Tenho uma situação em que estou tentando aproveitar o encaminhamento GSSAPI (Kerberos) para conectar-me a outro servidor Linux que também está associado a um Windows AD e usando SSSD.
As máquinas Linux são associadas ao domínio usando um nome de máquina diferente do FQDN real do servidor. Quando faço login na primeira máquina com minhas credenciais de domínio, o PAM é bem-sucedido e recebo um token válido. Aparece com klist. No entanto, mesmo depois de ativar os logins GSSAPI e Kerberos no SSH em outro host Linux também associado ao domínio, ainda recebo o erro do cliente "Servidor não encontrado no banco de dados Kerberos" e ele volta a usar a autenticação por senha. Estou passando -Kpara ativar o encaminhamento de token Kerberos.
Se minha memória funcionar corretamente, isso é potencialmente devido a um problema de SPN no AD (o servidor Kerberos neste caso) com a máquina Linux associada a um nome de máquina diferente do FQDN da máquina real à qual estou me conectando (ou de?), mas Não tenho certeza e preciso de ajuda para me indicar a direção certa.
Responder1
Você pode usar o nome principal conhecido pelo seu controlador de domínio, passando a GSSAPIServerIdentityopção para o seu sshcliente:
-oGSSAPIServerIdentity=host.domain.com
Na ssh_configpágina de manual:
GSSAPIServerIdentity Se definido, especifica a identidade do servidor GSSAPI que o ssh deve esperar ao se conectar ao servidor. O padrão é não definido, o que significa que a identidade esperada do servidor GSSAPI será determinada a partir do nome do host de destino.