add_principal:创建“[email protected]”时,DN 超出了领域子树

add_principal:创建“[email protected]”时,DN 超出了领域子树

我正在尝试根据 MIT 文档创建一个链接到 ldap 对象的主体。这是我的 ldap 结构:LDAP 结构

一旦我在 Ldap ou=people,dc=domain,dc=com, (cn=nano,dc=people,dc=domain,dc=com) 中创建了 UID 对象,当我尝试添加带有链接 dn 的主体时,我会收到:

kadmin.local:  add_principal -x linkdn=uid=nano,ou=people,dc=domain,dc=com nano

NOTICE: no policy specified for [email protected]; assigning "default"
Enter password for principal "[email protected]":
Re-enter password for principal "[email protected]":

add_principal: DN is out of the realm subtree while creating "[email protected]".

我一直在互联网上寻找解决方案,但我只找到了一个错误报告

Yast 用户和组管理器能够创建用户并通过 UserKerberosPlugin 创建与其链接的主体。

有人知道我可能配置错误了吗?

编辑:我注意到它无法识别任何子树:

dc01:~ # kdb5_ldap_util -r DOMAIN.COM -H ldapi:/// -D "cn=Manager,dc=domain,dc=com" -W view
Password for "cn=Manager,dc=domain,dc=com":
               Realm Name: DOMAIN.COM

因此,我尝试将其提交到 kerberos 数据库:

dc01:~ # kdb5_ldap_util -r DOMAIN.COM -H ldapi:/// -D "cn=Manager,dc=domain,dc=com" create -subtrees "ou=people,dc=domain,dc=com" -sscope 2
Password for "cn=Manager,dc=domain,dc=com":
Initializing database for realm 'DOMAIN.COM'
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key:
Re-enter KDC database master key to verify:
kdb5_ldap_util: Already exists while creating realm 'DOMAIN.COM'

为什么会发生这样的事?

非常感谢。谨致问候。

答案1

最后我通过破坏数据库并重新创建解决了这个问题。

kdb5_ldap_util destroy -r DOMAIN.COM
kdb5_ldap_util -r DOMAIN.COM -H ldapi:/// -D "cn=Manager,dc=DOMAIN,dc=com" create -subtrees "ou=people,dc=DOMAIN,dc=com" -sscope 2
kdb5_ldap_util -r DOMAIN.COM -H ldapi:/// -D "cn=Manager,dc=domain,dc=com" -W view

相关内容