![add_principal:创建“[email protected]”时,DN 超出了领域子树](https://linux22.com/image/745886/add_principal%EF%BC%9A%E5%88%9B%E5%BB%BA%E2%80%9C%5Bemail%20protected%5D%E2%80%9D%E6%97%B6%EF%BC%8CDN%20%E8%B6%85%E5%87%BA%E4%BA%86%E9%A2%86%E5%9F%9F%E5%AD%90%E6%A0%91.png)
我正在尝试根据 MIT 文档创建一个链接到 ldap 对象的主体。这是我的 ldap 结构:LDAP 结构
一旦我在 Ldap ou=people,dc=domain,dc=com, (cn=nano,dc=people,dc=domain,dc=com) 中创建了 UID 对象,当我尝试添加带有链接 dn 的主体时,我会收到:
kadmin.local: add_principal -x linkdn=uid=nano,ou=people,dc=domain,dc=com nano
NOTICE: no policy specified for [email protected]; assigning "default"
Enter password for principal "[email protected]":
Re-enter password for principal "[email protected]":
add_principal: DN is out of the realm subtree while creating "[email protected]".
我一直在互联网上寻找解决方案,但我只找到了一个错误报告。
Yast 用户和组管理器能够创建用户并通过 UserKerberosPlugin 创建与其链接的主体。
有人知道我可能配置错误了吗?
编辑:我注意到它无法识别任何子树:
dc01:~ # kdb5_ldap_util -r DOMAIN.COM -H ldapi:/// -D "cn=Manager,dc=domain,dc=com" -W view
Password for "cn=Manager,dc=domain,dc=com":
Realm Name: DOMAIN.COM
因此,我尝试将其提交到 kerberos 数据库:
dc01:~ # kdb5_ldap_util -r DOMAIN.COM -H ldapi:/// -D "cn=Manager,dc=domain,dc=com" create -subtrees "ou=people,dc=domain,dc=com" -sscope 2
Password for "cn=Manager,dc=domain,dc=com":
Initializing database for realm 'DOMAIN.COM'
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key:
Re-enter KDC database master key to verify:
kdb5_ldap_util: Already exists while creating realm 'DOMAIN.COM'
为什么会发生这样的事?
非常感谢。谨致问候。
答案1
最后我通过破坏数据库并重新创建解决了这个问题。
kdb5_ldap_util destroy -r DOMAIN.COM
kdb5_ldap_util -r DOMAIN.COM -H ldapi:/// -D "cn=Manager,dc=DOMAIN,dc=com" create -subtrees "ou=people,dc=DOMAIN,dc=com" -sscope 2
kdb5_ldap_util -r DOMAIN.COM -H ldapi:/// -D "cn=Manager,dc=domain,dc=com" -W view