web-dev-qa-db-ja.com

LinuxマシンへのSSHおよび-Kフラグを使用してKerberos「サーバーがKerberosデータベースに見つかりません」がADに参加しました

GSSAPI(Kerberos)転送を利用して、同じくWindows ADに参加し、SSSDを使用する別のLinuxサーバーに接続しようとしている状況があります。

Linuxマシンは、サーバーの実際のFQDNとは異なるマシン名を使用してドメインに参加します。ドメイン資格情報で最初のマシンにログインすると、PAMが成功し、有効なトークンが発行されます。 klistと表示されます。ただし、ドメインに参加している別のLinuxホストのSSHでGSSAPIおよびKerberosログインを有効にしても、「Kerberosデータベースにサーバーが見つかりません」というクライアントエラーが発生し、パスワード認証の使用にフォールバックします。私は-K Kerberosトークン転送を有効にします。

私のメモリが正しく機能する場合、これは潜在的に、接続している(または接続している)実際のマシンのFQDNとは異なるマシン名で結合されたLinuxマシンでのAD(この場合はKerberosサーバー)のSPN問題が原因です。私は確信が持てず、正しい方向に向ける助けが必要です。

3
Thomas Farvour

GSSAPIServerIdentityオプションをsshクライアントに渡すことにより、ドメインコントローラーが認識しているプリンシパル名を使用できます。

-oGSSAPIServerIdentity=Host.domain.com

から ssh_configマンページ:

GSSAPIServerIdentity設定されている場合、サーバーへの接続時にsshが予期するGSSAPIサーバーIDを指定します。デフォルトは設定されていません。つまり、期待されるGSSAPIサーバーIDはターゲットホスト名から決定されます。

4
dawud