Вопросы Теги

Аутентификация SSH с помощью gssapi-keyex или gssapi с микрометром (открытый ключ, не разрешенный)

Ну, возможно, это $PATH проблема? Вы сделали, проверяют его прежде и после?

14
30.08.2013, 15:37
2 ответа

Возможно.

  • Можно ли получить билет для принципала в клиентской системе или как часть стандартного процесса входа в систему или вручную (kinit, MIT Kerberos для Windows)?
  • Сервер имеет kerberos принципал, или можно ли дать его один? Это должно иметь форму host/server.example.com@EXAMPLE.COM.
  • GSSAPI аутентификация включена на Вашем клиенте?
  • Ваш клиент знает, какой области сервер принадлежит или DNS ресурсная запись TXT или локальным отображением?

Если Вы сказали "да" всему вышеупомянутому, то поздравления, можно использовать GSSAPIAuthentication.

  • Вы, возможно, также должны включить учетную делегацию, в зависимости от своей установки.

Тестирование шагов:
(Принятие: домен = example.com; область = EXAMPLE.COM)

  1. kinit username@EXAMPLE.COM
    • Идеально это обрабатывается Вашим стандартным процессом входа в систему включением также pam_krb5 или pam_sssauth_provider = krb5) в соответствующем pam stack.
  2. kvno host/server.example.com@EXAMPLE.COM
    • Это - шаг отладки. ssh делает это автоматически, если у Вас есть допустимый кэш, и Вы говорите с a sshd который поддерживает gssapi-with-mic или gssapi-keyex.
  3. dig _kerberos.example.com txt должен возвратиться "EXAMPLE.COM"
    • Кроме того, отображение могло быть сохранено в [domain_realm] раздел /etc/krb5.conf как .example.com = EXAMPLE.COM, но dns метод масштабируется намного лучше.
  4. ssh -o GSSAPIAuthentication=yes username@server.example.com
    • Входить в имя пользователя кроме того из Вашего принципала на сервере должно будет знать для отображения его, в детали которого я не вхожу здесь.
19
27.01.2020, 19:50
  • 1
    Привет. Я дал Вам +1 некоторое время назад, но на самом деле, я не знаю, как проверить Ваши четыре точки. (Я не администратор, просто разработчик). Могли Вы обеспечивать командную строку для проверки использования соединения SSH gssapiauthentication? Возможно, я могу также использовать gssapiauthentication на моей машине Linux. (если я использую kinit для этого?) Приветствует ;) –  olibre 10.09.2013, 19:07

Метод с 4 шагами корректен (там, также Kerberos записи SRV в DNS, которые еще более изящны и присутствуют в каждом Active Directory). Я использую это все время и защищал это выше pubkey методов для, главным образом безопасность и связанные с управлением причины.

Тем не менее это только дает интерактивный вход в систему, хотя это может быть квазиинтерактивным, после того как Вы получили билет на своей рабочей станции. Билет Kerberos действует во многом как SSH-агент; после того как у Вас есть он, новые соединения являются instanteous и без паролей; хотя с ограничением по времени.

Для получения интерактивного пакетного входа в систему необходимо получить keytab файл, файл, который по существу содержит пароль для учетной записи Kerberos, во многом как частное, сокращается наполовину ключа SSH. Согласно безопасности применяются меры предосторожности; тем более, что keytab не зашифрован или защищен с паролем.

Я довольно отказываюсь предоставить своим пользователям их keytabs для их личных аккаунтов, но настойчиво использую сервисные учетные записи с минимальными полномочиями для различных пакетных заданий, особенно где очень важно, что учетные данные делегированы к удаленной системе, что-то, чего pubkey просто не может достигнуть.

Keytabs может быть создан с помощью ktutil на Unix или KTPASS.EXE в Windows (последний от AD сервисов Kerberos). Действительно обратите внимание, что ktutil существует в двух ароматах, Хеймдале и MIT, и их синтаксис отличается. Чтение страницы справочника в соответствующей системе помогает.

5
27.01.2020, 19:50

Теги

Похожие вопросы