В настоящее время я пытаюсь настроить аутентификацию Kerberos на сервере, находящемся в субдомене "sub.example.com". KDC управляет EXAMPLE.COM вместе с DNS-сервером, который управляет example.com. По организационным причинам у нас есть субдомен sub.example.com для некоторых серверов (server1.sub.example.com). Этот поддомен управляется отдельным DNS-сервером. Там логин Kerberos через pam отлично работает на этом сервере, используя следующие /etc/krb5.conf файл:
includedir /etc/krb5.conf.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = EXAMPLE.COM
clockskew = 300
ticket_lifetime = 2days
renew_lifetime = 365days
renewable = true
forwardable = true
[realms]
EXAMPLE.COM = {
kdc = kerberos.example.com
}
Если я теперь подключаюсь к включенному Kerberos с использованием керберизованного ssh, я получаю
$ssh -vvv server1.sub.example.com
...
debug1: Unspecified GSS failure. Minor code may provide more information
Server krbtgt/SUB.EXAMPLE.COM@EXAMPLE.COM not found in Kerberos database
debug1: Unspecified GSS failure. Minor code may provide more information
Server krbtgt/SUB.EXAMPLE.COM@EXAMPLE.COM not found in Kerberos database
debug1: Unspecified GSS failure. Minor code may provide more information
debug3: send packet: type 50
...
и вернитесь к паролю логина. Как я могу убедить Kerberos / ssh использовать krbtgt/EXAMPLE.COM@EXAMPLE.COM вместо того krbtgt/SUB.EXAMPLE.COM@EXAMPLE.COM для серверов внутри поддомена.
Возможно, попробуйте добавить в /etc/krb5.conf:
[domain_realm]
example.com = EXAMPLE.COM
.example.com = EXAMPLE.COM
Хммм. Я думал, что это сработает. Может попробовать:
[domain_realm]
example.com = EXAMPLE.COM
.example.com = EXAMPLE.COM
sub.example.com = EXAMPLE.COM
.sub.example.com = EXAMPLE.COM
Что ж, это все, что я могу придумать, чтобы попробовать. Надеюсь, придет кто-то, кто знает больше.