Ну, возможно, это $PATH
проблема? Вы сделали, проверяют его прежде и после?
Возможно.
kinit
, MIT Kerberos для Windows)? host/server.example.com@EXAMPLE.COM
.GSSAPI
аутентификация включена на Вашем клиенте?Если Вы сказали "да" всему вышеупомянутому, то поздравления, можно использовать GSSAPIAuthentication
.
Тестирование шагов:
(Принятие: домен = example.com; область = EXAMPLE.COM)
kinit username@EXAMPLE.COM
pam_krb5
или pam_sss
(с auth_provider = krb5
) в соответствующем pam stack
.kvno host/server.example.com@EXAMPLE.COM
ssh
делает это автоматически, если у Вас есть допустимый кэш, и Вы говорите с a sshd
который поддерживает gssapi-with-mic
или gssapi-keyex
.dig _kerberos.example.com txt
должен возвратиться "EXAMPLE.COM"
[domain_realm]
раздел /etc/krb5.conf
как .example.com = EXAMPLE.COM
, но dns
метод масштабируется намного лучше.ssh -o GSSAPIAuthentication=yes username@server.example.com
Метод с 4 шагами корректен (там, также Kerberos записи SRV в DNS, которые еще более изящны и присутствуют в каждом Active Directory). Я использую это все время и защищал это выше pubkey методов для, главным образом безопасность и связанные с управлением причины.
Тем не менее это только дает интерактивный вход в систему, хотя это может быть квазиинтерактивным, после того как Вы получили билет на своей рабочей станции. Билет Kerberos действует во многом как SSH-агент; после того как у Вас есть он, новые соединения являются instanteous и без паролей; хотя с ограничением по времени.
Для получения интерактивного пакетного входа в систему необходимо получить keytab файл, файл, который по существу содержит пароль для учетной записи Kerberos, во многом как частное, сокращается наполовину ключа SSH. Согласно безопасности применяются меры предосторожности; тем более, что keytab не зашифрован или защищен с паролем.
Я довольно отказываюсь предоставить своим пользователям их keytabs для их личных аккаунтов, но настойчиво использую сервисные учетные записи с минимальными полномочиями для различных пакетных заданий, особенно где очень важно, что учетные данные делегированы к удаленной системе, что-то, чего pubkey просто не может достигнуть.
Keytabs может быть создан с помощью ktutil на Unix или KTPASS.EXE в Windows (последний от AD сервисов Kerberos). Действительно обратите внимание, что ktutil существует в двух ароматах, Хеймдале и MIT, и их синтаксис отличается. Чтение страницы справочника в соответствующей системе помогает.
gssapiauthentication
? Возможно, я могу также использоватьgssapiauthentication
на моей машине Linux. (если я используюkinit
для этого?) Приветствует ;) – olibre 10.09.2013, 19:07