AD kann nicht mit Kerberos vom Linux-Host abgefragt werden

7 
ldapsearch -H <URL> -b <BASE> -s sub -D <USER> -x -w <PW>

funktioniert gut

kinit <USER>@<REALM>
ldapsearch -H <URL> -b <BASE> -s sub

schlägt fehl mit:

text: 000004DC: LdapErr: DSID-0C0906E8, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v1db1

kinit Administrator@<REALM>
ldapsearch -H <URL> -b <BASE> -s sub

funktioniert auch gut

Das übliche Googeln hat nichts Interessantes ergeben. (Es gibt die üblichen Kommentare bezüglich Zeitversatz und Verwendung eines userPrincipalNamevs-Komponentennamens für -D, aber dies sollte bei der Verwendung berücksichtigt werden kinit.)

Irgendwelche Ideen?

active-directory  openldap  ldap 
Niemand Bestimmtes
quelle

Antworten:

4

Ich habe festgestellt, dass die Angabe von "-O maxssf = 0" in der ldapsearch-Befehlszeile erforderlich ist, damit die GSSAPI AD-Suche ordnungsgemäß funktioniert. Mit dem folgenden Befehl kann ich den globalen AD-Katalog über eine SSL-Verbindung durchsuchen:

ldapsearch -LLL -O maxssf=0 -Y GSSAPI -H ldaps://ad.realm.local:3269 -b "dc=realm,dc=local" '(sAMAccountName=userid)'

Damit die Kerberos-Authentifizierung mit ldapsearch funktioniert, muss DNS für Reverse-IP-Lookups ordnungsgemäß konfiguriert sein. Wenn nicht, wird der Fehler "Realm für numerische Hostadresse kann nicht ermittelt werden" angezeigt. Bei Bedarf können Sie die IP-Adresse und den Hostnamen Ihres AD-Servers in Ihre Hosts-Datei einfügen, damit dies funktioniert.

Brian Showalter
quelle
Administratorarbeit sagt mir, dass Kerberos und DNS richtig konfiguriert sind.
Niemand im Besonderen
OK, auf welcher Plattform läuft ldapsearch? Und was ist in Ihrer /etc/ldap/ldap.conf-Datei (oder einer entsprechenden Datei)?
Brian Showalter
@BrianShowalter -O maxssf=0funktioniert heutzutage nicht, da SASL gegen 4752 verstoßen würde, was Microsoft tut. Siehe diesen Fehler und meine Erklärung dazu. Vergessen Sie außerdem das umgekehrte DNS. Active Directory kümmert sich nicht um das umgekehrte DNS sowie die Kerberos-Implementierung von Microsoft. Jedem wird empfohlen, rdns = falsein seinem zu verwenden krb5.conf.
Michael-O
Verwenden Sie weiterhin Centos7 und AD über sssd. Anwenden der -O maxssf=0aktivierten my ldaps auf die reguläre Port 636-Verbindung, um fortzufahren!
bgStack15
2

Aus der ldapsearch(1)Manpage:

-Y mech
Specify the SASL mechanism to be used for authentication. If it's not specified, the program will choose the best mechanism the server knows.

Zum Beispiel:

ldapsearch -Y GSSAPI -b "dc=example,dc=com" uid=user

Angenommen, Ihr /etc/gssapi_mech.confAussehen sieht ungefähr so ​​aus:

# grep -v ^# /etc/gssapi_mech.conf
libgssapi_krb5.so.2             mechglue_internal_krb5_init
dawud
quelle
Warum sollte die Administratorsuche funktionieren, nicht aber die Benutzersuche? Sie kommen beide aus derselben Box. Es scheint mir, dass der zugrunde liegende GSSAPI-Mechanismus in beiden Fällen der gleiche wäre.
Niemand im Besonderen
Ich kenne die Einschränkungen, die beim Abfragen des AD bestehen könnten, nicht. Wenden Sie sich an den Systemadministrator, um dies herauszufinden.
Dawud
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.