Дамп kdb5_util выдает ошибку сервера

Question

Дамп kdb5_util выдает ошибку сервера

Я пытался вывести свою базу данных Kerberos (ldap backend), используя дамп kdb5_util (имя файла), но я получаю:

kdb5_util load_dump version 6
kdb5_util: error performing Kerberos version 5 release 1.8 dump (Server error)
policy  default    0       0       1       1       1       0       0       0       0

Kerberos KDC и Kadmin log ничего не имеют, ldap.log выдает 31 мая 12:40:17 kdc slapd[28020]: connection_input: conn=1091 отложенная операция: привязка

Все остальное работает нормально, создание, удаление, аутентификация принципалов, без проблем. Просто сбрасывать БД не удается. Насколько я понимаю, бэкэнд не должен иметь никакого влияния на дамп.

Любые идеи, как я могу отладить или исправить это? Что мне не хватает?

/etc/krb5.conf

[libdefaults]
        default_realm   = REALM.EXAMPLE.COM
        kdc_timesync    = 1
        ccache_type     = 4
        forwardable     = true
        proxiable       = true

[realms]
        REALM.EXAMPLE.COM = {
                kdc             = kdc.realm.example.com
                admin_server    = kdc.realm.example.com
                kpasswd_server  = kdc.realm.example.com
        }

[domain_realm]
        .realm.example.com  = REALM.EXAMPLE.COM

/etc/krb5kdc/kdc.conf

[realms]
    REALM.EXAMPLE.COM = {
        default_domain  = realm.example.com
        database_module = ldapconf

        acl_file        = /etc/krb5kdc/kadm5.acl
        key_stash_file  = /etc/krb5kdc/.master

       max_life        = 10h 0m 0s
       max_renewable_life = 7d 0h 0m 0s

        master_key_type         = aes256-cts
        supported_enctypes      = aes256-cts-hmac-sha1-96:normal
#aes128-cts-hmac-sha1-96:normal arcfour-hmac:normal
        default_principal_flags = +preauth

        pkinit_identity = FILE:/etc/krb5kdc/kdc-cert.pem,/etc/krb5kdc/.kdc-key.pem
        pkinit_anchors  = FILE:/etc/krb5kdc/ca-cert.pem

        dict_file       = /root/bad_passwords.dict
    }

[dbmodules]
        ldapconf = {
                db_library                 = kldap
                ldap_kerberos_container_dn = "cn=kerberos,dc=realm,dc=example,dc=com"
                ldap_kdc_dn                = "cn=kerberos-kdc,dc=realm,dc=example,dc=com"
                ldap_kadmind_dn            = "cn=kerberos-admin,dc=realm,dc=example,dc=com"
                ldap_servers               = ldapi:///
                ldap_service_password_file = /etc/krb5kdc/.service
    }
[logging]
kdc          = FILE:/var/log/kerberos/kdc.log
admin_server = FILE:/var/log/kerberos/kadmin.log
default      = FILE:/var/log/kerberos/kerberos.log

1

ldap kerberos kdc

Источник

user8091453 31 май '17 в 10:55

1 ответ

Решение

Другие вопросы по тегам ldap kerberos kdc

user8091453 08 июн '17 в 12:33 2017-06-08 12:33 · Accepted Answer · 2017-06-08 12:33

Найдена проблема после отладки наконец:

Бэкэнд LDAP имеет жесткое ограничение размера 500 для поисковых запросов. С 501 Пользователем, который укусил меня сзади!

Fix:

#
# remove sizelimit for ldap search
#
# apply with ldapmodify -Y EXTERNAL -H ldapi:/// -f sizelimit.ldif
#
dn: olcDatabase={1}hdb,cn=config
changetype: modify
add: olcLimits
olcLimits:  dn.exact="cn=kerberos-admin,dc=realm,dc=example,dc=com" size=unlimited

Применить, перезапустить slapd и выбросить счастливо