我希望得到一些帮助来理清我对 Kerberos 身份验证的想法。我对 Kerberos 身份验证流程感到困惑。
我的系统中有三个节点。
在堪萨斯城, 我有GSSAPI认证已启用sshd。
# GSSAPI options
GSSAPIAuthentication yes
然而,我原本希望从附言到堪萨斯城通过 ssh 没有任何密码提示,但相反,我得到以下错误附言。
debug1: Unspecified GSS failure. Minor code may provide more information
No Kerberos credentials available (default cache: KEYRING:persistent:1000)
我的问题是,
我是否缺少配置或 Kerberos 身份验证不是适用于非 KDC 客户端(附言)?
答案1
客户端 ssh 用户必须拥有有效的凭据缓存才能使用 GSSAPIAuthentication。这可以作为登录过程的一部分完成,pam_krb5
/ pam_sss
(auth_provider = krb5
),或通过kinit
(krb5-workstation 的一部分)完成。
通常需要一些最少的配置,仅仅是为了告诉 kerberos 客户端使用 DNS 来定位 KDC 和 domain_realm 映射。