Heimdal,Ldap und GSSAPI

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
Cologne4711
Beiträge: 260
Registriert: 04.12.2006 11:37:59

Heimdal,Ldap und GSSAPI

Beitrag von Cologne4711 » 20.03.2009 16:01:33

Hallo,

ich habe ein Problem mit Heimdal,Ldap und GSSAPI.

hier mal eine kurze Berschreibung ...

Zuerst besorge ich mir ein Ticket.

Code: Alles auswählen

root@l098t:~/ldif# kinit ldapmaster/admin
ldapmaster/admin@DOMAIN24's Password:

Code: Alles auswählen

root@l098t:~/ldif# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: ldapmaster/admin

  Issued           Expires          Principal
Mar 20 15:19:32  Mar 21 13:32:52  krbtgt/DOMAIN24@DOMAIN24
Dann versuche ich, mit GSSAPI auf den Ldap zuzugreifen. Es erscheint aber die folgende Fehlermeldung

Code: Alles auswählen

root@l098t:~/ldif# ldapwhoami -Y GSSAPI -H ldapi://
SASL/GSSAPI authentication started
ldap_sasl_interactive_bind_s: Other (e.g., implementation specific) error (80)
mit EXERNAL funktioniert das ganze dann wieder ...

Code: Alles auswählen

root@l098t:~/ldif# ldapwhoami -Y EXTERNAL -H ldapi://
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
dn:krb5PrincipalName=ldapmaster/admin@DOMAIN24,ou=kerberosprincipals,dc=domain24,dc=feld

Code: Alles auswählen

root@l098t:~/ldif# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal:ldapmaster/admin

  Issued           Expires          Principal
Mar 20 15:19:32  Mar 21 13:32:52  krbtgt/DOMAIN24@DOMAIN24
Mar 20 15:20:05  Mar 21 13:32:52  ldap/l098t.domain22@DOMAIN24
Hier noch mal die enstprechenden Config Dateien

root@l098t:# cat /usr/lib/sasl2/slapd.conf

Code: Alles auswählen

pwcheck_method: saslauthd
saslauthd_path: /var/run/sasl2/mux
keytab: /etc/krb5.keytab
root@l098t:~# cat /etc/saslauthd.conf

Code: Alles auswählen

ldap_servers: ldapi:///
ldap_version: 3
ldap_referrals: no
ldap_auth_method: fastbind
ldap_scope: sub
ldap_search_base: dc=domain24,dc=feld
ldap_filter: uid=%u
root@l098t:~# cat /etc/default/saslauthd

Code: Alles auswählen

START=yes
DESC="SASL Authentication Daemon"
NAME="saslauthd"
MECHANISMS="ldap"
MECH_OPTIONS=""
THREADS=5
OPTIONS=" -m /var/run/saslauthd"
Die entsprechenden Einträge der /etc/ldap/slapd.conf

Code: Alles auswählen

TLSCACertificateFile  /etc/ldap/ssl/cacert.pem
TLSCertificateFile    /etc/ldap/ssl/servercrt.pem
TLSCertificateKeyFile /etc/ldap/ssl/serverkey.pem
sasl-host l098t.domain22
sasl-realm DOMAIN24
authz-regexp
   uid=(.+),cn=(.+),cn=gssapi,cn=auth
   ldap:///dc=domain24,dc=feld??sub?(krb5PrincipalName=$1@DOMAIN24)
sasl-secprops  noanonymous
root@l098t:~# cat /etc/default/slapd

Code: Alles auswählen

SLAPD_CONF=
SLAPD_USER="root"
SLAPD_GROUP="root"
SLAPD_PIDFILE=
SLAPD_SERVICES="ldap:/// ldaps:/// ldapi://%2fvar%2frun%2fldapi/"
SLAPD_SENTINEL_FILE=/etc/ldap/noslapd
export KRB5_KTNAME=/etc/ldap/ldap.keytab
SLAPD_OPTIONS="-4"
Vielleicht hat ja jemand eine Idee.

MfG
Nach oben
Antworten

Zurück zu „weitere Dienste“