Tho*_*our 3 linux active-directory kerberos sssd
我有一种情况,我试图利用 GSSAPI (Kerberos) 转发连接到另一个 Linux 服务器,该服务器也加入了 Windows AD 并使用 SSSD。
Linux 计算机使用不同于服务器实际 FQDN 的计算机名称加入域。当我使用我的域凭据登录第一台机器时,PAM 成功并且我获得了一个有效的令牌。它显示为klist. 但是,即使在另一台也加入域的 Linux 主机上的 SSH 上启用 GSSAPI 和 Kerberos 登录后,我仍然收到“在 kerberos 数据库中找不到服务器”客户端错误,并且它回退到使用密码身份验证。我正在传递-K以启用 Kerberos 令牌转发。
如果我的记忆正确,这可能是由于 AD(在本例中为 Kerberos 服务器)中的 SPN 问题,Linux 机器加入的机器名称与我连接到(或来自?)的实际机器的 FQDN 不同,但是我不确定,需要一些帮助来指出我正确的方向。
您可以通过将GSSAPIServerIdentity选项传递给ssh客户端来使用域控制器已知的主体名称:
-oGSSAPIServerIdentity=host.domain.com
从ssh_config联机帮助页:
GSSAPIServerIdentity 如果设置,则指定 ssh 在连接到服务器时应该期望的 GSSAPI 服务器标识。默认值为未设置,这意味着预期的 GSSAPI 服务器身份将根据目标主机名确定。
| 归档时间: |
|
| 查看次数: |
14186 次 |
| 最近记录: |