Eu tenho uma situação em que estou tentando aproveitar o encaminhamento GSSAPI (Kerberos) para conectar-me a outro servidor Linux que também está associado a um Windows AD e ao usar o SSSD.
As máquinas Linux são unidas ao domínio usando um nome de máquina diferente do FQDN real do servidor. Quando eu faço o login na primeira máquina com minhas credenciais de domínio, o PAM é bem-sucedido e recebo um token válido. Aparece com klist . No entanto, mesmo depois de ativar os logins GSSAPI e Kerberos no SSH em outro host linux também associado ao domínio, ainda recebo o erro de cliente "Servidor não encontrado no banco de dados kerberos" e ele volta a usar a autenticação por senha. Estou passando -K para ativar o encaminhamento de token do Kerberos.
Se minha memória for exibida corretamente, isso é potencialmente devido a um problema de SPN no AD (o servidor Kerberos neste caso) com a máquina Linux associada a um nome de máquina diferente do FQDN da máquina real à qual estou me conectando ?) mas não tenho certeza e preciso de ajuda para me apontar na direção certa.
Você pode usar o nome principal conhecido do seu controlador de domínio passando a opção GSSAPIServerIdentity ao seu ssh client:
-oGSSAPIServerIdentity=host.domain.com
Na% man_de% manpage:
GSSAPIServerIdentity If set, specifies the GSSAPI server identity that ssh should expect when connecting to the server. The default is unset, which means that the expected GSSAPI server identity will be determined from the target hostname.