LDAP报错:add_principal: Password read interrupted while reading password for "test@EXAMPLE.COM".

最新推荐文章于 2023-04-28 17:00:05 发布
最新推荐文章于 2023-04-28 17:00:05 发布
阅读量859 收藏
点赞数
分类专栏: LDAP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZhouyuanLinli/article/details/78323235
版权

个人整合Kerberos+LDAP,即Kerberos使用的是LDAP数据库,执行命令:

 # kadmin.local

kadmin.local:  addprinc test

报错如下:



原因:

权限问题

个人/etc/krb5.conf内容如下:

[libdefaults]
  renew_lifetime = 7d
  forwardable = true
  default_realm = EXAMPLE.COM
  ticket_lifetime = 24h
  dns_lookup_realm = false
  dns_lookup_kdc = false
  default_ccache_name = /tmp/krb5cc_%{uid}
  #default_tgs_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5
  #default_tkt_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5


[logging]
  default = FILE:/var/log/krb5kdc.log
  admin_server = FILE:/var/log/kadmind.log
  kdc = FILE:/var/log/krb5kdc.log


[realms]
  EXAMPLE.COM = {
    admin_server = c2bde55
    kdc = c2bde55
    max_renewable_life = 30m
    database_module = openldap_ldapconf
  }


[domain_realm]
.example.com = EXAMPLE.COM


[dbdefaults]
    ldap_kerberos_container_dn = cn=kerberos,dc=example,dc=com


[dbmodules]
    openldap_ldapconf = {
        db_library = kldap
        ldap_servers = ldapi://
        ldap_kerberos_container_dn = cn=kerberos,dc=example,dc=com
        ldap_kdc_dn = "cn=root,dc=example,dc=com"
        ldap_kadmind_dn = "cn=root,dc=example,dc=com"
        ldap_service_password_file = /etc/krb5.ldap 
        ldap_conns_per_server = 5
    }

解决方法:

修改创建数据库的默认权限:

进入到 /etc/openldap/slapd.d目录,查看

cat /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}hdb.ldif 可以看到一些默认的配置,例如:

olcSuffix: dc=my-domain,dc=com

olcRootDN: cn=Manager,dc=my-domain,dc=com

建立modify.ldif文件,内容如下:

dn: olcDatabase={2}hdb,cn=config

changetype: modify

replace: olcSuffix

olcSuffix: dc=example,dc=com

 

dn: olcDatabase={2}hdb,cn=config

changetype: modify

replace: olcRootDN

# Temporary lines to allow initial setup

olcRootDN: uid=ldapadmin,ou=people,dc=example,dc=com

 

dn: olcDatabase={2}hdb,cn=config

changetype: modify

add: olcRootPW

olcRootPW: 12345678 #输入密码

 

dn: cn=config

changetype: modify

add: olcAuthzRegexp

olcAuthzRegexp: uid=([^,]*),cn=GSSAPI,cn=auth uid=$1,ou=people,dc=example,dc=com

 

dn: olcDatabase={2}hdb,cn=config

changetype: modify

add: olcAccess

# Everyone can read everything

olcAccess: {0}to dn.base="" by * read

# The ldapadm dn has full write access

olcAccess: {1}to * by dn="uid=ldapadmin,ou=people,dc=example,dc=com" by dn="cn=root,dc=example,dc=com" write by * read

 

使用下面命令导入更新配置:

$ ldapmodify -Y EXTERNAL -H ldapi:/// -f modify.ldif


源神
关注
专栏目录
【0211】tcpdump抓包分析pg_hba.conf以password作为认证证方式下frontend与Backend之间身份验证过程(13 - 1)
专注【PostgreSQL源码学习&研究】
06-19 1627
下的frontend与Backend进程之间的通信过程。结合抓包方式,分析了Backend进程向frontend、frontend向Backend进程等发送的报文,以及各自报文中的详细内容。本文开始,将通过tcpdump抓包分析,结合源码方式,详细讲解当PG数据库在。在前面的几篇文章中,详细讲解了PG数据库在。这个认证过程和前面那几篇文章中讲解的。认证方式下的交互过程一致。
Mac 安装 ClickHouse 报错: Mac 10.15.4: Cannot find objcopy
AI天才研究院
06-18 1万+
Solution run the command below: $ brew install binutils Updating Homebrew... ==> Auto-updated Homebrew! Updated 1 tap (homebrew/cask). ==> Updated Casks Updated 2 casks. ==> Downloading http...
LDAP入门
cxu123321的博客
09-26 439
LDAP入门 消失er关注 62017.12.07 22:19:19字数 1,191阅读 135,511 LDAP入门 首先要先理解什么是LDAP,当时我看了很多解释,也是云里雾里,弄不清楚。在这里给大家稍微捋一捋。 首先LDAP是一种通讯协议,LDAP支持TCP/IP。协议就是标准,并且是抽象的。在这套标准下,AD(Active Directory)是微软出的一套实现。 那AD是什么呢?暂且把它理解成是个数据库。也有很多人直接把LDAP说成数据库(可以把LDAP理解成存储数据的数据库)。像是其
Socket中的read方法阻塞问题
Calvin's Blog
11-22 8562
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
android.util.SuperNotCalledException: Activity {com.example.broadvasttest/com.example.broadvastte
daojian5173的博客
12-27 1436
菜鸟错误大全(二) 我们都是从新手一步一个坑踩过来的,下面我们来讲讲会遇到的常见错误和解决办法: android.util.SuperNotCalledException: Activity {com.example.broadvasttest/com.example.broadvasttest.MainActivity} did not call through to super.onDestr
Cloudera Manager 配置 LDAP - 通过搜索绑定实现用户和组的映射
跟着大数据和AI去旅行
01-26 3851
直接绑定和搜索绑定 因为使用直接绑定方式,会导致集群无法被多个团队的多个角色混用。举个例子,我们有这样的场景: 用户 a1 属于组 A,组 A 对应 Sentry 中的 dev 角色; 用户 a2 属于组 A,组 A 对应 Sentry 中的 dev 角色; 用户 b1 属于组 B,组 B 对应 Sentry 中的 ops 角色; 用户 b2 属于组 B,组 B 对应 Sentry 中的 o
LDAP总结
m0_56921622的博客
08-11 485
LDAP的基本知识 Ldap是一个轻量级访问目录 具有很强大的查询(读)的功能,适合进行大量数据的检索 写方面就慢的多,适合读不适合写 问题 如果数据库选BDB一直启动不了的话,卸载重新安装,选MDB slapd -d 1 -f run文件夹下的run.cmd Win+R->services.msc->OpenLDAP Service设为手动 配置OpenLDAP 找到安装路径,找到slapd.conf文件 将dc修改未任意值 suffix "dc=micmiu,dc=com" r
LDAP报错ldap_sasl_interactive_bind_s
周源的专栏
10-20 5060
如果报ldap_sasl_interactive_bind_s错误,且发现/etc/krb5.keytab不存在, 执行如下操作: cp /etc/openldap/ldap.keytab /etc/krb5.keytab chgrp ldap /etc/krb5.keytab && chmod 640 /etc/krb5.keytab 要以 root 用户身份运行 slapd 注
php ldap invalid credentials,[原]执行ldapadd 命令时报错ldap_bind: Invalid credentials (49)...
weixin_35205982的博客
04-04 1111
某项目,需要在Asianux 4.0上配置LDAP服务。参考以前的[原]操作ldap 数据库一文,在执行ldapadd 命令时报错:引用ldap_bind: Invalid credentials (49)经分析及查询相关资料,原来该版本的OpenLDAP已改用其他格式保存配置数据,原来的slapd.conf 仅作为模板使用。一、软件版本先来看看具体的版本信息:引用# cat /etc/asian...
OpenLDAP 自定义属性 增加报错ldap_add: Invalid syntax (21)
weixin_30838873的博客
08-23 2779
自己在Core.scheam中定义了属性 permid: 是这样粘贴membe写的: attributetype ( 2.5.4.119 NAME 'permid' DESC 'RFC2256: permid of a group' SUP distinguishedName ) 将它加入了 objectclass:groupOfNames中。然后增加...
java线程之中断(interruptinterrupted,isInterrupted)的简单测试
zhoujie的博客
06-13 331
package book.test; import org.springframework.cglib.proxy.Proxy; import java.io.ByteArrayOutputStream; import java.io.FileInputStream; import java.io.IOException; import java.io.InputStream; public class IsInterruptedDemo1 { public static class Dae.
LDAP学习笔记
Mliangydy的博客
12-22 1013
我们可以通过JNDI的API来操作LDAP LDAP v3 国际化 通过国际字符集(ISO 10646)处理国际化,以表示字符串形式的协议元素(例如DN) LDAP v3与 LDAP v2版本的区别之一:使用UTF-8对字符串编码 认证方式 LDAP的不同版本支持不同类型的身份验证。 LDAP v2支持匿名,简单(明文密码)和Kerberos v4身份验证。 LDAP v3支持匿名,简单和SASL身份验证。 SASL是简单身份验证和安全层(RFC 2222)。它指定了质询-响应协议,在该协
LDAP学习总结
weixin_30289831的博客
11-07 553
一、简介: LDAP(Light Directory Access Portocol),它是基于X.500标准的轻量级目录访问协议。目录是一个为查询、浏览和搜索而优化的数据库,它成树状结构组织数据,类似文件目录一样。 目录数据库和关系数据库不同,它有优异的读性能,但写性能差,并且没有事务处理、回滚等复杂功能,不适于存储修改频繁的数据。所以目录天生是用来查询的,就好象它的名字一样。 LDAP目...
Socket编程中Interrupted system call 解释及解决办法
weixin_33682790的博客
04-18 1394
我们用术语慢系统调用(slow system call)描述accept函数,该术语也适用于那些可能永远阻塞的系统调用。永远阻塞的系统调用有可能永远无法返回,多数网络支持函数都属于这一类。举例来说,如果没有客户连接到服务器上,那么服务器的accept调用就没有返回的保证。类似的,如果客户端从未发送过数据,那么read调用将永不返回。其他慢系统调用的例子是对管道和终端设备的读和...
LDAP 认证服务可用性监测
tomcat的专栏
10-25 1930
LDAP作为一种普遍使用的认证服务,可以通过模拟登录的方式来监测服务的可用性。今天写了一个服务来轮询模拟LDAP登录,下面是主要的代码。 LDAP的原理是先用一个admin用户去认证,认证通过后,使用应登录的用户的用户名及密码去登录。 1.常量设置 public class Constants { /** * LDAP服务端地址URL(端口默认389) */ public static
kerberos常用操作命令
最新发布
qq_37928228的博客
04-28 899
kerberos常用操作命令
hadoop 添加kerberos认证
hua840812的专栏
03-21 4031
参考Cloudera官方文档:Configuring Hadoop Security in CDH3 一、部署无kerberos认证的Hadoop环境 参考另一篇笔记:hadoop集群部署 或者按照Cloudera的官方文档:CDH3 Installation Guide. 二、环境说明 1、主机名 之前部署hadoop集群时,没有使
LDAP属性对照表
weixin_34240657的博客
09-04 3283
AD属性对照表 姓Sn名Givename英文缩写Initials显示名称displayName描述Description办公室physicalDeliveryOfficeName电话号码telephoneNumber电话号码:其它otherTelephone多个以英文分号分隔电子邮件Mail网页wWWHomePage网页:其它url多个以英文分...
LDAP 验证、添加、修改、删除
热门推荐
TechChan的专栏
04-13 1万+
 1. 域服务器(dc=dctest,dc=com),安装证书服务,创建企业根证书,名称为dctest.com   则:cn=dctest.com,dc=dctest,dc=com2. 申请证书类型域控制器的证书3. 将企业根证书和域控制器证书导入到应用服务器cacerts4. 在应用程序中,编写代码引用cacerts认证。  keytool package
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值