Я пытаюсь заставить nslcd подключиться к экземпляру ldap с использованием аутентификации GSSAPI и Kerberos. Проблема, с которой я столкнулся, заключается в том, что nslcd продолжает использовать неправильный принципал, чтобы попытаться подключиться к удаленному серверу ldap.
Я предполагаю, что для получения принципала используется обратный поиск DNS, но я не могу настроить обратную запись DNS для экземпляра на aws. Я установил rdns = false
в моем файле krb5.conf, однако он продолжает использовать обратное основное имя DNS.
/ usr / bin / k5start -b -p /var/run/nslcd/k5start_nslcd.pid -o nslcd -g nslcd -m 600 -f /etc/krb5.keytab -K 60 -u host / auth-02.example. com -k /tmp/nslcd.cc
20 июля, 14:55:20 auth-02.example.com nslcd [10585]: клиент GSSAPI, шаг 1
20 июля, 14:55:20 auth-02.example.com nslcd [10585]: клиент GSSAPI, шаг 1
20 июля, 14:55:20 auth-02.example.com nslcd [10585]: Ошибка GSSAPI: неуказанный сбой GSS. Дополнительный код может предоставить дополнительную информацию (сервер krbtgt / COMPUTE-1.AMAZONAWS.COM@WEREQUIRE.COM не найден в базе данных Kerberos)
20 июля 14:55:20 auth-02.example.com nslcd [10585]: [8b4567]
Я нашел ответ в nslcd.conf
. Добавив параметр ssl_canonocalize no
, он остановит обратный поиск DNS и будет использовать имя хоста