GSSAPI(Kerberos)転送を利用して、同じくWindows ADに参加し、SSSDを使用する別のLinuxサーバーに接続しようとしている状況があります。
Linuxマシンは、サーバーの実際のFQDNとは異なるマシン名を使用してドメインに参加します。ドメイン資格情報で最初のマシンにログインすると、PAMが成功し、有効なトークンが発行されます。 klist
と表示されます。ただし、ドメインに参加している別のLinuxホストのSSHでGSSAPIおよびKerberosログインを有効にしても、「Kerberosデータベースにサーバーが見つかりません」というクライアントエラーが発生し、パスワード認証の使用にフォールバックします。私は-K
Kerberosトークン転送を有効にします。
私のメモリが正しく機能する場合、これは潜在的に、接続している(または接続している)実際のマシンのFQDNとは異なるマシン名で結合されたLinuxマシンでのAD(この場合はKerberosサーバー)のSPN問題が原因です。私は確信が持てず、正しい方向に向ける助けが必要です。
GSSAPIServerIdentity
オプションをssh
クライアントに渡すことにより、ドメインコントローラーが認識しているプリンシパル名を使用できます。
-oGSSAPIServerIdentity=Host.domain.com
から ssh_config
マンページ:
GSSAPIServerIdentity設定されている場合、サーバーへの接続時にsshが予期するGSSAPIサーバーIDを指定します。デフォルトは設定されていません。つまり、期待されるGSSAPIサーバーIDはターゲットホスト名から決定されます。