Перейти в группу новостей: 
 
Тема Re: kerberos, ssh
Написал Alexei <webmaster@microsoft.com>
Дата 7 августа 2020 в 11:05:19
Группа новостей kraft.os.linux

> Я уже забыл, что кербер у тебя работает, сорри
> Вот здесь глянь:
> https://sathisharthars.com/2013/05/07/configuring-ssh-with-kerberos-authentication/
Ну вот из шпаргалки по твоей ссылке:
"создать принципала host/arthar2.sathish.com"
И тд.
Это host-wide принципал, не для конкретного инстанса службы ssh или там
вообще отдельной службы типа www. То есть, сервис KDC/TGS выдаёт билет
клиенту не для конкретной службы или инстанса, а прям для целого хоста.
Может быть, это и норм: каждая служба просто далее проверяет что за
пользователь пришёл (не его подлинность, т.е., не его аутентификацию, а
авторизацию - назначение прав и тп). Немного непривычна такая схема,
когда аутентификация проводится для целого хоста.
Причём с очень умолчательными настройками клиент ssh при обращении к
GSSAPI уже как-то очень уверенно формирует host-wide принципала для
которого хочет получить билет у KDC/TGS, так что явно существует
какое-то очень устоявшееся соглашение о том, как формируется принципал
для которого делается попытка получить билет при обращении к сервису.
Много пока непонятно и непривычно.

Спасибо, что поддержал тему :)
Все сообщения в этой теме
 
#  kerberos, ssh Alexei 5 августа 2020 в 11:08:26
#  Re: kerberos, ssh w_cooper 5 августа 2020 в 20:28:09
#  Re: kerberos, ssh Alexei 6 августа 2020 в 11:13:04
#  Re: kerberos, ssh w_cooper 7 августа 2020 в 09:53:51
#  Re: kerberos, ssh w_cooper 7 августа 2020 в 10:09:18
#  Re: kerberos, ssh Alexei 7 августа 2020 в 11:05:19
#  Re: kerberos, ssh w_cooper 7 августа 2020 в 12:31:44
#  Re: kerberos, ssh Eldar 8 августа 2020 в 19:35:06
#  Re: kerberos, ssh w_cooper 7 августа 2020 в 10:07:49



Время выполнения скрипта: 0.00082087516784668 сек.