Kerberos/SASSL/OpenLDAP : GSSAPI Erreur: non spécifié ESG de l'échec. Code mineur peut fournir plus d'informations ()

Je suis à la configuration d'openLDAP avec l'authentification SASL avec kerberos.
J'ai eu un problème avec cette auth.

Tout d'abord, je reçois le ticket kerberos avec kinit. Quand je fais un klist, le billet est affiché. Donc, pas de problème.
Mais lorsque je tente de faire ldapwhoami sait. J'ai eu une erreur :

[hue@sandbox ~]$ kdestroy

[hue@sandbox ~]$ kinit vishnu
Password for [email protected]:

[hue@sandbox ~]$ klist
Ticket cache: _FILE:/tmp/krb5cc_1007
Default principal: [email protected]

Valid starting     Expires            Service principal
05/29/14 06:42:52  05/29/14 16:42:52  krbtgt/[email protected]
        renew until 06/05/14 06:42:48
05/29/14 06:42:57  05/29/14 16:42:52  ldap/[email protected]
        renew until 06/05/14 06:42:48

[hue@sandbox ~]$ ldapwhoami
SASL/GSSAPI authentication started
ldap_sasl_interactive_bind_s: Other (e.g., implementation specific) error (80)
        additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information ()

Je ne sais pas où chercher plus.
S'il vous plaît, m'aider.

OriginalL'auteur Voulzy | 2014-05-29

  1. 2

    J'ai eu le même message d'erreur avec le manque code mineur. Lors de la recherche pour les personnes ayant des problèmes similaires, j'ai remarqué que ça a quelque chose à voir avec un inaccessible fichier keytab.

    Dans mon cas, le problème a été le groupe de l' /etc/openldap/ldap.fichier keytab est la racine au lieu de ldap. D'autres problèmes possibles peuvent être erronées ou manquantes KRB5_KTNAME chemin dans votre slapd options fichier (/etc/sysconfig/ldap sur red hat 6)

    Je suis sûr que j'ai eu accès au fichier keytab, parce que j'ai utilisé chmod 777... Et moi aussi j'ai bien spécifié le chemin d'accès au fichier keytab. Merci quand même pour votre réponse !
    Parfois, c'est ça le problème, je ne sais pas dans ce cas en particulier, mais parfois, le fichier keytab a avoir 644 autorisation ou quelque chose, c'est la lecture de ne pas le reconnaître.
    pour être plus précis sur mon dernier commentaire, voir ici: blog.scottlowe.org/2006/08/10/kerberos-based-sso-with-apache il est dit autorisations de 400.

    OriginalL'auteur BeeJee