Eu tenho investigado opções para minimizar a quantidade de credenciais que precisam ser digitadas novamente à medida que as credenciais expiram. Um dos grandes problemas que estou tendo agora é lidar com credenciais delegadas, o que interfere nas sessões SSH de longa duração.
Parece que as opções GSSAPIRenewalForcesRekey e GSSAPIStoreCredentialsOnRekey fazem exatamente o que eu quero - quando um cliente renova seu ticket, as credenciais seriam reenviadas para o servidor.
No entanto, as opções parecem não ter efeito algum. Por exemplo, depois de configurar uma conexão SSH, espero que a execução kinit ou kinit -R acabe atualizando o cache de credenciais no servidor.
Executar o ssh e o sshd no modo verboso / de depuração também não esclarece isso.
Eu tenho a ideia errada sobre o que essas opções fazem? Eu apreciaria muito qualquer informação sobre o que estou fazendo errado ou formas alternativas de realizar isso.
Como de costume, descobri isso cinco minutos depois de postar. Para referência futura:
Ativar o GSSAPIKeyExchange corrigiu o problema para mim.
GSSAPIRenewalForcesRekey e GSSAPIStoreCredentialsOnRekey exigem que o GSSAPIKeyExchange seja ativado antes de parecer ter algum efeito. Em retrospectiva, faz algum sentido que a GSSAPI precise estar encarregada da troca de chaves, mas teria ajudado muito se a documentação apontasse este fato ...