Проблема с сопоставлением sasl в Fedora 389 ds?

У меня есть клиент Fedora, который аутентифицируется на сервере centos с 389 ds и kerberos

Я могу бегать kinit <my-user-principal> на клиенте Fedora успешно и получить билет, но, что бы я ни пытался, я просто не могу пройти аутентификацию с помощью kerberos на сервере 389.

всякий раз, когда я пытаюсь ldapwhoami -I -Y GSSAPI Я получаю следующую ошибку:

SASL/GSSAPI authentication started
SASL Interaction
Please enter your authorization name: test@LAB2.LOCAL
ldap_sasl_interactive_bind_s: Invalid credentials (49)
    additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (Unknown error)

Делая клист, я вижу, что у меня есть билеты:

Ticket cache: FILE:/tmp/krb5cc_0
Default principal: test@LAB2.LOCAL

Valid starting     Expires            Service principal
01/09/13 00:26:58  01/10/13 00:26:58  krbtgt/LAB2.LOCAL@LAB2.LOCAL
    renew until 01/09/13 00:26:58
01/09/13 00:27:45  01/10/13 00:26:58  ldap/dp100srv1.lab2.local@LAB2.LOCAL
    renew until 01/09/13 00:26:58

Я отредактировал атрибут nsslapd-accesslog-level для cn = config, чтобы он был равен 260, и когда я проверил журнал доступа, я обнаружил это (172.16.86.200 - это IP-адрес моего клиента Fedora):

tail -n 15 /var/log/dirsrv/slapd-dp100srv1/access
[09/Jan/2013:00:58:13 -0500] conn=130 fd=64 slot=64 connection from 172.16.86.200 to 172.16.86.100
[09/Jan/2013:00:58:16 -0500] conn=130 op=0 BIND dn="" method=sasl version=3 mech=GSSAPI
[09/Jan/2013:00:58:16 -0500] conn=130 op=0 RESULT err=49 tag=97 nentries=0 etime=0
[09/Jan/2013:00:58:16 -0500] conn=130 op=1 UNBIND
[09/Jan/2013:00:58:16 -0500] conn=130 op=1 fd=64 closed - U1

О чем BIND dn = ""? Это не может быть правдой, но, согласно 389 документам, уже настроенных карт sasl по умолчанию должно быть достаточно для моих целей.

Где еще я могу найти решение этой проблемы?