digest-uriがこのサーバに登録されているLDAP SPNと一致しません

Question

私の目標は、Ubuntuの端末からDIGEST-MD5メカニズムでSASLを使用して「Active Directoryのユーザ」を認証することです。

私は、次のコマンドを入力した：

ldapsearch -H ldap://test.my.company:389 -b "DC=test,DC=my,DC=company" -D "CN=Aron Herrera,CN=Users,DC=test,DC=my,DC=company" -U aron -w "my-password" -Y DIGEST-MD5 

を私は得た：

SASL/DIGEST-MD5 authentication started 
ldap_sasl_interactive_bind_s: Invalid credentials (49) 
    additional info: 80090303: LdapErr: DSID-0C0904B2, comment: The digest-uri does not match any LDAP SPN's registered for this server., data 0, v1db0 

あなたは私の目標を取得するために私に任意の情報（リンク、チュートリアル、ドキュメント）を与えてもらえますか？

ありがとうございます。

Answer 1

私は最近、同じ問題に遭遇しました。数時間私の脳を拷問した後、Wiresharkを使っていくつかのパケットを捕獲しました。あなたと私が持っている問題は、方法に関連していますldapsearchはdigest-uriを処理します。

は、まず、それは（明らかに）test.my.companyにDNSルックアップを行い、ダイジェスト-URIを構築するために取得したIPを使用しています。これは次のようになります。ldap/10.10.10.10（たとえば）。これはではなく、あなたのADサーバーが期待しているものです。

は、Active Directoryの役割を保持しているマシンを検討することLDP.EXEを使用している場合は、serviceProviderNameと呼ばれるLDAP属性が表示されます。これはのようになります。ldap/test.my.company（その他のバリエーション）はありませんが、のIPはありません。

DNSサーバーにtest.my.companyサーバーにPTRを追加することを提案しているものがあります。それは私のために働かなかった。他の人は、ADマシンのLDAP属性に新しいSPN（serviceProviderName）を追加しようとしました（私の人生がそれに依存していれば、これはしません）。

これは、ldapsearchの実装方法と関係があると思います。 ApacheのDirectory Studioと同じテストがうまくいった。