ldapsearch с параметром -y выдает ошибку «Неверные учетные данные»

Question

Я сохранил свой пароль LDAP в $HOME/.ldap_pw на моей Ma c. Для файла установлены разрешения 600:

-rw-------  1 myself  mygroup  18 Mar 27 17:20 .ldap_pw

Когда я вызываю ldapsearch с помощью опции -y, как этот, для вывода списка членов группы mygroup

ldapsearch -y "$HOME/.ldap_pw" -H ldaps://ldap.mycompany.com -D myself@mycompany.com -W -b DC=mycompany,DC=com -x '(&(objectcategory=Group)(cn=mygroup))'

Я получаю эту ошибку:

ldap_bind: Invalid credentials (49)
    additional info: 80090308: LdapErr: DSID-0C090442, comment: AcceptSecurityContext error, data 52e, v3839

Пароль хранится в файле правильно. Кроме того, приведенная выше команда работает нормально при запуске без опции -y с вводом пароля при запросе.

Что здесь не так?

Я получаю ту же ошибку на моем Linux коробка под управлением RedHat 7.6.

Answer 1

Учитывая ошибку, это означает, что имя пользователя допустимо, но пароль недействителен (см. ldapwiki.com ) и тот факт, что -y использует полное содержимое файла ( см. документацию по ldapsearch ). Я подозреваю, что в вашем файле паролей неверное содержимое. Может быть, символ «Конец строки» в конце вашего файла.

Answer 2

Я думаю, что SmartTom догадывается о дополнительном символе в файле. Попробуйте запустить hd ~/.ldap_pw (h ex d ump), чтобы увидеть точное содержимое файла; если есть завершающий символ 0a (перевод строки) или другие неожиданные символы, которые могут подтвердить проблему.

Редакторы, такие как vim, неявно добавляют завершающий символ новой строки в текстовые файлы, которые можно отключить * 1009. * при открытии файла, или вы можете удалить конечные пробелы напрямую.