ldapsearch -H <URL> -b <BASE> -s sub -D <USER> -x -w <PW>
工作良好
kinit <USER>@<REALM> ldapsearch -H <URL> -b <BASE> -s sub
失败了:
text: 000004DC: LdapErr: DSID-0C0906E8,comment: In order to perform this operation a successful bind must be completed on the connection.,data 0,v1db1 kinit Administrator@<REALM> ldapsearch -H <URL> -b <BASE> -s sub
工作得很好
通常的谷歌搜索没有透露任何感兴趣的东西. (关于时间偏差以及对-D使用userPrincipalName vs组件名称有通常的注释,但在使用kinit时应该注意这一点.)
有任何想法吗?
解决方法
我发现在ldapsearch命令行中指定“-O maxssf = 0”是必要的,以便GSSAPI AD搜索正常工作.以下命令可用于通过SSL连接搜索AD全局编录:
ldapsearch -LLL -O maxssf=0 -Y GSSAPI -H ldaps://ad.realm.local:3269 -b "dc=realm,dc=local" '(sAMAccountName=userid)'
此外,为了使Kerberos身份验证与ldapsearch一起使用,必须正确配置DNS以进行反向IP查找.如果没有,您将得到“无法确定数字主机地址的域”错误.如有必要,您可以将AD服务器的IP和主机名放在hosts文件中以使其正常工作.
