源码安装OpenLDAP使ldapsearch AD支持GSSAPI

最新推荐文章于 2021-08-24 18:37:30 发布
最新推荐文章于 2021-08-24 18:37:30 发布
阅读量3k 收藏 1
点赞数
文章标签: openldap ldapsearch ad sasl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/winterth/article/details/8791923
版权

需要的软件

openldap-2.4.13
BerkeleyDB-4.6.21
cyrus-sasl-2.1.26
krb5-1.11.1

OpenLDAP和BerkelyDB有版本相关性,上面列出的版本可以兼容。其余2个用最新版即可。

安装步骤

1. 安装BerkeleyDB

tar xvfz db-4.6.21.tar.gz
cd db-4.6.21/build_unix/
../dist/configure -prefix=/usr/local/BerkeleyDB
make
make install

2. 安装基本openldap

export CPPFLAGS="-I/usr/local/BerkeleyDB/include"
export LDFLAGS="-L/usr/local/BerkeleyDB/lib"
export LD_LIBRARY_PATH="/root/db-4.6.21/build_unix/.libs"
cd openldap-2.4.13
./configure --prefix=/root/openldap
make depend
make
make test  
make install

3. 安装krb5

系统自带的krb5可能不支持gssapi,自己装一个比较保险。
./configure --prefix=/root/krb5
make
遇到yacc: Command not found,安装bison解决问题。
make install

4. 安装cyrus-sasl

使用自己编的krb5,系统自带的可能不支持GSSAPI。所以把/root/krb5/lib加入LD_LIBRARY_PATH。
export LD_LIBRARY_PATH="/root/wlu/db-4.6.21/build_unix/.libs:/root/krb5/lib“
 
由于默认会去/usr/lib/sasl2找plugin,而安装是指定了prefix,所以还需要指定一下plugindir。
./configure --prefix=/root/sasl2 --with-openssl=/root/openssl --with-ldap=/root/openldap --with-gss_impl=mit --enable-gssapi=yes --with-plugindir=/root/sasl2/lib/sasl2
用 pluginviewer  | grep -i gssapi 检查gssapi是还被正确安装。(pluginviewer 是cyrus-sasl安装好后,生成的一个可执行文件)

5. 安装带sasl支持的openldap

把CPPFLAGS和LDFLAGS分别改成:
export CPPFLAGS="-I/usr/local/BerkeleyDB/include -I/root/sasl2/include -I/root/krb5/include -lgssapi_krb5 -lgssrpc"
export LDFLAGS="-L/usr/local/BerkeleyDB/lib -L/root/sasl2/lib -L/root/krb5/lib"
然后configure:
./configure --prefix=/root/openldap --with-cyrus-sasl --with-gssapi
之后的步骤就跟前面装openldap一样了。 

LDAPSEARCH

参考:http://www.spinics.net/lists/cyrus-sasl/msg01226.html
先通过kinit获得TGT,然后再ldapsearch。
可以用 ldapsearch -x -LLL -s "base" -b "" supportedSASLMechanisms -h 10.155.60.241 看AD支持哪些SASL:
dn:
supportedSASLMechanisms: GSSAPI
supportedSASLMechanisms: GSS-SPNEGO
supportedSASLMechanisms: EXTERNAL
supportedSASLMechanisms: DIGEST-MD5
ldapsearch -Y GSS-SPNEGO -LLL -s "base" -b "" supportedSASLMechanisms -h 10.155.60.241 做测试。

kinit时遇到问题:
a) kinit: Cannot find KDC for requested realm while getting initial credentials
解决方法,修改/etc/krb5.conf:
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
 
[libdefaults]
default_realm = DEV.CN
dns_lookup_realm = true  <-- false改成true
dns_lookup_kdc = true    <-- false改成true
ticket_lifetime = 24h
forwardable = yes
 
[realms]
DEV.CN = {
  kdc = 10.155.60.241:88           <-- 不用域名,用IP
  admin_server = 10.155.60.241:749 <-- 不用域名,用IP
  default_domain = DEV.CN
}
 
[domain_realm]
.dev.cn = DEV.CN
dev.cn = DEV.CN
 
[appdefaults]
pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
}
b) kinit: KDC reply did not match expectations while getting initial credentials
解决办法:
把域名改成大写 - kinit xxx@DEV.CN

ldapsearch时遇到的问题:
ldap_sasl_interactive_bind_s: Local error (-2)
抓包发现DNS反向查询失败。于是增加DNS反向查询的记录。
改完后,通过抓包发现bind成功,可是又遇到新的问题:
ldap_sasl_interactive_bind_s: More results to return (-15)
改用 ldapsearch -Y GSSAPI -LLL -s "base" -b "" supportedSASLMechanisms -h 10.155.60.241 后,问题解决。

事后分析:
cyrus-sasl+openldap根本不支持 GSS-SPNEGO 去search AD。
在2.1.26的cyrus-sasl的release note里有这样一句话:
- Added support for GSS-SPNEGO SASL mechanism (Unix only), which is also HTTP capable
不知道意思是不是GSS-SPNEGO只支持HTTP,不支持LDAP。

参考:

winterth
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
openldap-2.0.19.tgz_ldap_openldap
09-21
开放源码ldap系统
OpenLDAP+LdapBrowser配置
03-20
NULL 博文链接:https://zhaoshijie.iteye.com/blog/819382
源码安装openldap2.4.45
12-03
描述openldap源码安装配置过程,包括配置主从服务,这里还有根据自己经验设置的开机启动脚本及安装配置脚本文件。
CentOS 7 环境下 OpenLDAP安装与配置
11-02
centos环境 openldap环境搭建与配置
【Kerberos】kerberos认证常见错误介绍
热门推荐
wk022的专栏
01-19 5万+
本节按字母顺序 (A-M) 列出了 Kerberos 命令、Kerberos 守护进程、PAM 框架、GSS 接口、NFS 服务和 Kerberos 库的常见错误消息。 备注:下面这些错误有部分是通用的错误,所以解决方法并不一定适用所有场景,具体的解决方案是需要具体分析。不能一概而论。 All authentication systems disabled; connectio
使用CDH Manager 安装Kerberos服务——之初始化失败
weixin_34221775的博客
09-12 1203
原文:http://blog.sina.com.cn/s/blog_6ccfa4f30100v06s.html我碰到了:第一、二No.1# kinit ad[email protected]init:Cannot find KDC for requested realm whilegetting initial credentialsAdding "dns_lookup_kdc =...
liunx 加入域控_linux下利用samba加入windows域(文字版)_91Ri.org
weixin_39542742的博客
12-20 598
工作需求,需要samba服务器使用Active Directory来进行身份认证。折腾了一段时间,终于配置起来了。Windows 2003域环境的搭建不多说了,网上很多教程,而且都是点鼠标的操作,没啥技术含量,着重讨论Linux的Samba服务器支持域认证的配置过程。Win 2003 Server作为域控制器,客户端提交的认证请求和授权的过程是通过Kerberos5协议来完成的,所以要让Linux...
OpenLDAP部署并整合Windows AD认证
黑神瞬的博客
03-22 6247
安装OpenLdap [root@localhost ~]# yum install -y openldap openldap-clients openldap-servers-sql compat-openldap openldap-devel openldap-servers [root@localhost ~]# systemctl restart slapd.service [root@localhost ~]# systemctl enable slapd.service 配置OpenLDAP
【转帖】Samba AD DC(域控制器)的配置
weixin_30265103的博客
09-01 1297
Samba AD DC(域控制器)的配置 http://lihaitao.cn/?p=299山东前辈写的blog挺好的。。 改天做实验。 发表于2017年3月7日由李海涛 ■Samba AD DC(域控制器)的配置为了使用Active Directory,要事前确认下面项目.・AD DC服务器的主机名:centos7-samba・域名:TESTAD・完整域名:...
本文将实现Windows+Linux的异构环境
weixin_34402408的博客
10-02 102
本文将实现Windows+Linux的异构环境 Windows的AD在企业中的广泛应用,和Linux的稳定性,我们各取所长,构建一个既方便又安全、稳定的环境。 配置方法一: Linux在启动级别3, 所有的操作都是在命令行下。 Windows正常环境,升级为AD,同时集成了DNS...
CentOS6.2下openldap安装源码
12-21
这是CentOS6.2下openldap安装配置详细文档
Kinit :Client ‘‘ not found in Kerberos database while getting initial credentials
小海的专栏
11-13 8173
kinit admin报错 Kinit :Client '' not found in Kerberos database while getting initial credentials 密码错误。
Kerberos常见错误及解决方案
shkstart的博客
08-31 1万+
1、 Kerberos启动后台日志提示异常:No such file or directory – while initializing database for realm HADOOP.COM 在/var/log/krb5kdc.log中发现No such file or directory – while initializing database for realm HADOOP.COM。 解决方案: ①: 检查kdc.conf和krb5.conf文件是否配置正确,修改配置,注意:配置文件的[kdc
常见的 Kerberos 错误消息
zy531的专栏
01-31 1万+
http://docs.oracle.com/cd/E19253-01/819-7061/trouble-6/index.html 列出了 Kerberos 命令、Kerberos 守护进程、PAM 框架、GSS 接口、NFS 服务和 Kerberos 库的常见错误消息 All authentication systems disabled; connection refused
spark疑难杂症
cclovezbf的博客
08-24 1854
背景:上周spark任务还能正常运行。突然执行就开始报错? 写了一个spark的功能读取csv然后导入到hive功能, 先看报错FileNotFoundException :这个报错可太简单了吧,不是就是文件文件找不到,啥文件找不到我就复制啥文件不好了么?是哪个文件?怎么好像打印乱码了呢? 先不管。。。。 在接着看 TGT Renewer for [email protected]] security.UserGroupInformation (UserGroupInformation.java:run(10
LDAP学习笔记
Mliangydy的博客
12-22 865
我们可以通过JNDI的API来操作LDAP LDAP v3 国际化 通过国际字符集(ISO 10646)处理国际化,以表示字符串形式的协议元素(例如DN) LDAP v3与 LDAP v2版本的区别之一:使用UTF-8对字符串编码 认证方式 LDAP的不同版本支持不同类型的身份验证。 LDAP v2支持匿名,简单(明文密码)和Kerberos v4身份验证。 LDAP v3支持匿名,简单和SASL身份验证。 SASL是简单身份验证和安全层(RFC 2222)。它指定了质询-响应协议,在该协
LDAP Admin连接AD域与OpenLdap
weixin_44728369的博客
05-08 1517
LDAPAdmin版本:1.8.3 域为kittlen.com 账号为:administrator 21.128为AD域所在地址 21.127为OpenLdap所在地址 Username填写方式 1.连接AD域 2.连接OpenLdap
Hack The Box——Sauna
江左盟的博客
05-27 3528
简介 信息收集 使用nmap --min-rate 10000 -T5 -A -p1-65535 10.10.10.175扫描端口及服务发现开启的端口非常的多,如图: 查看web服务各功能及源代码,未发现获得Shell的漏洞,网站时静态的,通过W3layouts生成,如图: 扫描网站目录也未发现有价值的线索,如图: 然后看到389端口和3268端口都运行着ldap服...
源码编译安装openldap
最新发布
01-13
以下是源码编译安装OpenLDAP的步骤: 1. 下载OpenLDAP源码包 你可以从OpenLDAP官方网站下载最新的OpenLDAP源码包。下载地址为:https://www.openldap.org/software/download/ 2. 解压源码包 使用以下命令解压下载的源码包: ```shell tar -zxvf openldap-x.x.x.tgz ``` 3. 进入解压后的目录 使用以下命令进入解压后的OpenLDAP源码目录: ```shell cd openldap-x.x.x ``` 4. 配置编译选项 使用以下命令配置编译选项: ```shell ./configure ``` 5. 编译和安装 使用以下命令进行编译和安装: ```shell make sudo make install ``` 6. 配置OpenLDAP安装完成后,你需要进行一些配置来启动OpenLDAP服务。配置文件通常位于/etc/openldap/slapd.conf或/etc/ldap/slapd.conf。你可以根据你的需求进行相应的配置。 7. 启动OpenLDAP服务 使用以下命令启动OpenLDAP服务: ```shell sudo service slapd start ``` 8. 验证安装 使用以下命令验证OpenLDAP是否成功安装: ```shell ldapsearch -x -b '' -s base '(objectclass=*)' namingContexts ``` 如果成功安装,你将看到一些关于OpenLDAP的信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值