我可以使用 ldapsearch 成功连接并搜索到 Active Directory 域控制器。我正在使用该-x选项来指定用户名/密码身份验证(密码由-W和用户名由指定-D)。
我目前需要从 MIT-kerberos 域转储目录。Kerberos 是唯一可用于身份验证的协议。我可以检索 kerberos TGT 票证kinit。我正在使用这些命令行:
ldapsearch -Y SASL -b "REALM.INC" -H ldap://kerberos_IP_address
-> ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
additional info: SASL(-4): no mechanism available: No worthy mechs found
ldapsearch -o "mech=GSSAPI" ...
-> Invalid general option name: mech
如何使用 ldapsearch 对 kerberos 进行身份验证?
非常感谢您的帮助和回复
您可能缺少libsasl2-modules-gssapi-mit包裹。
没有:
# ldapsearch -H ldap://dc1 -Y GSSAPI -b 'DC=ad-test,DC=vx'
ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
additional info: SASL(-4): no mechanism available: No worthy mechs found
安装:
# apt install libsasl2-modules-gssapi-mit
和:
# ldapsearch -H ldap://dc1 -Y GSSAPI -b 'DC=ad-test,DC=vx'
SASL/GSSAPI authentication started
SASL username: Administrator@AD-TEST.VX
SASL SSF: 256
SASL data security layer installed.
...
默认情况下启用 SASL,并且会自动检测兼容机制,因此-Y GSSAPI甚至不需要指定:
# ldapsearch -H ldap://dc1 -b 'DC=ad-test,DC=vx'
SASL/GSSAPI authentication started
SASL username: Administrator@AD-TEST.VX
SASL SSF: 256
SASL data security layer installed.
...
| 归档时间: |
|
| 查看次数: |
16395 次 |
| 最近记录: |