我正在使用kerberos进行SASL身份验证的openLDAP。 我对这个身份验证有疑问。
首先,我用kinit获得kerberos票。当我制作一个klist时,会显示该票证。所以,没问题。 但是当我试图制作ldapwhoami时。我收到了一个错误:
[hue@sandbox ~]$ kdestroy
[hue@sandbox ~]$ kinit vishnu
Password for vishnu@MORTO.COM:
[hue@sandbox ~]$ klist
Ticket cache: _FILE:/tmp/krb5cc_1007
Default principal: vishnu@MORTO.COM
Valid starting Expires Service principal
05/29/14 06:42:52 05/29/14 16:42:52 krbtgt/MORTO.COM@MORTO.COM
renew until 06/05/14 06:42:48
05/29/14 06:42:57 05/29/14 16:42:52 ldap/morto.com@MORTO.COM
renew until 06/05/14 06:42:48
[hue@sandbox ~]$ ldapwhoami
SASL/GSSAPI authentication started
ldap_sasl_interactive_bind_s: Other (e.g., implementation specific) error (80)
additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information ()
我不知道在哪里搜索。 求你帮帮我。
答案 0 :(得分:2)
我有丢失次要代码的相同错误消息。在搜索具有类似问题的人时,我注意到这通常与无法访问的密钥表文件有关。
在我的情况下,问题是/etc/openldap/ldap.keytab文件的组是root而不是ldap。其他可能的问题可能是slapd选项文件中的错误或缺少KRB5_KTNAME路径(红帽6上的/ etc / sysconfig / ldap)