Ao usar um alias SSH, por que o SSH está ignorando meu ticket Kerberos (válido)?

3

Estou me conectando com sucesso à rede da minha universidade via ssh com autenticação de tíquete Kerberos. Operação normal e detalhada (kinit um ticket, depois ssh user @ hostname) funciona bem.

O problema

Ao configurar aliases ssh no arquivo ~ / .ssh / config, no entanto, ssh ignora completamente o Kerberos e solicita minha senha. (Veja a saída de depuração abaixo.)

Por que isso? Como posso configurá-lo para usar o Kerberos?

Observação: a operação normal do ssh com o Kerberos continua a funcionar antes e depois das tentativas com aliases do ssh. Além disso, os aliases ssh funcionam conforme o esperado quando fornecidos com um login pw.

(Sistema: Mac OS 10.11.4, Darwin Kernel Versão 15.4.0, OpenSSH_6.9p1, LibreSSL 2.1.8, Kerberos 5 versão 1.7)

Depuração de saída

Ao executar o SSH a partir do CL, adicionei -vvv para informações de depuração detalhadas e, em seguida, diferenciei a saída. Eu incluí as porções que diferiam significativamente.

$ ssh -vvv [ssh-alias]

debug3: preferred publickey,keyboard-interactive,password debug3: authmethod_lookup password debug3: remaining preferred: ,keyboard-interactive,password debug3: authmethod_is_enabled password debug1: Next authentication method: password [email protected]'s password: debug2: we sent a password packet, wait for reply debug1: Authentication succeeded (password). Authenticated to login.engin.umich.edu ([141.213.74.56]:22).

$ ssh -vvv [user@host]

debug3: preferred gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive,password debug3: authmethod_lookup gssapi-keyex debug3: remaining preferred: gssapi-with-mic,publickey,keyboard-interactive,password debug3: authmethod_is_enabled gssapi-keyex debug1: Next authentication method: gssapi-keyex debug1: No valid Key exchange context debug2: we did not send a packet, disable method debug3: authmethod_lookup gssapi-with-mic debug3: remaining preferred: publickey,keyboard-interactive,password debug3: authmethod_is_enabled gssapi-with-mic debug1: Next authentication method: gssapi-with-mic debug3: Trying to reverse map address 141.213.74.58. debug2: we sent a gssapi-with-mic packet, wait for reply debug1: Delegating credentials debug1: Delegating credentials debug1: Authentication succeeded (gssapi-with-mic). Authenticated to login.engin.umich.edu ([141.213.74.58]:22).

    
por Alexander Mills 02.05.2016 / 22:04

1 resposta

0

O Kerberos, como eu já vi configurado, lida com nomes de host completos ( gato.example.org ) e não com hosts não qualificados ( gato ); usar um nome de host não qualificado produz para mim no teste de ssh linhas de depuração de:

debug1: Next authentication method: gssapi-with-mic
debug1:  Miscellaneous failure (see text)
Error from KDC: LOOKING_UP_SERVER while looking up 'host/[email protected]' (cached result, timeout in 1089 sec)

Isso ocorre devido aos hosts kerberos normalmente terem apenas entradas principais do host completo no arquivo /etc/krb5.keytab :

[root@gato ~]# strings /etc/krb5.keytab | head -3
EXAMPLE.ORG
host
gato.example.org

Seus logs aparecem para usar o nome de host login.engin.umich.edu totalmente qualificado para que seu problema seja diferente, embora, em geral, quando se lida com kerberos, seria melhor forçar nomes de host totalmente qualificados em ~/.ssh/config , manualmente:

Host gato.example.org gato bubba
    Hostname gato.example.org

Ou, em vez disso, via a palavra-chave CanonicalizeHostname (consulte ssh_config(5) para detalhes e advertências).

Outro ponto a notar é que login.engin.umich.edu é um conjunto de hosts; Uma coisa a ser testada seria que nós específicos neste conjunto estão configurados incorretamente para o kerberos e, assim, descarregando você de volta para a senha auth, embora isso leve a edição /etc/hosts para conter algo como:

141.213.74.56 login.engin.umich.edu

E lembrando-se de remover as entradas de teste quando terminar. (Usar o endereço IP não é bom para o kerberos, você precisa usar o nome do host, daí a necessidade de usar /etc/hosts para testes.)

    
por 04.05.2016 / 22:33