ไม่สามารถเชื่อมต่อกับเซิร์ฟเวอร์ของฉันโดยใช้ SSH Kerberos Auth บน OSX 10.7

5

ฉันเพิ่งอัพเกรด Mac OS เป็น 10.7 Lion มันทำงานได้ดีมาก่อน แต่เท่านั้น kinit ทำงานได้ตามปกติตอนนี้ฉันไม่สามารถ ssh ไปยังเซิร์ฟเวอร์ของฉันได้

หลังจากติดตั้ง "MacOS X Kerberos Extras" ใหม่มันไม่ได้ดีขึ้น

คำสั่งของฉัน:

ssh root@10.3.18.211 -v

......

debug1: Authentications that can continue: gssapi-with-mic,password
debug1: Next authentication method: gssapi-with-mic
debug1:  Miscellaneous failure (see text)
UNKNOWN_SERVER while looking up 'host/10.3.18.211@3.18.211' (cached result, timeout in 1200 sec)

debug1:  An invalid name was supplied
unknown mech-code 0 for mech 1 2 752 43 14 2

debug1:  Miscellaneous failure (see text)
unknown mech-code 0 for mech 1 3 6 1 5 5 14

debug1: Authentications that can continue: gssapi-with-mic,password
debug1:  An unsupported mechanism was requested
unknown mech-code 0 for mech 1 3 5 1 5 2 7

debug1:  Miscellaneous failure (see text)
unknown mech-code 0 for mech 1 3 6 1 5 2 5

debug1: Next authentication method: password
root@10.3.18.211's password:

ssh osx-lion kerberos

— slhck
แหล่งที่มา

มันขอรหัสผ่านในตอนท้ายมันจะล้มเหลวหรือเปล่าถ้าคุณใช้มันมันจะเป็นเอาต์พุตใด ๆ

— cwoebker

ไม่มีผลลัพธ์หลังจากนั้นดูเหมือนว่า kerberos auth ล้มเหลวหรือหมดเวลา ...

สำหรับฉันนี่หมายถึง "run kinit ชื่อผู้ใช้ @ REALM" betterlogic.com/roger/2015/01/kinit-wrong-realmhost

— rogerdpack

7

คุณมีสองบรรทัดต่อไปนี้ในของคุณหรือไม่ ~/.ssh/config ไฟล์หรือในของคุณ /etc/ssh_config?:

GSSAPIAuthentication yes
GSSAPITrustDNS yes

สิ่งแรกคือต้องเปิดใช้งานการตรวจสอบความถูกต้อง GSSAPI (Kerberos) ส่วนที่สองจะต้องใช้เพื่อรับ ssh เพื่อกำหนดชื่อโฮสต์ให้เป็นชื่อผ่าน DNS และใช้ชื่อมาตรฐานเพื่อรับตั๋วบริการโฮสต์ หากไม่มีตัวที่สอง ssh จะใช้ชื่อโฮสต์หรือที่อยู่ IP ที่ป้อนในบรรทัดคำสั่งเพื่อลองและรับตั๋วบริการโฮสต์และในกรณีนี้มันจะล้มเหลว:

UNKNOWN_SERVER ขณะค้นหา 'host/10.3.18.211@3.18.211'

ชื่อจริงของตัวการโดยทั่วไปคือ 'host/hostname.domain@REALM' แทนที่จะเป็นที่อยู่ แน่นอนว่าคุณต้องมีการตั้งค่า DNS ย้อนกลับที่ถูกต้องเพื่อให้สามารถใช้งานได้

ดูเหมือนว่า OS X ไม่สามารถตรวจพบชื่ออาณาจักรที่ถูกต้องที่จะใช้และพยายามใช้ที่อยู่ IP แทน (ส่วน '@ 3.18.211') คุณมีการตั้งค่าระเบียน DNS TXT และ SRV ที่ถูกต้องสำหรับขอบเขตและ KDC ของคุณหรือไม่ หากไม่ใช่คุณจะต้องป้อนค่าเริ่มต้นของอาณาจักรและที่อยู่ KDC ด้วยตนเอง /etc/krb5.conf.

— sigmaris
แหล่งที่มา

ขอบคุณมาก !!! เพียงเพิ่มบรรทัดนี้: GSSAPITrustDNS yes ตอนนี้ทุกอย่างทำงานได้ดี

1

หากสิ่งที่เหมาะกับคุณคุณควร ทำเครื่องหมายคำตอบว่ายอมรับ ใช้เครื่องหมายถูกด้านล่างคะแนน ฉันเดาว่าคุณจะต้องเชื่อมโยงบัญชีของคุณเพื่อที่คำถามนี้จะเป็นของคุณอีกครั้ง

— slhck

สิ่งนี้ทำให้ฉันไม่มีการเปลี่ยนแปลงในตอนนี้ ถอนหายใจ

— Heiko Rupp

0

ฉันมีข้อผิดพลาดเหล่านี้เชื่อมต่อกับ Centos แต่ไม่ใช่เพื่อ fedora แก้ไขโดยการเปลี่ยนผู้ใช้ของฉันเป็น userPrincipalName เต็มแทนชื่อย่อของฉันใน OS X

~ / .ssh / config:

Host svn saturnus.lan
User user@EXAMPLE.COM

ข้อผิดพลาด mech-code ที่ไม่รู้จัก SSH:

debug1: Next authentication method: gssapi-with-mic
debug2: we sent a gssapi-with-mic packet, wait for reply
debug1: Delegating credentials
debug1: Authentications that can continue: publickey,gssapi-with-mic,password
debug1:  An invalid name was supplied
unknown mech-code 0 for mech 1 2 752 43 14 2

debug1:  Miscellaneous failure (see text)
unknown mech-code 0 for mech 1 3 6 1 5 5 14

debug2: we sent a gssapi-with-mic packet, wait for reply
debug1: Authentications that can continue: publickey,gssapi-with-mic,password
debug1:  An unsupported mechanism was requested
unknown mech-code 0 for mech 1 3 5 1 5 2 7

debug1:  Miscellaneous failure (see text)
unknown mech-code 0 for mech 1 3 6 1 5 2 5

debug2: we did not send a packet, disable method

— bbaassssiiee
แหล่งที่มา