Я изучал варианты минимизации количества учетных данных, которые необходимо вводить повторно по мере истечения срока действия учетных данных. Одна из самых серьезных проблем, с которыми я сейчас сталкиваюсь, - это делегированные учетные данные, которые мешают длительным сеансам SSH.
Похоже, что параметры GSSAPIRenewalForcesRekey и GSSAPIStoreCredentialsOnRekey делают именно то, что я хочу - когда клиент обновляет свой билет, учетные данные будут повторно отправлены на сервер.
Однако эти параметры, похоже, вообще не действуют. Например, после того, как я установил соединение SSH, я ожидаю, что kinit или kinit -R в конечном итоге обновит кеш учетных данных на сервере.
Запуск ssh и sshd в режиме подробного вывода / отладки также не проливает свет на это.
Я неправильно понимаю, что делают эти варианты? Я был бы очень признателен за любую информацию о том, что я делаю неправильно, или об альтернативных способах решения этой проблемы.
Как обычно, разобрался через 5 минут после публикации. Для дальнейшего использования:
Включение GSSAPIKeyExchange устранило проблему для меня.
GSSAPIRenewalForcesRekey и GSSAPIStoreCredentialsOnRekey требуют, чтобы GSSAPIKeyExchange был включен, прежде чем они окажутся эффективными. Оглядываясь назад, можно сказать, что GSSAPI должен отвечать за обмен ключами, но это очень помогло бы, если бы в документации указывалось на этот факт ...