Atualizando credenciais Kerberos delegadas por meio do SSH usando GSSAPIRenewalForcesRekey

1

Eu tenho investigado opções para minimizar a quantidade de credenciais que precisam ser digitadas novamente à medida que as credenciais expiram. Um dos grandes problemas que estou tendo agora é lidar com credenciais delegadas, o que interfere nas sessões SSH de longa duração.

Parece que as opções GSSAPIRenewalForcesRekey e GSSAPIStoreCredentialsOnRekey fazem exatamente o que eu quero - quando um cliente renova seu ticket, as credenciais seriam reenviadas para o servidor.

No entanto, as opções parecem não ter efeito algum. Por exemplo, depois de configurar uma conexão SSH, espero que a execução kinit ou kinit -R acabe atualizando o cache de credenciais no servidor.

Executar o ssh e o sshd no modo verboso / de depuração também não esclarece isso.

Eu tenho a ideia errada sobre o que essas opções fazem? Eu apreciaria muito qualquer informação sobre o que estou fazendo errado ou formas alternativas de realizar isso.

    
por Belly 06.11.2012 / 00:17

1 resposta

1

Como de costume, descobri isso cinco minutos depois de postar. Para referência futura:

Ativar o GSSAPIKeyExchange corrigiu o problema para mim.

GSSAPIRenewalForcesRekey e GSSAPIStoreCredentialsOnRekey exigem que o GSSAPIKeyExchange seja ativado antes de parecer ter algum efeito. Em retrospectiva, faz algum sentido que a GSSAPI precise estar encarregada da troca de chaves, mas teria ajudado muito se a documentação apontasse este fato ...

    
por 06.11.2012 / 00:48

Tags