我一直在研究如何尽量减少凭证过期后需要重新输入的凭证数量。我现在遇到的一个大问题是处理委托凭证,这会干扰长时间运行的 SSH 会话。
看起来 GSSAPIRenewalForcesRekey 和 GSSAPIStoreCredentialsOnRekey 选项正是我想要的 - 当客户端更新其票证时,凭证将被重新发送到服务器。
但是,这些选项似乎根本没有效果。例如,一旦我建立了 SSH 连接,我预计运行kinit或kinit -R最终会刷新服务器上的凭据缓存。
在详细/调试模式下运行 ssh 和 sshd 也无法解释这一点。
我对这些选项的作用有什么误解吗?如果您能提供任何有关我做错什么或实现此目的的其他方法的信息,我将不胜感激。
答案1
像往常一样,发帖 5 分钟后就搞清楚了。供将来参考:
打开 GSSAPIKeyExchange 解决了我的问题。
GSSAPIRenewalForcesRekey 和 GSSAPIStoreCredentialsOnRekey 需要先启用 GSSAPIKeyExchange,然后它们才会产生任何效果。事后看来,GSSAPI 需要负责密钥交换是有道理的,但如果文档指出了这一事实,那将大有帮助……