O Kerberos, como eu já vi configurado, lida com nomes de host completos ( gato.example.org
) e não com hosts não qualificados ( gato
); usar um nome de host não qualificado produz para mim no teste de ssh
linhas de depuração de:
debug1: Next authentication method: gssapi-with-mic
debug1: Miscellaneous failure (see text)
Error from KDC: LOOKING_UP_SERVER while looking up 'host/[email protected]' (cached result, timeout in 1089 sec)
Isso ocorre devido aos hosts kerberos normalmente terem apenas entradas principais do host completo no arquivo /etc/krb5.keytab
:
[root@gato ~]# strings /etc/krb5.keytab | head -3
EXAMPLE.ORG
host
gato.example.org
Seus logs aparecem para usar o nome de host login.engin.umich.edu
totalmente qualificado para que seu problema seja diferente, embora, em geral, quando se lida com kerberos, seria melhor forçar nomes de host totalmente qualificados em ~/.ssh/config
, manualmente:
Host gato.example.org gato bubba
Hostname gato.example.org
Ou, em vez disso, via a palavra-chave CanonicalizeHostname
(consulte ssh_config(5)
para detalhes e advertências).
Outro ponto a notar é que login.engin.umich.edu
é um conjunto de hosts; Uma coisa a ser testada seria que nós específicos neste conjunto estão configurados incorretamente para o kerberos e, assim, descarregando você de volta para a senha auth, embora isso leve a edição /etc/hosts
para conter algo como:
141.213.74.56 login.engin.umich.edu
E lembrando-se de remover as entradas de teste quando terminar. (Usar o endereço IP não é bom para o kerberos, você precisa usar o nome do host, daí a necessidade de usar /etc/hosts
para testes.)