Я настроил Kerberos на своей машине с Ubuntu и могу получать билеты для пользователей kinitс другой клиентской машины с Fedora Linux.
Но получаю следующую ошибку в журналах отладки sshd, понятия не имею, что она означает:
debug1: userauth-request for user user1 service ssh-connection method gssapi-with-mic [preauth]
debug1: attempt 1 failures 0 [preauth]
Postponed gssapi-with-mic for user1 from 10.87.198.85 port 55360 ssh2 [preauth]
debug1: Unspecified GSS failure. Minor code may provide more information
Request ticket server host/[email protected] found in keytab but does not match server principal host/sat.com@
debug1: Got no client credentials
debug1: userauth-request for user user1 service ssh-connection method gssapi-with-mic [preauth]
debug1: attempt 2 failures 1 [preauth]
Мои sshd и KDC работают на одной машине со следующей конфигурацией:
основные компоненты krb5.conf:
[libdefaults]
default_realm = SAT.COM
[realms]
SAT.COM = {
kdc = kdc.sat.com
admin_server = kdc.sat.com
}
Мой файл /etc/hosts:
127.0.0.1 localhost
10.125.222.30 kdc.sat.com
# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
Директора моего KDC следующие:
kadmin: listprincs
K/[email protected]
host/[email protected]
host/[email protected]
kadmin/[email protected]
kadmin/[email protected]
kadmin/[email protected]
kiprop/[email protected]
krbtgt/[email protected]
satyam/[email protected]
[email protected]
Когда я делаю первоначальный kinit из моего клиента Fedora, я получаю только один тикет, как показано ниже:
[user1@satyam ~]$ kinit
Password for [email protected]:
[user1@satyam ~]$ klist
Ticket cache: KCM:1001
Default principal: [email protected]
Valid starting Expires Service principal
09/24/2019 19:32:46 09/25/2019 05:32:46 krbtgt/[email protected]
renew until 10/01/2019 19:32:41
Но как только я подключаюсь по ssh к своему серверу sshd, который является тем же сервером KDC, в моем klist появляются новые записи:
[user1@satyam ~]$ ssh kdc.sat.com
Ubuntu 16.04.1 LTS Satyam
[email protected]'s password:
[satyam@satyam ~]$ klist
Ticket cache: KCM:1000
Default principal: [email protected]
Valid starting Expires Service principal
09/24/2019 19:44:59 09/25/2019 05:41:14 host/kdc.sat.com@
renew until 10/01/2019 19:41:10
09/24/2019 19:41:14 09/25/2019 05:41:14 krbtgt/[email protected]
renew until 10/01/2019 19:41:10
09/24/2019 19:44:59 09/25/2019 05:41:14 host/[email protected]
renew until 10/01/2019 19:41:10
Также Главный ведущий/[email protected]не был добавлен ранее, но затем я получил следующую ошибку в sshd, поэтому я попытался добавить его, но все равно безуспешно:
No key table entry found matching host/sat.com@
Любая помощь по этому вопросу будет очень полезна.
решение1
Я много гуглил и нашел следующий параметр конфигурации, который каким-то образом решил проблему:
Параметры, которые я использовал:
[libdefaults]
ignore_acceptor_hostname = true
https://stackoverflow.com/questions/14687245/apache-sends-wrong-server-principal-name-to-kerberos
Хотя в теме выше и есть объяснение, я все равно не совсем понял, как это работает и в чем проблема.
Пожалуйста, если кто-нибудь сможет объяснить, как этот параметр конфигурации решил мою проблему, это было бы здорово.