У меня есть ситуация, когда я пытаюсь воспользоваться пересылкой GSSAPI (Kerberos) для подключения к другому серверу Linux, который также присоединен к Windows AD и использует SSSD.
Машины Linux присоединяются к домену с использованием другого имени машины, чем фактическое полное доменное имя сервера. Когда я вхожу на первую машину с учетными данными своего домена, PAM завершается успешно, и мне выдается действующий токен. Он появляется с klist
. Однако даже после включения входа GSSAPI и Kerberos по SSH на другом хосте linux, также подключенном к домену, я все равно получаю клиентскую ошибку «Сервер не найден в базе данных Kerberos», и он возвращается к использованию аутентификации по паролю. Я прохожу -K
для включения пересылки токенов Kerberos.
Если моя память работает правильно, это может быть связано с проблемой SPN в AD (в данном случае сервером Kerberos) с машиной Linux, соединенной с другим именем машины, чем фактическое полное доменное имя машины, к которой я подключаюсь (или с которой?), Но Я не уверен, и мне нужна помощь, указывающая мне в правильном направлении.
Вы можете использовать основное имя, известное вашему контроллеру домена, передав GSSAPIServerIdentity
вариант для вашего ssh
клиент:
-oGSSAPIServerIdentity=host.domain.com
Из ssh_config
страница руководства:
GSSAPIServerIdentity Если установлено, указывает идентификатор сервера GSSAPI, который должен ожидать ssh при подключении к серверу. Значение по умолчанию не задано, что означает, что ожидаемый идентификатор сервера GSSAPI будет определяться на основе имени целевого хоста.