Ich habe gerade mein Mac OS auf 10.7 Lion aktualisiert. Es hat vorher gut funktioniert. Aber kinit
jetzt funktioniert es wieder normal, ich kann keine SSH-Verbindung zu meinem Server herstellen.
Nach einer Neuinstallation der „Mac OS X Kerberos Extras“ wurde es nicht besser.
Mein Befehl:
ssh [email protected] -v
......
debug1: Authentications that can continue: gssapi-with-mic,password
debug1: Next authentication method: gssapi-with-mic
debug1: Miscellaneous failure (see text)
UNKNOWN_SERVER while looking up 'host/[email protected]' (cached result, timeout in 1200 sec)
debug1: An invalid name was supplied
unknown mech-code 0 for mech 1 2 752 43 14 2
debug1: Miscellaneous failure (see text)
unknown mech-code 0 for mech 1 3 6 1 5 5 14
debug1: Authentications that can continue: gssapi-with-mic,password
debug1: An unsupported mechanism was requested
unknown mech-code 0 for mech 1 3 5 1 5 2 7
debug1: Miscellaneous failure (see text)
unknown mech-code 0 for mech 1 3 6 1 5 2 5
debug1: Next authentication method: password
[email protected]'s password:
Antwort1
Haben Sie die folgenden beiden Zeilen in Ihrer ~/.ssh/config
Datei oder in Ihrem /etc/ssh_config
?:
GSSAPIAuthentication yes
GSSAPITrustDNS yes
Das erste ist erforderlich, um die GSSAPI-Authentifizierung (Kerberos) zu aktivieren, das zweite ist erforderlich, damit ssh den Hostnamen über DNS kanonisiert und den kanonischen Namen verwendet, um ein Host-Serviceticket zu erhalten. Ohne das zweite versucht ssh, mit dem genauen Hostnamen oder der genauen IP-Adresse, die in der Befehlszeile eingegeben wurde, ein Host-Serviceticket zu erhalten, was in diesem Fall fehlschlägt:
UNKNOWN_SERVER beim Suchen nach 'host/[email geschützt]'
Der tatsächliche Name des Auftraggebers ist normalerweise „host/hostname.domain@REALM“ und keine IP-Adresse. Natürlich benötigen Sie eine korrekte Reverse-DNS-Einrichtung, damit dies funktioniert.
Außerdem scheint OS X den richtigen Realm-Namen nicht zu erkennen und stattdessen eine IP-Adresse zu verwenden (den Teil „@3.18.211“). Haben Sie die richtigen DNS-TXT- und SRV-Einträge für Ihren Realm und KDC eingerichtet? Wenn nicht, müssen Sie den Standard-Realm und die KDC-Adresse manuell eingeben /etc/krb5.conf
.
Antwort2
Bei mir traten diese Fehler beim Verbinden mit Centos auf, aber nicht mit Fedora.Gelöst, indem ich unter OS X meinen Benutzer in einen vollständigen userPrincipalName anstelle meines Kurznamens ändere.
~/.ssh/config:
Host svn saturnus.lan
User [email protected]
Unbekannte SSH-Mechcode-Fehler:
debug1: Next authentication method: gssapi-with-mic
debug2: we sent a gssapi-with-mic packet, wait for reply
debug1: Delegating credentials
debug1: Authentications that can continue: publickey,gssapi-with-mic,password
debug1: An invalid name was supplied
unknown mech-code 0 for mech 1 2 752 43 14 2
debug1: Miscellaneous failure (see text)
unknown mech-code 0 for mech 1 3 6 1 5 5 14
debug2: we sent a gssapi-with-mic packet, wait for reply
debug1: Authentications that can continue: publickey,gssapi-with-mic,password
debug1: An unsupported mechanism was requested
unknown mech-code 0 for mech 1 3 5 1 5 2 7
debug1: Miscellaneous failure (see text)
unknown mech-code 0 for mech 1 3 6 1 5 2 5
debug2: we did not send a packet, disable method