Eu tenho um número de servidores CentOS 7 que precisam ser autenticados com duas regiões diferentes do Kerberos: A.EXAMPLE.COM e B.EXAMPLE.POOP. A maioria dos usuários existe no um, alguns no outro. Eu tenho eles configurados em /etc/krb5.conf. A.EXAMPLE.COM é definido como o domínio padrão. Eu posso kinit com kinit INeverReallyKnow e kinit [email protected] . Isso funciona.
Como posso efetuar login via SSH como usuário com essa configuração?
Parece que o SSH, o PAM e os amigos só usam o domínio padrão. Eu tentei usar um arquivo k5login em um usuário na região não padrão, mas não teve efeito (com k5login_authoritative definido como true).
Eu estou tentando não usar sssd como tem sido a fonte de grandes problemas nos últimos dois anos. Eu sinto que o software está inutilizável em seu estado atual. Por favor, não se incomode em discutir o uso do sssd.
Eu tenho pouco ou nenhum controle sobre os reinos e não posso fazer nenhuma confiança entre domínios. Os domínios são ambos do Active Directory, se for importante.
Eu não posso fazer kinit em um sistema local e usar o gssapi, pois as estações de trabalho não têm acesso aos KDCs.
É possível efetuar login via SSH contra dois domínios diferentes?
Tags authentication kerberos centos