Моя системная аутентификация управляется SSSD, который использует Kerberos.
Поскольку Kerberos поддерживает модель взаимной аутентификации, то есть и клиент, и сервер должны поддерживать Kerberos, как именно SSH к серверу работает с любого клиента, такого как putty или другой Linux-машины, независимо от того, поддерживает ли он Kerberos?
Или демон sssd действует как фактический клиент для аутентификации Kerberos, и если я настрою аутентификацию SSH с чистым kerberos без SSSD, будет ли вход в систему по-прежнему работать, или здесь сам демон SSHD работает как клиент для аутентификации Kerberos.
Я не понимаю, что такое клиент, а что сервер. Например: вход по SSH, вход через Интернет и т. Д.
Оба PuTTY (https://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/kerberos-gssapi.html ) и OpenSSH (https://www.openssh.com/txt/release-3.0 ) могут быть керберизованы (т.е.они знают, как запросить текущий билет Kerberos для входа в систему, и знают, как представить его на SSH-сервер для проверки). Есть чудесно подробное объяснение в один из ответов на вопрос Как Kerberos работает с SSH? (технически случай, о котором вы спрашиваете, покрывается Второй вход).
как именно SSH к серверу работает от любого клиента, такого как putty или другой Linux-машины, независимо от того, поддерживает ли он Kerberos?
Протокол SSH может поддерживать несколько схем аутентификации (например, keyboard-interactive, publickey, gssapi-with-mic, и т.д.). При входе в систему Клиент SSH будет пробовать каждую схему аутентификации в предпочтительном порядке. и, как правило, будет переходить к другой схеме, пока не останется ни одной (после чего произойдет сбой входа в систему). Kerberos (например, gssapi-with-mic) - лишь одна из схем, которую можно попробовать.
если я настраиваю SSH-аутентификацию с чистым kerberos без SSSD, логин по-прежнему работает, или здесь сам SSHD-демон работает как клиент для аутентификации Kerberos
Похоже, что могут быть разные программы, с которыми SSH-клиент / сервер может взаимодействовать, чтобы использовать Kerberos, но я не понимаю, как все они взаимодействуют (хотя я знаю, что вам НЕ ОБЯЗАТЕЛЬНО использовать SSSD для выполнения Kerberos на система, но это дает некоторые преимущества). Вы можете увидеть обсуждение в RHEL 7 о Kerberos. Каждая программа, которая хочет «выполнять» Kerberos, обычно строится на основе соответствующих библиотек Kerberos (поэтому Kerberos не является чем-то полностью прозрачным для программы, которая хочет использовать его для аутентификации).
Я не понимаю, что такое клиент, а что сервер. Например: вход по SSH, вход через Интернет и т. Д.
Что такое «клиент», а что «сервер», скорее всего, зависит от контекста разговора. В Википедии есть хорошее описание протокола Kerberos. и, что более важно, вводятся такие термины, как AS, KDC, TGC, TGS, которые уменьшают двусмысленность.