Não é possível conectar-se ao meu servidor usando o SSH Kerberos Auth no OSX 10.7

5

Acabei de atualizar meu Mac OS para 10.7 Lion. Isso funcionou bem antes. Mas, apenas kinit funcionando normalmente agora, não consigo usar o ssh no meu servidor.

Depois de reinstalar o "Mac OS X Kerberos Extras", ele não melhorou.

Meu comando:

ssh [email protected] -v

......

debug1: Authentications that can continue: gssapi-with-mic,password
debug1: Next authentication method: gssapi-with-mic
debug1:  Miscellaneous failure (see text)
UNKNOWN_SERVER while looking up 'host/[email protected]' (cached result, timeout in 1200 sec)

debug1:  An invalid name was supplied
unknown mech-code 0 for mech 1 2 752 43 14 2

debug1:  Miscellaneous failure (see text)
unknown mech-code 0 for mech 1 3 6 1 5 5 14

debug1: Authentications that can continue: gssapi-with-mic,password
debug1:  An unsupported mechanism was requested
unknown mech-code 0 for mech 1 3 5 1 5 2 7

debug1:  Miscellaneous failure (see text)
unknown mech-code 0 for mech 1 3 6 1 5 2 5

debug1: Next authentication method: password
[email protected]'s password:
    
por slhck 26.07.2011 / 09:06

2 respostas

7

Você tem as duas linhas a seguir no seu arquivo ~/.ssh/config ou no seu /etc/ssh_config ?:

GSSAPIAuthentication yes
GSSAPITrustDNS yes

O primeiro é necessário para habilitar a autenticação GSSAPI (Kerberos), o segundo é necessário para obter o ssh para canonizar o nome do host via DNS e usar o nome canônico para obter um ticket de serviço do host. Sem o segundo, o ssh usará o nome do host exato ou o endereço IP digitado na linha de comando para tentar obter um ticket de serviço do host e, nesse caso, ele falhará:

UNKNOWN_SERVER while looking up 'host/[email protected]'

O nome real do principal é normalmente 'host/hostname.domain@REALM' em vez de um endereço IP. Obviamente, você precisa de uma configuração de DNS reversa correta para que isso funcione.

Parece também que o OS X não consegue detectar o nome correto do território a ser usado e está tentando usar um endereço IP (a parte '@ 3.18.211'). Você tem registros DNS TXT e SRV corretos configurados para seu território e KDC? Caso contrário, você precisará inserir o território padrão e o endereço do KDC manualmente em /etc/krb5.conf .

    
por 26.07.2011 / 12:26
0

Eu tive esses erros se conectando ao Centos, mas não ao fedora. Resolvido alterando meu usuário para um userPrincipalName completo em vez do meu nome abreviado no OS X.

~ / .ssh / config:

Host svn saturnus.lan
User [email protected]

Erros de código de código desconhecido do SSH:

debug1: Next authentication method: gssapi-with-mic
debug2: we sent a gssapi-with-mic packet, wait for reply
debug1: Delegating credentials
debug1: Authentications that can continue: publickey,gssapi-with-mic,password
debug1:  An invalid name was supplied
unknown mech-code 0 for mech 1 2 752 43 14 2

debug1:  Miscellaneous failure (see text)
unknown mech-code 0 for mech 1 3 6 1 5 5 14

debug2: we sent a gssapi-with-mic packet, wait for reply
debug1: Authentications that can continue: publickey,gssapi-with-mic,password
debug1:  An unsupported mechanism was requested
unknown mech-code 0 for mech 1 3 5 1 5 2 7

debug1:  Miscellaneous failure (see text)
unknown mech-code 0 for mech 1 3 6 1 5 2 5

debug2: we did not send a packet, disable method
    
por 13.08.2012 / 13:37