我正在设置带有Kerberos的SASL身份验证的openLDAP。
我对这个身份验证有疑问。
首先,我获得了带有kinit的kerberos票。当我进行klist时,会显示票证。所以,没问题。
但是当我尝试做ldapwhoami时。我有一个错误:
[hue@sandbox ~]$ kdestroy
[hue@sandbox ~]$ kinit vishnu
Password for vishnu@MORTO.COM:
[hue@sandbox ~]$ klist
Ticket cache: _FILE:/tmp/krb5cc_1007
Default principal: vishnu@MORTO.COM
Valid starting Expires Service principal
05/29/14 06:42:52 05/29/14 16:42:52 krbtgt/MORTO.COM@MORTO.COM
renew until 06/05/14 06:42:48
05/29/14 06:42:57 05/29/14 16:42:52 ldap/morto.com@MORTO.COM
renew until 06/05/14 06:42:48
[hue@sandbox ~]$ ldapwhoami
SASL/GSSAPI authentication started
ldap_sasl_interactive_bind_s: Other (e.g., implementation specific) error (80)
additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information ()
我不知道在哪里搜索了。
请帮我。
最佳答案
我有相同的错误消息,缺少次要代码。在寻找有类似问题的人时,我注意到这通常与无法访问的keytab文件有关。
在我的情况下,问题是/etc/openldap/ldap.keytab文件的组是root而不是ldap。其他可能的问题可能是您的slapd选项文件(Red Hat 6上的/etc/sysconfig/ldap)中的KRB5_KTNAME路径错误或丢失。
关于ldap - Kerberos/SASSL/OpenLDAP : GSSAPI Error: Unspecified GSS failure.小代码可能会提供更多信息(),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23936099/