【发布时间】:2021-07-02 17:28:09
【问题描述】:
我想使用 ldapsearch 从 Linux 实例 (Amazon Linux OS) 对远程 Windows 服务器进行身份验证测试。 Kerberos 绑定通过从包 cyrus-sasl-gssapi 安装的 GSS-API 工作,是否有可用于 GSS-SPNEGO 的等效包?如果 Kerberos 不工作,我希望能够回退到 NTLM 身份验证。
服务器同时支持 GSSAPI 和 GSS-SPNEGO,但从客户端看来 GSS-SPNEGO 不可用。 ldapsearch 的输出如下所示:
ldapsearch -H "ldap://$HOST_NAME" -b "" -s base -Y GSS-SPNEGO
ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
additional info: SASL(-4): no mechanism available: No worthy mechs found
使用 cyrus-sasl-ntlm 不起作用,因为服务器似乎不支持:
ldapsearch -H "ldap://$HOST_NAME" -b "" -s base -Y NTLM
SASL/NTLM authentication started
ldap_sasl_interactive_bind_s: Authentication method not supported (7)
additional info: 00002027: LdapErr: DSID-0C0905ED, comment: Invalid Authentication method, data 0, v2580
是否可以将 SPNEGO 绑定与 ldapsearch 一起使用?还是有其他方法通过 NTLM 进行身份验证?
【问题讨论】:
-
我真的建议不要回退到 NTLM 身份验证,而不是自动,尤其是不要通过纯文本 LDAP 连接。如果您处于无法使 Kerberos 工作的情况,请通过 LDAPS 或 StartTLS 对
-x使用“简单绑定”(纯密码)。 -
您的发行版是否安装了 Cyrus SASL
pluginviewer工具(可能命名为saslpluginviewer2或类似名称)?当您使用-c选项运行它时,它会列出“gssapiv2”插件的两种机制还是仅列出一种? (无论如何,它是哪个版本的 libsasl?)