Kerberos, как я видел, настроен для работы с полностью определенными именами хостов ( gato.example.org
), а не с неквалифицированными хостами ( gato
); использование неквалифицированного имени хоста дает мне в тестировании ssh
строки отладки:
debug1: Next authentication method: gssapi-with-mic
debug1: Miscellaneous failure (see text)
Error from KDC: LOOKING_UP_SERVER while looking up 'host/gato@EXAMPLE.ORG' (cached result, timeout in 1089 sec)
Это связано с тем, что хосты Kerberos обычно имеют только полностью квалифицированные записи основного хоста в их /etc/krb5.keytab
файл:
[root@gato ~]# strings /etc/krb5.keytab | head -3
EXAMPLE.ORG
host
gato.example.org
Ваши журналы, похоже, используют полное имя хоста login.engin.umich.edu
, поэтому ваша проблема может заключаться в другом, хотя в целом при работе с kerberos было бы лучше принудительно использовать полные имена хостов в ~ / .ssh / config
либо вручную:
Host gato.example.org gato bubba
Hostname gato.example.org
, либо с помощью ключевого слова CanonicalizeHostname
(подробности см. в ssh_config (5)
и предостережения).
Также следует отметить, что login.engin.umich.edu
- это пул хостов; одна вещь, которую нужно проверить, - это то, что определенные узлы в этом пуле неправильно настроены для Kerberos и, таким образом, сбрасывают вас обратно в пароль auth, хотя для этого потребуется отредактировать / etc / hosts
, чтобы он содержал что-то вроде:
141.213.74.56 login.engin.umich.edu
И не забудьте по завершении удалите тестовые записи. (Использование IP-адреса не подходит для kerberos, вам нужно использовать имя хоста, следовательно, необходимо изменить / etc / hosts
для тестирования.)