因此,我尝试使用 Kerberos 设置转发,但似乎遇到了一些问题。
在我的一些服务器上,我可以在收到票证后转发;然而,有些我不是。
我的系统设置是 CentOS 5 和 OpenSuSE 13.1 的混合。其中一些机器使用 sssd,一些使用 /etc/krb5.conf。在所有 sshd_conf 中,我启用了以下选项:
# Kerberos options
KerberosAuthentication yes
KerberosOrLocalPasswd yes
KerberosTicketCleanup yes
#KerberosGetAFSToken yes #Not always supported
# GSSAPI options
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
我认为这可能是 pam\sssd 问题,但让我放下图来尝试清除所有内容
---------------- ssh -K ------------------
| OpenSuSE 13.1 | -------> | CentOS 5 |
| sssd | | /etc/krb5.conf |
-----------------\ | kdc server |
ssh -K ------------------
\ ^ |
\ | v
- > ------------------
| CentOS 5 |
| /etc/krb5.conf |
| kdc server |
------------------
要理解这一点,如果有一个箭头,那么这意味着我可以登录而无需输入另一个密码。因此,在两个 kdc 服务器之间我可以无需密码登录。
在 OpenSuSE 框中,我必须-K
在执行 ssh 时指定选项;但是,即使在控制台上,我也无法从 CentOS 返回到 OpenSuSE。
我想要的是能够使用我的票证从任何一台机器转到任何其他机器,而无需执行-K
SSH 选项。
有任何想法吗?
答案1
Host some.host.net some-other-machine.net
GSSAPIDelegateCredentials yes
应该消除必须通过的情况-K
。