Назад | Перейти на главную страницу

Kerberos «Сервер не найден в базе данных Kerberos» с использованием SSH и флага -K для Linux-машины, подключенной к AD

У меня есть ситуация, когда я пытаюсь воспользоваться пересылкой GSSAPI (Kerberos) для подключения к другому серверу Linux, который также присоединен к Windows AD и использует SSSD.

Машины Linux присоединяются к домену с использованием другого имени машины, чем фактическое полное доменное имя сервера. Когда я вхожу на первую машину с учетными данными своего домена, PAM завершается успешно, и мне выдается действующий токен. Он появляется с klist. Однако даже после включения входа GSSAPI и Kerberos по SSH на другом хосте linux, также подключенном к домену, я все равно получаю клиентскую ошибку «Сервер не найден в базе данных Kerberos», и он возвращается к использованию аутентификации по паролю. Я прохожу -K для включения пересылки токенов Kerberos.

Если моя память работает правильно, это может быть связано с проблемой SPN в AD (в данном случае сервером Kerberos) с машиной Linux, соединенной с другим именем машины, чем фактическое полное доменное имя машины, к которой я подключаюсь (или с которой?), Но Я не уверен, и мне нужна помощь, указывающая мне в правильном направлении.

Вы можете использовать основное имя, известное вашему контроллеру домена, передав GSSAPIServerIdentity вариант для вашего ssh клиент:

-oGSSAPIServerIdentity=host.domain.com

Из ssh_config страница руководства:

GSSAPIServerIdentity Если установлено, указывает идентификатор сервера GSSAPI, который должен ожидать ssh при подключении к серверу. Значение по умолчанию не задано, что означает, что ожидаемый идентификатор сервера GSSAPI будет определяться на основе имени целевого хоста.