Según mi entendimiento de Kerberos, se supone que un cliente solo debe ingresar su contraseña una vez para obtener el TGT del servidor de Kerberos y la autenticación contra los servicios web (por ejemplo, SSH, Apache, SMB). ..) solo se realiza a través del ticket de servicio obtenido del servidor Kerberos.
En mi configuración actual (ver aquí para detalles), se le solicita al cliente su contraseña Kerberos (!) cuando se autentica a SSH. Esto sucede después de que el cliente ya ha obtenido un TGT del servidor Kerberos.
Para mí, este comportamiento parece bastante extraño ya que la idea general de Kerberos parece ser que la autenticación a un servicio web se realiza a través de tickets en lugar de contraseñas. Pero mi colega está convencido de que este comportamiento es esperado y que la ventaja de Kerberos es que la contraseña nunca abandona al cliente. Solo se utiliza para validar el ticket de servicio en la máquina del cliente.
¿Alguien puede aclarar si se espera que se le solicite una contraseña al comportamiento cuando se autentica a SSH a través de MIT Kerberos?