SSH с билетом Kerberos
Когда я вхожу на сервер с помощью OpenSSH, генерируется билет Kerberos в / tmp / krb5cc_.
1 - как сгенерировать этот тикет и где находится файл conf для создания этого тикета?
2 - Как сгенерировать билет Kerberos с перенаправляемым флагом при входе на сервер с использованием OpenSSH?
3 - я хочу ssh на 3 разных сервера через тикет Kerberos. Когда я захожу на сервер1, используя пароль, я создам билет Kerberos для меня. После того, как я использую этот билет для ssh к server2 и этот билет следует за мной. Наконец, я снова отправлю пароль-ssh к server3, используя тикет.
В качестве резюме я вхожу в систему с использованием пароля к server1 после перехода на server2, не используя пароль через тикет Kerberos, после чего я буду использовать ssh без пароля для третьего сервера и второго сервера.
1 ответ
В современных системах Linux вы используете для этого какой-то модуль pam. Часть информации, которую вы ищете, находится на странице руководства указанного модуля.
если вы не используете систему, основанную на fedora, наиболее используемой, по-видимому, является: https://www.eyrie.org/~eagle/software/pam-krb5/pam-krb5.html поиск жалоб на странице выше (раздел в /etc/krb5.conf).
ccache=<pattern>
ответит на вторую часть вашего вопроса № 1, первая часть будет модулем pam.
forwardable = True
ответил бы на номер 2, может быть установлен appdefaults или раздел libdefaults в /etc/krb5/conf.
номер 3 имеет отношение к ssh man ssh или ssh_config покажет, что нужно использовать -K (ssh -K) или установить GSSAPIDelegateCredentials=yes и GSSAPIAuthentication=yes в ~/.ssh/config (либо глобально - не очень хорошая идея), либо на хосте / домене)
см. справочные страницы (ssh, pam_kr5,krb5.conf.kinit) для получения дополнительной информации.