限制某些 SSH 用户仅进行公钥认证的最佳方法（禁用密码认证）

我在 Yosemite 上运行 Mac OS X Server.app，并且已为使用默认设置/etc/sshd_config（默认启用公钥和密码验证）的用户启用了 SSH。 但是，我需要限制git本地用户仅通过 SSH 进行公钥访问。

全面披露，Server.app 启用了一些额外的 Kerberos 和 GSSAPI 选项（尽管我不是 100％确定这些选项如何影响我下面的问题）：

# Kerberos options
KerberosAuthentication yes
KerberosOrLocalPasswd yes
KerberosTicketCleanup yes

# GSSAPI options
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
GSSAPIStrictAcceptorCheck yes
GSSAPIKeyExchange no

/etc/sshd_config内容如下：

# To disable tunneled clear text passwords both PasswordAuthentication and
# ChallengeResponseAuthentication must be set to "no".

但是，ChallengeResponseAuthentication在 match 语句中不允许，因此我尝试仅禁用密码验证：

Match User git
      PasswordAuthentication no

这不起作用——我仍然能够使用用户名/密码登录[电子邮件保护]:(

但是，添加KbdInteractiveAuthentication no似乎可以正常工作：

Match User git
      PasswordAuthentication no
      KbdInteractiveAuthentication no

现在，当我Permission denied (publickey,gssapi-keyex,gssapi-with-mic)尝试不使用公钥登录时，会出现错误。这似乎表明除了公钥之外，还有其他方法允许用户登录git（即gssapi-keyex和gssapi-with-mic）

似乎更好的方法是简单地将身份验证方法限制为publickey：

Match User git
    AuthenticationMethods publickey

这给出的响应是“权限被拒绝（公钥）”。

问题：

1. ChallengeResponseAuthentication和 有什么区别KbdInteractiveAuthentication？为什么 KbdInteractiveAuthentication在 match 语句中允许使用 而不允许使用 ChallengeResponseAuthentication？
2. 这种AuthenticationMethods publickey方法是否存在任何缺点/安全问题？
3. （如果您能帮助我理解gssapi-keyex/gssapi-with-mic以及它们与已启用的 GSSAPI/Kerberos 选项的关系，我将获得额外奖励）