Je me permet de vous écrire parce que ça fait 1 semaine que je bloque sur un problème. Je suis en train de mettre en place une réplication d'un serveur OpenLDAP avec kerberos. J'ai bien mes serveurs Kerberos et mon master qui fonctionne sans soucis. Je peux configurer un client, me connecter avec un user etc.. tout se passe bien. J'ai voulu ensuite répliquer le master sur un consumer. J'ai pas mal buché mais la base de la base a été ce tuto :
Sur le tuto il est dis que pour éviter cette erreur, on doit configurer k5start :
~# apt-get install kstart
This is the only package that gets installed as a result:
kstart 3.16-3 Kerberos kinit supporting AFS and ticket refreshing
To configure it, just add this line to the end of the /etc/inittab file to start running k5start in the background soon after the system boots up:
KS:2345:respawn:/usr/bin/k5start -U -f /etc/krb5.keytab -K 10 -l 24h -k /tmp/krb5cc_105 -o openldap
A number of options have been used for this command:
-U − Determine the principal to authenticate based on the first entry in the Kerberos keytab file. Must be used with the -f option.
-f /etc/krb5.keytab − Specifies the full path of the Kerberos keytab file.
-K 10 − Reawaken the daemon every 10 minutes to check if the ticket needs to be renewed.
-l 24h − Set the ticket lifetime to 24 hours (to match the actual ticket lifetime used in this example).
-k /tmp/krb5cc_105 − Use the file /tmp/krb5cc_105 as the ticket cache. The number at the end of the file name *must match* the UID (105 in this example) of the user on behalf of whom the ticket is maintained (see option -o). Otherwise this slapd server will not authenticate properly and the result will be a ldap_sasl_interactive_bind_s failed (-2) error.
-o openldap − The name of the user account that is to become the owner of the ticket cache file (see option -k).
J'ai donc fait comme dis. Je suis sous debian 8.8 donc inittab ne fonctionne pas, j'ai installé sysvinit pour le faire fonctionner. Sans succès. Du coup je me retrouve avec l'erreur indiquée.
Voici la ligne que j'ai mise dans la inittab (j'ai également ajouté le fichier de base dispo sur le net)
L'UID ici présent est le compte openldap de l'arbre du master, pas le compte local. J'ai quand meme test avec le compte local ça ne marche pas.
Je pense que vu que mon esclave n'arrive pas a récupérer les ticket TGT, il ne peux pas répliquer la base. Sauf que je n'arrive pas a faire fonctionner le tout.
Du coup une rapide recherche des données sur mon ldap esclave donne :
ldapsearch -H ldap://sldap04.laine.fr
SASL/GSSAPI authentication started
SASL username: admin@LAINE.FR
SASL SSF: 56
SASL data security layer installed.
# extended LDIF
#
# LDAPv3
# base <dc=laine,dc=fr> (default) with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# search result
search: 4
result: 32 No such object
# numResponses: 1
No such object...
J'ai essayé de lancer la commande a la main sans succès.
- Edité par vincent-lne 11 juillet 2018 à 18:24:00
OpenLDAP Replication SASL (Kerberos) problem
× Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
× Attention, ce sujet est très ancien. Le déterrer n'est pas forcément approprié. Nous te conseillons de créer un nouveau sujet pour poser ta question.