SSSD 中的 Kerberos 转发

SSSD 中的 Kerberos 转发

因此,我尝试使用 Kerberos 设置转发,但似乎遇到了一些问题。

在我的一些服务器上,我可以在收到票证后转发;然而,有些我不是。

我的系统设置是 CentOS 5 和 OpenSuSE 13.1 的混合。其中一些机器使用 sssd,一些使用 /etc/krb5.conf。在所有 sshd_conf 中,我启用了以下选项:

# Kerberos options
KerberosAuthentication yes
KerberosOrLocalPasswd yes
KerberosTicketCleanup yes
#KerberosGetAFSToken yes #Not always supported

# GSSAPI options
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes

我认为这可能是 pam\sssd 问题,但让我放下图来尝试清除所有内容

----------------   ssh -K  ------------------
| OpenSuSE 13.1 | -------> | CentOS 5       |
| sssd          |          | /etc/krb5.conf |
-----------------\         | kdc server     |
                  ssh -K   ------------------
                    \            ^  |
                     \           |  v
                       - > ------------------
                           | CentOS 5       |
                           | /etc/krb5.conf |
                           | kdc server     |
                           ------------------

要理解这一点,如果有一个箭头,那么这意味着我可以登录而无需输入另一个密码。因此,在两个 kdc 服务器之间我可以无需密码登录。

在 OpenSuSE 框中,我必须-K在执行 ssh 时指定选项;但是,即使在控制台上,我也无法从 CentOS 返回到 OpenSuSE。

我想要的是能够使用我的票证从任何一台机器转到任何其他机器,而无需执行-KSSH 选项。

有任何想法吗?

答案1

Host some.host.net some-other-machine.net
    GSSAPIDelegateCredentials yes

应该消除必须通过的情况-K

相关内容