我有一种情况,我试图利用 GSSAPI (Kerberos) 转发连接到另一个 Linux 服务器,该服务器也加入了 Windows AD 并使用 SSSD。
Linux 计算机使用不同于服务器实际 FQDN 的计算机名称加入域。当我使用我的域凭据登录第一台机器时,PAM 成功并且我获得了一个有效的令牌。它显示为klist. 但是,即使在另一台也加入域的 Linux 主机上的 SSH 上启用 GSSAPI 和 Kerberos 登录后,我仍然收到“在 kerberos 数据库中找不到服务器”客户端错误,并且它回退到使用密码身份验证。我正在传递-K以启用 Kerberos 令牌转发。
如果我的记忆正确,这可能是由于 AD(在本例中为 Kerberos 服务器)中的 SPN 问题,Linux 机器加入的机器名称与我连接到(或来自?)的实际机器的 FQDN 不同,但是我不确定,需要一些帮助来指出我正确的方向。