http://www.networksecurityarchive.org/html/Focus-Sun/2004-09/msg00018.html
http://gentoo-wiki.com/HOWTO_Adding_a_Samba_Server_into_an_existing_AD_Domain#LDAP_client_.28.2Fetc.2Fopenldap.2Fldap.conf.29
http://www.ofb.net/~jheiss/krbldap/howto.html
http://www.tkk.fi/cc/docs/kerberos/nss_ldap.html
다른 소스를 찾았다... 솔라리스 ldapclient는 윈AD에 대해서는 영 엉망이라고 하여
openldap으로 재시도.
AD를 cert서버로 임명함.
Default Domain Policy
Default Domain Controller Policy두개 수정함. (문서대로)
will talk about it later.
ktpass등의 이상한 것도 해주었다. AD에 넣소 ktadmin이런것도 해주었던 기억이...;
ldap_sasl_interactive_bind_s: Local error
additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Server not found in Kerberos database)
nss_ldap을 컴파일 할 수 없었다 <(-_-)>
/usr/lib/nss_ldap.so.1
/usr/lib/sparcv9/nss_ldap.so.1
이걸 쓰기로 했다...;
-------------------------------------------------------------------
자꾸 바인드 실패에서 막힌다. 에러는 아래와 같다. 짜증나서
http://www.petri.co.il/anonymous_ldap_operations_in_windows_2003_ad.htm
anonymous search를 허용하려고 했지만 안 했다.
SASL/GSSAPI authentication started
ldap_sasl_interactive_bind_s: Local error (-2)
additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Server not found in Kerberos database)
해결: ldap.conf를 수정하고 기다렸다. 바로 적용은 안 되는듯? AD의 DNS서버에서 역방향 조회에서 IP대역을 적절히 추가해주었다.
해결되었을 때의 ldap.conf는 다음과 같다: bindpw는 입력을 하지를 않았음 (!)
#
# LDAP Defaults
#
# See ldap.conf(5) for details
# This file should be world readable but not world writable.
base dc=SOHEE,dc=xxx,dc=ac,dc=kr
binddn cn=proxyAgent,cn=Builtin,dc=SOHEE,dc=xxx,dc=ac,dc=kr
#bindpw honeamise
scope sub
nss_base_passwd ou=Users,dc=SOHEE,dc=xxx,dc=ac,dc=kr?sub
nss_base_shadow ou=Users,dc=SOHEE,dc=xxx,dc=ac,dc=kr?sub
nss_base_group ou=Users,dc=SOHEE,dc=xxx,dc=ac,dc=kr?sub
nss_map_objectclass posixAccount User
nss_map_objectclass shadowAccount User
nss_map_objectclass posixGroup Group
nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
nss_map_attribute loginShell msSFU30LoginShell
nss_map_attribute uniqueMember msSFU30posixMember
#nss_map_attribute userPassword msSFU30Password
nss_map_attribute homeDirectory msSFU30HomeDirectory
nss_map_attribute memberUid msSFU30MemberUid
ssl no
----------------------------------------------------------------
다른 에러:
ldap_sasl_interactive_bind_s: Local error (-2)
additional info: SASL(-1): generic failure: GSSAPI Error: No credentials were supplied, or the credentials were unavailable or inaccessible (No credentials cache file found)
kinit으로 적절한 유저 바인드를 해줄 것. 그러면 credentials cache 파일이 생성된다.
http://gentoo-wiki.com/HOWTO_Adding_a_Samba_Server_into_an_existing_AD_Domain#LDAP_client_.28.2Fetc.2Fopenldap.2Fldap.conf.29
http://www.ofb.net/~jheiss/krbldap/howto.html
http://www.tkk.fi/cc/docs/kerberos/nss_ldap.html
다른 소스를 찾았다... 솔라리스 ldapclient는 윈AD에 대해서는 영 엉망이라고 하여
openldap으로 재시도.
AD를 cert서버로 임명함.
Default Domain Policy
Default Domain Controller Policy두개 수정함. (문서대로)
will talk about it later.
ktpass등의 이상한 것도 해주었다. AD에 넣소 ktadmin이런것도 해주었던 기억이...;
ldap_sasl_interactive_bind_s: Local error
additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Server not found in Kerberos database)
nss_ldap을 컴파일 할 수 없었다 <(-_-)>
/usr/lib/nss_ldap.so.1
/usr/lib/sparcv9/nss_ldap.so.1
이걸 쓰기로 했다...;
-------------------------------------------------------------------
자꾸 바인드 실패에서 막힌다. 에러는 아래와 같다. 짜증나서
http://www.petri.co.il/anonymous_ldap_operations_in_windows_2003_ad.htm
anonymous search를 허용하려고 했지만 안 했다.
SASL/GSSAPI authentication started
ldap_sasl_interactive_bind_s: Local error (-2)
additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Server not found in Kerberos database)
해결: ldap.conf를 수정하고 기다렸다. 바로 적용은 안 되는듯? AD의 DNS서버에서 역방향 조회에서 IP대역을 적절히 추가해주었다.
해결되었을 때의 ldap.conf는 다음과 같다: bindpw는 입력을 하지를 않았음 (!)
#
# LDAP Defaults
#
# See ldap.conf(5) for details
# This file should be world readable but not world writable.
base dc=SOHEE,dc=xxx,dc=ac,dc=kr
binddn cn=proxyAgent,cn=Builtin,dc=SOHEE,dc=xxx,dc=ac,dc=kr
#bindpw honeamise
scope sub
nss_base_passwd ou=Users,dc=SOHEE,dc=xxx,dc=ac,dc=kr?sub
nss_base_shadow ou=Users,dc=SOHEE,dc=xxx,dc=ac,dc=kr?sub
nss_base_group ou=Users,dc=SOHEE,dc=xxx,dc=ac,dc=kr?sub
nss_map_objectclass posixAccount User
nss_map_objectclass shadowAccount User
nss_map_objectclass posixGroup Group
nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
nss_map_attribute loginShell msSFU30LoginShell
nss_map_attribute uniqueMember msSFU30posixMember
#nss_map_attribute userPassword msSFU30Password
nss_map_attribute homeDirectory msSFU30HomeDirectory
nss_map_attribute memberUid msSFU30MemberUid
ssl no
----------------------------------------------------------------
다른 에러:
ldap_sasl_interactive_bind_s: Local error (-2)
additional info: SASL(-1): generic failure: GSSAPI Error: No credentials were supplied, or the credentials were unavailable or inaccessible (No credentials cache file found)
kinit으로 적절한 유저 바인드를 해줄 것. 그러면 credentials cache 파일이 생성된다.