active-directory – 无法使用Linux主机上的Kerberos查询AD
发布时间:2020-12-13 18:08:25 所属栏目:Linux 来源:网络整理
导读:ldapsearch -H URL -b BASE -s sub -D USER -x -w PW 工作良好 kinit USER@REALMldapsearch -H URL -b BASE -s sub 失败了: text: 000004DC: LdapErr: DSID-0C0906E8,comment: In order to perform this operation a successful bind must be completed on
ldapsearch -H <URL> -b <BASE> -s sub -D <USER> -x -w <PW> 工作良好 kinit <USER>@<REALM> ldapsearch -H <URL> -b <BASE> -s sub 失败了: text: 000004DC: LdapErr: DSID-0C0906E8,comment: In order to perform this operation a successful bind must be completed on the connection.,data 0,v1db1 kinit Administrator@<REALM> ldapsearch -H <URL> -b <BASE> -s sub 工作得很好 通常的谷歌搜索没有透露任何感兴趣的东西. (关于时间偏差以及对-D使用userPrincipalName vs组件名称有通常的注释,但在使用kinit时应该注意这一点.) 有任何想法吗? 解决方法
我发现在ldapsearch命令行中指定“-O maxssf = 0”是必要的,以便GSSAPI AD搜索正常工作.以下命令可用于通过SSL连接搜索AD全局编录:
ldapsearch -LLL -O maxssf=0 -Y GSSAPI -H ldaps://ad.realm.local:3269 -b "dc=realm,dc=local" '(sAMAccountName=userid)' 此外,为了使Kerberos身份验证与ldapsearch一起使用,必须正确配置DNS以进行反向IP查找.如果没有,您将得到“无法确定数字主机地址的域”错误.如有必要,您可以将AD服务器的IP和主机名放在hosts文件中以使其正常工作. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |