GSSAPI (Kerberos) 転送を利用して、Windows AD に参加し、SSSD を使用している別の Linux サーバーに接続しようとしている状況があります。
Linux マシンは、サーバーの実際の FQDN とは異なるマシン名を使用してドメインに参加しています。ドメイン資格情報を使用して最初のマシンにログインすると、PAM が成功し、有効なトークンが発行されます。 が表示されますklist。ただし、ドメインに参加している別の Linux ホストで SSH で GSSAPI と Kerberos ログインを有効にした後でも、「サーバーが Kerberos データベースに見つかりません」というクライアント エラーが発生し、パスワード認証を使用するようにフォールバックします。Kerberos-Kトークン転送を有効にするように伝えています。
私の記憶が正しければ、これは AD (この場合は Kerberos サーバー) の SPN の問題が原因である可能性があります。Linux マシンは、私が接続している (または接続している?) 実際のマシンの FQDN とは異なるマシン名で結合されていますが、確信が持てず、正しい方向を指し示す助けが必要です。
答え1
GSSAPIServerIdentityオプションをクライアントに渡すことで、ドメイン コントローラーに認識されているプリンシパル名を使用できますssh。
-oGSSAPIServerIdentity=host.domain.com
マンページからssh_config:
GSSAPIServerIdentity 設定されている場合、ssh がサーバーに接続するときに期待する GSSAPI サーバー ID を指定します。デフォルトでは設定されていません。つまり、期待される GSSAPI サーバー ID は、ターゲット ホスト名から決定されます。