GSSAPI(Kerberos) 전달을 활용하여 Windows AD에 연결되고 SSSD를 사용하는 다른 Linux 서버에 연결하려고 하는 상황이 있습니다.
Linux 시스템은 서버의 실제 FQDN과 다른 시스템 이름을 사용하여 도메인에 가입됩니다. 내 도메인 자격 증명을 사용하여 첫 번째 컴퓨터에 로그인하면 PAM이 성공하고 유효한 토큰이 발급됩니다. 으로 나타납니다 klist. 그러나 도메인에 가입된 다른 Linux 호스트의 SSH에서 GSSAPI 및 Kerberos 로그인을 활성화한 후에도 여전히 "kerberos 데이터베이스에서 서버를 찾을 수 없습니다." 클라이언트 오류가 발생하고 비밀번호 인증을 사용하게 됩니다. -KKerberos 토큰 전달을 활성화하기 위해 전달하겠습니다 .
내 메모리가 올바르게 작동한다면 이는 잠재적으로 내가 연결하는(또는 연결하는) 실제 컴퓨터의 FQDN과 다른 컴퓨터 이름으로 연결된 Linux 컴퓨터의 AD(이 경우 Kerberos 서버)의 SPN 문제 때문일 수 있습니다. 확실하지 않으며 올바른 방향으로 나를 가리키는 도움이 필요합니다.
답변1
GSSAPIServerIdentity클라이언트 에 옵션을 전달하여 도메인 컨트롤러에 알려진 주체 이름을 사용할 수 있습니다 ssh.
-oGSSAPIServerIdentity=host.domain.com
맨페이지 에서 ssh_config:
GSSAPIServerIdentity 설정된 경우, 서버에 연결할 때 SSH가 예상해야 하는 GSSAPI 서버 ID를 지정합니다. 기본값은 설정되지 않은 것입니다. 이는 예상되는 GSSAPI 서버 ID가 대상 호스트 이름에서 결정된다는 의미입니다.