我正在尝试让 nslcd 使用 GSSAPI 和 kerberos 身份验证连接到 ldap 实例。我遇到的问题是 nslcd 一直使用错误的主体尝试连接到远程 ldap 服务器。
我猜想它正在使用反向 DNS 查找来获取主体,但是我无法为 AWS 上的实例设置反向 DNS 记录。我已rdns = false在 krb5.conf 文件中进行了设置,但是它继续使用反向 DNS 主体名称。
有没有办法告诉 nslcd 使用什么主体或停止它执行反向 DNS 查找并使用主机名本身?
如果有任何区别的话,它使用 mit kerberos 和 openldap。
这是运行 k5start 的日志输出和命令
/usr/bin/k5start -b -p /var/run/nslcd/k5start_nslcd.pid -o nslcd -g nslcd -m 600 -f /etc/krb5.keytab -K 60 -u host/auth-02.example.com -k /tmp/nslcd.cc
Jul 20 14:55:20 auth-02.example.com nslcd[10585]: GSSAPI client step 1 Jul 20 14:55:20 auth-02.example.com nslcd[10585]: GSSAPI client step 1 Jul 20 14:55:20 auth-02.example.com nslcd[10585]: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Server krbtgt/[email protected] not found in Kerberos database) Jul 20 14:55:20 auth-02.example.com nslcd[10585]: [8b4567] <group/member="nslcd"> failed to bind to LDAP server ldap://auth-01.example.com: Local error: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Server krbtgt/C... Jul 20 14:55:20 auth-02.example.com nslcd[10585]: GSSAPI client step 1 Jul 20 14:55:20 auth-02.example.com nslcd[10585]: GSSAPI client step 1 Jul 20 14:55:20 auth-02.example.com nslcd[10585]: GSSAPI client step 1 Jul 20 14:55:20 auth-02.example.com nslcd[10585]: GSSAPI client step 1 Jul 20 14:55:20 auth-02.example.com nslcd[10585]: GSSAPI client step 2 Jul 20 14:55:20 auth-02.example.com nslcd[10585]: [8b4567] <group/member="nslcd"> connected to LDAP server ldap://auth-02.example.com
答案1
我在 中找到了答案nslcd.conf。通过添加选项,sasl_canonicalize no它将停止执行 dns 反向查找并改用主机名。