如何使用GSS-SPNEGO进行ldapsearch绑定

Question

我想使用ldapsearch从Linux实例(Amazon Linux OS)对远程Windows服务器进行身份验证测试。Kerberos bind是通过安装在cyrus-sasl-gssapi包中的GSS-API工作的，是否有可用于GSS-SPNEGO的等效包？我希望在Kerberos不工作的情况下能够回退到NTLM身份验证。

服务器同时支持GSSAPI和GSS-SPNEGO，但从客户端来看，GSS-SPNEGO似乎不可用。ldapsearch的输出如下所示：

ldapsearch -H "ldap://$HOST_NAME" -b "" -s base -Y GSS-SPNEGO
    ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
        additional info: SASL(-4): no mechanism available: No worthy mechs found

使用cyrus-sasl-ntlm不起作用，因为服务器似乎不支持：

ldapsearch -H "ldap://$HOST_NAME" -b "" -s base -Y NTLM
SASL/NTLM authentication started
ldap_sasl_interactive_bind_s: Authentication method not supported (7)
    additional info: 00002027: LdapErr: DSID-0C0905ED, comment: Invalid Authentication method, data 0, v2580

可以将SPNEGO bind与ldapsearch一起使用吗？或者，是否有其他方法可以通过NTLM进行身份验证？

Answer 1

@Grant，

您需要将-Y选项更改为"-Y GSSAPI“

例如：ldapsearch -H ldap://example.com -b 'DC=example,DC=com' -Y GSSAPI