当我使用 OpenSSH 登录到服务器时,在 /tmp/krb5cc_ 上生成了 Kerberos 票证。
1-如何生成此票证以及创建此票证的conf文件在哪里?
2 - 当我使用 OpenSSH 登录服务器时,如何生成带有可转发标志的 kerberos 票证?
3 - 我想通过 Kerberos 票证 ssh 到 3 个不同的服务器。当我使用密码登录到服务器 1 时,将为我创建 Kerberos 票证。之后我使用此票证 ssh 到服务器 2,此票证跟随我。最后,我将再次使用票证无密码 ssh 到服务器 3。
总结一下,我跳转到服务器 2 后使用密码登录到服务器 1,没有通过 Kerberos 票证使用密码,然后我将不使用密码通过 ssh 连接到第三台服务器以及第二台服务器。
答案1
在现代 Linux 系统中,您使用一些 pam 模块来实现这一点。您寻求的信息的一部分位于所述模块的手册页中。
除非你使用的是 Fedora 衍生系统,否则最常用的似乎是: https://www.eyrie.org/~eagle/software/pam-krb5/pam-krb5.html 在上面的页面 (/etc/krb5.conf 中的一个部分) 中搜索 appefaults。
ccache=<pattern>
将回答您问题 1 的第二部分,第一部分是 pam 模块。
forwardable = True
回答 2 号,可以设置 /etc/krb5/conf 的 appdefaults 或 libdefaults 部分。
数字 3 与 ssh 有关,man ssh 或 ssh_config 会显示使用 -K (ssh -K ) 或在 ~/.ssh/config 中设置 GSSAPIDelegateCredentials=yes 和 GSSAPIAuthentication=yes (全局设置 - 不是一个好主意 - 或每个主机/域都设置)
有关详细信息,请参阅手册页(ssh、pam_kr5、krb5.conf.kinit)。