1
Общий раздел / Re: Попытка подружить LDAP и Kerberos
« : 02 Декабрь 2016, 08:23:50 »
OldVedmak, на первый взгляд в kdc.conf не хватает названия раздела, [kdcdefaults]
В этом разделе можно просмотреть все сообщения, сделанные этим пользователем.
ldap_kdc_dn = cn=krbadmin,ou=Special Users,dc=mydomain,dc=com
ldap_kadmind_dn = cn=krbadmin,ou=Special Users,dc=mydomain,dc=com
ldap_kdc_dn = "cn=krbadmin,ou=Special Users,dc=mydomain,dc=com"
ldap_kadmind_dn = "cn=krbadmin,ou=Special Users,dc=mydomain,dc=com"
Оно так и должно быть или можно/нужно/правильнее в nslcd (как-то) изменить запросы в ldap?
dn: cn=sysadmin,ou=groups,dc=example,dc=com
objectClass: posixGroup
objectClass: top
cn: sysadmin
gidNumber: 5000
description: UNIX systems administrators
memberUid: 10000
memberUid: 20000
Код: [Выделить]root@mail openldap# ldapwhoami
SASL/GSSAPI authentication started
ldap_sasl_interactive_bind_s: Local error (-2)
additional info: SASL(-1): generic failure: GSSAPI Error: An invalid name was supplied (Cannot determine realm for numeric host address)
$ kinit -p krbadm/admin@REGUL8OR.HOME
Или$ kinit -p krbadm@REGUL8OR.HOME
И проверьте, получили ли вы тикет с помощью$ klist
dn: olcDatabase={1}hdb,cn=config
olcAccess: {0}to *
by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage
by * break
olcAccess: {1}to attrs=userPassword...