Univention Bugzilla – Bug 27579
ldapsearch per GSSAPI funktionier nicht auf UCS 3.0 Backup und Slave
Last modified: 2012-06-15 08:42:42 CEST
An Ticket #2012061321001947 aufgefallen: root@backup:~# kinit Administrator Administrator@DOMAIN's Password: root@backup:~# klist Credentials cache: FILE:/tmp/krb5cc_0 Principal: Administrator@DOMAIN Issued Expires Principal Jun 13 16:59:03 2012 Jun 14 02:59:03 2012 krbtgt/DOMAIN@DOMAIN root@ucsdns:~# ldapsearch -YGSSAPI cn=backup SASL/GSSAPI authentication started ldap_sasl_interactive_bind_s: Local error (-2) additional info: SASL(-1): generic failure: GSSAPI Error: Miscellaneous failure (see text) (Server (ldap/backup.domain@DOMAIN) unknown) Hintergrund ist, dass im S4 kein "ldap/"-Principal für den Host existiert. Es hat nicht ausgereicht, entsprechende "servicePrincipalName"-Einträge in der LDB am Rechnerobjekt zu hinterlegen - vermutlich fehl ein Keytype
(In reply to Bug #20051 comment #0) > Eine weitere Schwierigkeit ist, daß wohl nur auf dem Master die zugehörige > Kerberos-Prinzipal "ldap/${hostname}.${domainname}@${kerberos/realm}" > existiert; auf einem Backup bzw. Slave scheitert die Authentifizierung dann mit > folgender Meldung: > # LDAPSASL_MECH=gssapi ldapwhoami > SASL/GSSAPI authentication started > ldap_sasl_interactive_bind_s: Local error (-2) > additional info: SASL(-1): generic failure: GSSAPI Error: > Miscellaneous failure (see text) (Server > (ldap/xen2.opendvdi.local@OPENDVDI.LOCAL) unknownA) *** This bug has been marked as a duplicate of bug 20051 ***