¿Se supone que MIT Kerberos debe solicitar una contraseña cuando se autentica a SSH?

0

Según mi entendimiento de Kerberos, se supone que un cliente solo debe ingresar su contraseña una vez para obtener el TGT del servidor de Kerberos y la autenticación contra los servicios web (por ejemplo, SSH, Apache, SMB). ..) solo se realiza a través del ticket de servicio obtenido del servidor Kerberos.

En mi configuración actual (ver aquí para detalles), se le solicita al cliente su contraseña Kerberos (!) cuando se autentica a SSH. Esto sucede después de que el cliente ya ha obtenido un TGT del servidor Kerberos.

Para mí, este comportamiento parece bastante extraño ya que la idea general de Kerberos parece ser que la autenticación a un servicio web se realiza a través de tickets en lugar de contraseñas. Pero mi colega está convencido de que este comportamiento es esperado y que la ventaja de Kerberos es que la contraseña nunca abandona al cliente. Solo se utiliza para validar el ticket de servicio en la máquina del cliente.

¿Alguien puede aclarar si se espera que se le solicite una contraseña al comportamiento cuando se autentica a SSH a través de MIT Kerberos?

    
pregunta arne.z 16.06.2017 - 23:17
fuente

1 respuesta

2

La respuesta más simple probablemente no lo sea.

Al mirar tu configuración actual, estás intentando usar GSSAPIAuthentication . Si su entorno de kerberos está configurado correctamente, no se le pedirá a no que ingrese una contraseña nuevamente después de solicitar inicialmente su TGT. si se recibe correctamente, solo se requiere el TGT para solicitar el ticket de servicio.

Algunas cosas a tener en cuenta son las siguientes:

  • Las cosas son más simples si sigue la convención de mantener el nombre de su reino en MAYÚSCULAS.
  • Asegúrese de que todos los SPN en su KDC coincidan con los FQDN de los hosts a los que se autentica.
  • Asegúrese de que todos los hosts conozcan su FQDN. Esto se puede lograr editando /etc/hostname , /etc/hosts también puede ser útil.
  • También parece que estás recibiendo intentos de fuerza bruta contra tu demonio ssh como usuario root, esto puede ser de ayuda instalando algo como fail2ban . Si falla esto, puede ejecutar una instancia de sshd en el primer plano, en un puerto no estándar, con salida de depuración adicional con este comando sudo /usr/sbin/sshd -p 9001 -D -dd . Esto le dará registros más limpios.
respondido por el rlf 19.06.2017 - 21:44
fuente

Lea otras preguntas en las etiquetas