Tengo una situación en la que intento aprovechar el reenvío GSSAPI (Kerberos) para conectarme a otro servidor Linux que también está unido a un AD de Windows y usa SSSD.
Las máquinas Linux se unen al dominio utilizando un nombre de máquina diferente al FQDN real del servidor. Cuando inicio sesión en la primera máquina con las credenciales de mi dominio, PAM tiene éxito y se me emite un token válido. Aparece con klist. Sin embargo, incluso después de habilitar los inicios de sesión GSSAPI y Kerberos en SSH en otro host Linux también unido al dominio, sigo recibiendo el error del cliente "Servidor no encontrado en la base de datos Kerberos" y vuelvo a utilizar la autenticación de contraseña. Estoy transmitiendo -Kpara habilitar el reenvío de tokens Kerberos.
Si mi memoria funciona correctamente, esto se debe potencialmente a un problema de SPN en AD (el servidor Kerberos en este caso) con la máquina Linux unida con un nombre de máquina diferente al FQDN de la máquina real a la que me estoy conectando (¿o desde?), pero No estoy seguro y necesito ayuda que me indique la dirección correcta.
Respuesta1
Puede utilizar el nombre principal conocido por su controlador de dominio pasando la GSSAPIServerIdentityopción a su sshcliente:
-oGSSAPIServerIdentity=host.domain.com
Desde la ssh_configpágina de manual:
GSSAPIServerIdentity Si se establece, especifica la identidad del servidor GSSAPI que ssh debe esperar al conectarse al servidor. El valor predeterminado no está establecido, lo que significa que la identidad esperada del servidor GSSAPI se determinará a partir del nombre de host de destino.