINDOWS.DOMAIN.TLD продлить до 08.05.11 13:14:53, Флаги: FR
Etype (skey, tkt): arcfour-hmac, arcfour-hmac
Адреса: (нет)

ldapwhoami -h dc1.windows.domain.tld

SASL / GSSAPI аутентификация запущена
ldap_sasl_interactive_bind_s: Локальная ошибка (-2)
дополнительная информация: SASL (-1): общий сбой: ошибка GSSAPI: неуказанный сбой GSS. Дополнительный код может предоставить дополнительную информацию (сервер ldap/dc1.windows.domain.tld@DOMAIN.TLD не найден в базе данных Kerberos)

Недостаточное сопоставление области домена.

Требуется либо
krb5.conf:
[domain_realm]
windows.domain.tld = WINDOWS.DOMAIN.TLD
.windows.domain.tld = WINDOWS.DOMAIN.TLD
или
DNS:
_kerberos.windows.domain.tld. TXT "WINDOWS.DOMAIN.TLD"

Был только DNS:
_kerberos.domain.tld. IN TXT "DOMAIN.TLD"

ldapserver должен быть первой записью в / etc / hosts

192.168.1.5  fqdn.of.your.ad.server some.other.name and.another

Если в dns все правильно, то удалите строчку из / etc / hosts все вместе.