Minha empresa desativou a autenticação de chave pública SSH, portanto, tenho que inserir manualmente cada vez que minha senha (não devo alterar /etc/ssh/sshd_config
).
No entanto gssapi-keyex
e gssapi-with-mic
autenticações são habilitados (veja abaixo ssh
a saída de depuração).
Como eu poderia usar o login automático neste caso?
Posso explorar gssapi-keyex
e / ou gssapi-with-mic
autenticações?
> ssh -v -o PreferredAuthentications=publickey hostxx.domainxx
OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to hostxx.domainxx [11.22.33.44] port 22.
debug1: Connection established.
debug1: identity file /home/me/.ssh/identity type -1
debug1: identity file /home/me/.ssh/id_rsa type -1
debug1: identity file /home/me/.ssh/id_dsa type 2
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3
debug1: match: OpenSSH_5.3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.3
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host 'hostxx.domainxx' is known and matches the RSA host key.
debug1: Found key in /home/me/.ssh/known_hosts:2
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: gssapi-keyex,gssapi-with-mic,password
debug1: No more authentication methods to try.
Permission denied (gssapi-keyex,gssapi-with-mic,password).
ssh
authentication
kerberos
olibre
fonte
fonte
fab
arquivo que faria login em outra máquina (SSH gssapi sem solicitar uma senha) e abrir um shell? Você pode fornecer dentro de uma resposta. (Em cinco minutos, não encontrei no tutorial como fazer isso). Cheers;)Respostas:
Talvez.
kinit
, MIT Kerberos for Windows)?host/[email protected]
.GSSAPI
autenticação está ativada no seu cliente?Se você disse "sim" a todas as opções acima, parabéns, você pode usar
GSSAPIAuthentication
.Etapas de teste:
(Assumindo: domínio = exemplo.com; domínio = EXAMPLE.COM)
kinit [email protected]
pam_krb5
oupam_sss
(comauth_provider = krb5
) no apropriadopam stack
.kvno host/[email protected]
ssh
faz isso automaticamente se você tiver um cache válido e estiver conversando com umsshd
que suportagssapi-with-mic
ougssapi-keyex
.dig _kerberos.example.com txt
deve retornar"EXAMPLE.COM"
[domain_realm]
seção/etc/krb5.conf
as.example.com = EXAMPLE.COM
, mas odns
método é muito melhor.ssh -o GSSAPIAuthentication=yes [email protected]
fonte
gssapiauthentication
? Talvez eu também possa usargssapiauthentication
na minha máquina Linux. (eu deveria usarkinit
para isso?) Felicidades;)O método de quatro etapas está correto (também existem registros SRV Kerberos no DNS que são ainda mais elegantes e estão presentes em todos os Active Directory). Eu uso isso o tempo todo e tenho defendido os métodos pubkey acima, principalmente por razões relacionadas a segurança e controle.
Dito isto, isso só fornece logon interativo, embora possa ser quase interativo quando você recebe um ticket na sua estação de trabalho. O tíquete Kerberos age como o agente SSH; depois que você o tiver, novas conexões serão instantâneas e sem senha; embora com um prazo.
Para obter o logon em lote interativo, é necessário obter um arquivo keytab, um arquivo que contém essencialmente a senha de uma conta Kerberos, como a metade privada de uma chave SSH. De acordo com as precauções de segurança; especialmente porque o keytab não é criptografado ou protegido com uma senha.
Estou bastante relutante em fornecer aos meus usuários seus keytabs para suas contas pessoais, mas estou usando agressivamente contas de serviço com permissões mínimas para vários trabalhos em lotes, especialmente quando é essencial que credenciais sejam delegadas ao sistema remoto, algo que pubkey simplesmente pode ' t alcançar.
Os keytabs podem ser criados usando o ktutil no Unix ou o KTPASS.EXE no Windows (o último dos serviços do AD Kerberos). Observe que o ktutil existe em dois tipos, Heimdal e MIT, e sua sintaxe é diferente. A leitura da página de manual em um sistema relevante ajuda.
fonte