Host some.host.net some-other-machine.net
GSSAPIDelegateCredentials yes
deve eliminar a necessidade de passar -K .
Estou tentando configurar o encaminhamento com o Kerberos e parece ter alguns problemas.
Em alguns dos meus servidores, posso reencaminhar depois de receber um ticket; no entanto, alguns eu não sou.
Minha configuração do sistema é uma mistura do CentOS 5 e do OpenSuSE 13.1. Algumas dessas máquinas usam o sssd e outras usam o /etc/krb5.conf. Em todos os sshd_confs eu ativei as seguintes opções:
# Kerberos options
KerberosAuthentication yes
KerberosOrLocalPasswd yes
KerberosTicketCleanup yes
#KerberosGetAFSToken yes #Not always supported
# GSSAPI options
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
Acho que isso pode ser um problema de pam \ sssd, mas deixe-me colocar o seguinte diagrama para tentar limpar tudo
---------------- ssh -K ------------------
| OpenSuSE 13.1 | -------> | CentOS 5 |
| sssd | | /etc/krb5.conf |
-----------------\ | kdc server |
ssh -K ------------------
\ ^ |
\ | v
- > ------------------
| CentOS 5 |
| /etc/krb5.conf |
| kdc server |
------------------
Para entender isso, se houver uma seta, isso significa que posso fazer login sem inserir outra senha. Então, entre os dois servidores kdc eu consigo logar sem uma senha.
Na caixa OpenSuSE, eu tenho que especificar a opção -K ao executar o ssh; no entanto, não consigo voltar do CentOS para o OpenSuSE, mesmo quando estiver no console.
O que eu quero é poder ir de qualquer máquina para qualquer outra, usando meu ticket e sem ter que fazer a opção -K para SSH.
Alguma idéia?
Host some.host.net some-other-machine.net
GSSAPIDelegateCredentials yes
deve eliminar a necessidade de passar -K .