Tidak dapat terhubung ke server saya menggunakan SSH Kerberos Auth di OSX 10.7


5

Saya baru saja memutakhirkan Mac OS saya menjadi 10.7 Lion. Ini telah bekerja dengan baik sebelumnya. Tapi hanya kinit berfungsi normal sekarang, saya tidak bisa ssh ke server saya.

Setelah menginstal ulang "Mac OS X Kerberos Extras", itu tidak menjadi lebih baik.

Perintah saya:

ssh root@10.3.18.211 -v

......

debug1: Authentications that can continue: gssapi-with-mic,password
debug1: Next authentication method: gssapi-with-mic
debug1:  Miscellaneous failure (see text)
UNKNOWN_SERVER while looking up 'host/10.3.18.211@3.18.211' (cached result, timeout in 1200 sec)

debug1:  An invalid name was supplied
unknown mech-code 0 for mech 1 2 752 43 14 2

debug1:  Miscellaneous failure (see text)
unknown mech-code 0 for mech 1 3 6 1 5 5 14

debug1: Authentications that can continue: gssapi-with-mic,password
debug1:  An unsupported mechanism was requested
unknown mech-code 0 for mech 1 3 5 1 5 2 7

debug1:  Miscellaneous failure (see text)
unknown mech-code 0 for mech 1 3 6 1 5 2 5

debug1: Next authentication method: password
root@10.3.18.211's password:

menanyakan kata sandi pada akhirnya, apakah gagal jika Anda menggunakannya, apakah ada output setelah itu?
cwoebker

tidak ada output setelah itu, tampaknya autos kerberos gagal atau batas waktu ...

bagi saya ini berarti "jalankan nama pengguna kinit @ REALM" betterlogic.com/roger/2015/01/kinit-wrong-realmhost
rogerdpack

Jawaban:


7

Apakah Anda memiliki dua baris berikut di ~/.ssh/config file, atau di /etc/ssh_config?:

GSSAPIAuthentication yes
GSSAPITrustDNS yes

Yang pertama diperlukan untuk mengaktifkan otentikasi GSSAPI (Kerberos), yang kedua diperlukan untuk mendapatkan ssh untuk mengkanonik nama host melalui DNS dan menggunakan nama kanonik untuk mendapatkan tiket layanan host. Tanpa yang kedua, ssh akan menggunakan nama host atau alamat IP yang dimasukkan pada baris perintah untuk mencoba dan mendapatkan tiket layanan host, dan dalam hal ini gagal:

UNKNOWN_SERVER sambil mencari 'host/10.3.18.211@3.18.211'

Nama sebenarnya kepala sekolah biasanya 'host/hostname.domain@REALM' daripada alamat IP. Tentu saja, Anda memerlukan pengaturan DNS terbalik yang benar agar ini berfungsi.

Sepertinya juga OS X tidak dapat mendeteksi nama ranah yang benar untuk digunakan dan malah mencoba menggunakan alamat IP (bagian '@ 3.18.211'). Apakah Anda memiliki data DNS TXT dan SRV yang benar yang diatur untuk ranah dan KDC Anda? Jika tidak, Anda harus memasukkan ranah default dan alamat KDC secara manual di /etc/krb5.conf.


Terima kasih banyak !!! Cukup tambahkan baris ini: GSSAPITrustDNS yes Semuanya bekerja dengan baik sekarang.

1
Jika sesuatu berhasil untuk Anda, Anda harus melakukannya tandai jawaban sebagai diterima menggunakan tanda centang di bawah skor. Saya kira Anda juga harus menautkan akun Anda sehingga pertanyaan di sini milik Anda lagi.
slhck

Ini tidak membuat perubahan bagi saya sekarang mendesah
Heiko Rupp

0

Saya memiliki kesalahan ini menghubungkan ke Centos, tetapi tidak ke fedora. Dipecahkan dengan mengubah Pengguna saya ke nama pengguna lengkapPrincipalName, bukan nama pendek saya di OS X.

~ / .ssh / config:

Host svn saturnus.lan
User user@EXAMPLE.COM

Kesalahan kode mech-code SSH yang tidak diketahui:

debug1: Next authentication method: gssapi-with-mic
debug2: we sent a gssapi-with-mic packet, wait for reply
debug1: Delegating credentials
debug1: Authentications that can continue: publickey,gssapi-with-mic,password
debug1:  An invalid name was supplied
unknown mech-code 0 for mech 1 2 752 43 14 2

debug1:  Miscellaneous failure (see text)
unknown mech-code 0 for mech 1 3 6 1 5 5 14

debug2: we sent a gssapi-with-mic packet, wait for reply
debug1: Authentications that can continue: publickey,gssapi-with-mic,password
debug1:  An unsupported mechanism was requested
unknown mech-code 0 for mech 1 3 5 1 5 2 7

debug1:  Miscellaneous failure (see text)
unknown mech-code 0 for mech 1 3 6 1 5 2 5

debug2: we did not send a packet, disable method
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.