Назад | Перейти на главную страницу

nslcd и kerberos без обратного DNS

Я пытаюсь заставить nslcd подключиться к экземпляру ldap с использованием аутентификации GSSAPI и Kerberos. Проблема, с которой я столкнулся, заключается в том, что nslcd продолжает использовать неправильный принципал, чтобы попытаться подключиться к удаленному серверу ldap.

Я предполагаю, что он использует обратный поиск DNS для получения принципала, однако я не могу настроить обратную запись DNS для экземпляра на aws. Я установил rdns = false в моем файле krb5.conf, однако он продолжает использовать обратное имя участника DNS.

Есть ли способ указать nslcd, какой принципал использовать, или остановить обратный поиск DNS и использовать само имя хоста?

Его использование mit kerberos и openldap, если это имеет значение.

Это вывод журнала и команда, выполняющая k5start /usr/bin/k5start -b -p /var/run/nslcd/k5start_nslcd.pid -o nslcd -g nslcd -m 600 -f /etc/krb5.keytab -K 60 -u host/auth-02.example.com -k /tmp/nslcd.cc

Jul 20 14:55:20 auth-02.example.com nslcd[10585]: GSSAPI client step 1 Jul 20 14:55:20 auth-02.example.com nslcd[10585]: GSSAPI client step 1 Jul 20 14:55:20 auth-02.example.com nslcd[10585]: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Server krbtgt/COMPUTE-1.AMAZONAWS.COM@WEREQUIRE.COM not found in Kerberos database) Jul 20 14:55:20 auth-02.example.com nslcd[10585]: [8b4567] <group/member="nslcd"> failed to bind to LDAP server ldap://auth-01.example.com: Local error: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Server krbtgt/C... Jul 20 14:55:20 auth-02.example.com nslcd[10585]: GSSAPI client step 1 Jul 20 14:55:20 auth-02.example.com nslcd[10585]: GSSAPI client step 1 Jul 20 14:55:20 auth-02.example.com nslcd[10585]: GSSAPI client step 1 Jul 20 14:55:20 auth-02.example.com nslcd[10585]: GSSAPI client step 1 Jul 20 14:55:20 auth-02.example.com nslcd[10585]: GSSAPI client step 2 Jul 20 14:55:20 auth-02.example.com nslcd[10585]: [8b4567] <group/member="nslcd"> connected to LDAP server ldap://auth-02.example.com

Я нашел ответ в nslcd.conf. Добавив опцию ssl_canonocalize no это остановит его выполнение обратного поиска DNS и использование имени хоста