Форум проекта Pro-LDAP.ru

Интеграция => Учётные записи в *nix системах => Тема начата: Sdoba от 07 Декабрь 2014, 19:57:40

Название: SASL GSSAPI, "ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)"
Отправлено: Sdoba от 07 Декабрь 2014, 19:57:40

Привет всем!

Есть ли среди посетителей любители Kerberos?  :D

Пробую настроить аутентификацию GSSAPI. KDC и slapd работают на сервере. Клиент - отдельная машина.
И с сервера и с клиента я могу получить билет TGT, например для pablo@EXAMPLE.COM. Выглядит он и на клиенте и на сервере одинаково:

Код: [Выделить]

$  klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: pablo@EXAMPLE.COM

Valid starting       Expires              Service principal
07.12.2014 19:52:46  08.12.2014 19:52:46  krbtgt/EXAMPLE.COM@EXAMPLE.COM
Затем я делаю запрос ldapwhoami с самого сервера - похоже всё выглядит нормально:

Код: [Выделить]

$ ldapwhoami
SASL/GSSAPI authentication started
SASL username: pablo@EXAMPLE.COM
SASL SSF: 56
SASL data security layer installed.
dn:uid=pablo,cn=example.com,cn=gssapi,cn=auth
А при попытке сделать то же самое с клиента:

Код: [Выделить]

$ ldapwhoami
ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)
Пожалуйста подскажите, куда глядеть?

Название: Re: SASL GSSAPI, "ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)"
Отправлено: egor от 08 Декабрь 2014, 00:12:53

Здравствуйте! Мне кажется, тут дело не в Kerberos, а в том, что ldapwhoami (http://pro-ldap.ru/tr/man/ldapwhoami.1.html) не знает куда смотреть =) . Попробуйте:

Код: [Выделить]

# ldapwhoami -H ldap://server.address:port -v
Егор

Название: Re: SASL GSSAPI, "ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1)"
Отправлено: Sdoba от 08 Декабрь 2014, 16:43:18

 Все параметры доступа к серверу OpenLDAP у меня прописаны в /etc/ldap/ldap.conf.

Оказывается просто были ограничены права доступа на эту конфигурацию.  ;D

Спасибо!