add_principal: DN在创建"principal@REALM.COM“时超出了域子树

Question

根据MIT文档，我正在尝试创建一个链接到ldap对象的主体。这是我的ldap结构：LDAP结构

一旦我在Ldap ou=people、dc=domain、dc=com (cn=nano、dc=people、dc=domain、dc=com)中创建了UID对象，当我尝试添加附加链接dn的主体时，我会收到：

kadmin.local:  add_principal -x linkdn=uid=nano,ou=people,dc=domain,dc=com nano

NOTICE: no policy specified for nano@DOMAIN.COM; assigning "default"
Enter password for principal "nano@DOMAIN.COM":
Re-enter password for principal "nano@DOMAIN.COM":

add_principal: DN is out of the realm subtree while creating "nano@DOMAIN.COM".

我在互联网上找到了一个解决方案，我发现的只是一个bug 报告。

Yast用户和组管理器能够创建用户并通过UserKerberosPlugin创建与其链接的主体。

有谁知道我的配置有什么问题吗？

编辑:我注意到它不识别任何子树：

dc01:~ # kdb5_ldap_util -r DOMAIN.COM -H ldapi:/// -D "cn=Manager,dc=domain,dc=com" -W view
Password for "cn=Manager,dc=domain,dc=com":
               Realm Name: DOMAIN.COM

因此，我尝试将其提交到kerberos数据库：

dc01:~ # kdb5_ldap_util -r DOMAIN.COM -H ldapi:/// -D "cn=Manager,dc=domain,dc=com" create -subtrees "ou=people,dc=domain,dc=com" -sscope 2
Password for "cn=Manager,dc=domain,dc=com":
Initializing database for realm 'DOMAIN.COM'
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key:
Re-enter KDC database master key to verify:
kdb5_ldap_util: Already exists while creating realm 'DOMAIN.COM'

为什么会发生这种事？

非常感谢。亲切的问候。

Answer 1

最后，我解决了这个问题，破坏了数据库，并再次创建。

kdb5_ldap_util destroy -r DOMAIN.COM
kdb5_ldap_util -r DOMAIN.COM -H ldapi:/// -D "cn=Manager,dc=DOMAIN,dc=com" create -subtrees "ou=people,dc=DOMAIN,dc=com" -sscope 2
kdb5_ldap_util -r DOMAIN.COM -H ldapi:/// -D "cn=Manager,dc=domain,dc=com" -W view