Перейти в группу новостей: 
 
Тема ssh, linux
Написал Alexei <webmaster@microsoft.com>
Дата 20 ноября 2023 в 23:51:25
Группа новостей kraft.os.linux

Привет всем.
Конфиг sshd (второстепенное не показано):

AuthenticationMethods = gssapi-with-mic
PubkeyAuthentication = no
PasswordAuthentication = no
ChallengeResponseAuthentication = no
GSSAPIAuthentication = yes
GSSAPICleanupCredentials = yes

Да, захотелось попробовать, как там работает концепция Single SignOn :)
Так вот, вопрос вот в чём: в случае парольной аутентификации или
аутентификации по ключу можно заходить (авторизоваться) в любой аккаунт
на удалённой машине, если хватает полномочий, типа ssh user@remote-host.
В случае ключей допустимость авторизации как произвольного юзера
определяется, например, файлом authorized_keys. В случае парольной
аутентификации - через PAM, если я правильно понимаю. А в случае с
GSSAPI не прокатывает такая схема: похоже, локально ssh-клиент ищет
Kerberos-билет для желаемого user@REALM при подключении типа ssh
usr@host. И, конечно, для любого произвольного юзера нет билета.
Есть ли возможность аутентифицироваться посредством GSSAPI, а сессию
конкретного пользователя (авторизацию) получать уже на сервере,
чтонибудь а-ля файл $HOME/.ssh/authorized_keys, только для принципалов
GSSAPI ?

Практическая (или теоретическая) задача: дать возможность Васе админить
разные компы с помощью аутентификации через Kerberos/GSSAPI с
использованием своей учётки в Kerberos Key Distribution Center.

Спасибо :)
Все сообщения в этой теме
 
#  ssh, linux Alexei 20 ноября 2023 в 23:51:25



Время выполнения скрипта: 0.00053000450134277 сек.