我想得到一些帮助,以清除我的想法Kerberosauthentication。 我混淆了kerberosauthenticationstream程。
我的系统中有三个节点。
在KC上 ,我已经为sshd启用了GSSAPIAuthentication 。
# GSSAPI options GSSAPIAuthentication yes
但是,我期待通过SSHlogin从PS到KC没有任何密码提示,但相反,我得到PS错误。
debug1: Unspecified GSS failure. Minor code may provide more information No Kerberos credentials available (default cache: KEYRING:persistent:1000)
我的问题是,
我是否缺lessconfiguration或kerberos身份validation不适用于非KDC客户端( PS )?
客户端ssh用户必须具有有效的凭据caching才能使用GSSAPIAuthentication。 这可以作为login过程的一部分完成, pam_krb5
/ pam_sss
( auth_provider = krb5
)或kinit
(krb5-workstation的一部分)。
如果只是告诉Kerberos客户端使用DNS来定位KDC和domain_realm映射,通常需要一些最低限度的configuration。