#mongodb #kerberos #sasl #gssapi #kerberos-delegation
#mongodb — монгодб #kerberos #sasl #gssapi #kerberos-делегирование #mongodb
Вопрос:
Я настроил Active Directory с проверкой подлинности kerberos на Windows server 2012 r2, установил сервер mongodb на второй машине. Запустил mongodb с аутентификацией GSSAPI, теперь, если я попытаюсь подключиться к mongodb, используя следующий URL
mongo.exe —host Mongo32Test.ihubtest.com.com —authenticationMechanism=GSSAPI —authenticationDatabase=$external -u mongoService@ihubtest.com —подробный
Я получаю следующее сообщение.
Ошибка: SASL (-1): общий сбой: SSPI: InitializeSecurityContext: указанная цель неизвестна или недоступна
Я установил wireshark, и пакет содержит это сообщение
«Ошибка KRB5 167 KRB: KRB5KDC_ERR_S_PRINCIPAL_UNKNOWN»
Поискав вокруг, я понял, что это связано с именем принципа обслуживания
mongoService @ihubtest.com является пользователем домена и является частью базы данных $external в mongodb.
проверил название принципа обслуживания, все выглядит нормально.
C:> setspn -l mongoService Зарегистрировал имена основных служб для CN= службы mongo,CN= Пользователей, DC= ihubtest, DC=com:
mongodb/Mongo32test.ihubtest.com@IHUBTEST.COM
попробовал шаги по устранению неполадок, упомянутые на этой странице,https://docs.mongodb.com/manual/tutorial/troubleshoot-kerberos / , я что-то упускаю в конфигурации Active directory?
Ответ №1:
если команда MongoDB еще не изучила этот тикет, у команды MongoDB есть закрытый тикет с некоторыми шагами
Ответ №2:
Я полагаю, что вы неправильно указали свое имя хоста как «Mongo32Test.ihubtest.com.com «вместо»Mongo32Test.ihubtest.com «.
Пожалуйста, проверьте, правильно ли указано имя хоста или нет