Когда я вхожу на сервер, используя OpenSSH, генерируется билет Kerberos в /tmp /krb5cc_.

1 - как сгенерировать этот тикет и где находится файл conf для создания этого тикета?

2 - Как сгенерировать билет Kerberos с перенаправляемым флагом при входе на сервер с использованием OpenSSH?

3 - я хочу ssh на 3 разных сервера через тикет Kerberos. Когда я захожу на сервер1, используя пароль, я создам билет Kerberos для меня. После того, как я использую этот билет для SSH к server2 и этот билет следует за мной. Наконец, я снова отправлю пароль-ssh к server3, используя тикет.

В качестве резюме я вхожу в систему с использованием пароля к server1 после перехода на server2, не используя пароль через тикет Kerberos, после чего я буду использовать ssh без пароля для третьего сервера, а также для второго сервера.

|источник

1 ответ1

1

в современных системах Linux вы используете для этого какой-то модуль pam. Часть информации, которую вы ищете, находится на странице руководства указанного модуля.

если вы не используете систему, основанную на fedora, наиболее используемой, по-видимому, является:https://www.eyrie.org/~eagle/software/pam-krb5/pam-krb5.html поиск жалоб на странице выше ( раздел в /etc/krb5.conf).

ccache=<pattern>

ответит на вторую часть вашего вопроса № 1, первая часть будет модулем pam.

forwardable = True

ответил бы на номер 2, может быть установлен appdefaults или раздел libdefaults в /etc /krb5 /conf.

номер 3 имеет отношение к ssh man ssh или ssh_config покажет, что нужно использовать -K (ssh -K) или установить GSSAPIDelegateCredentials = yes и GSSAPIAuthentication = yes в ~/.ssh/config (либо глобально - не очень хорошая идея), либо на хосте /домене)

см. справочные страницы (ssh, pam_kr5, krb5.conf.kinit) для получения дополнительной информации.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .