我对 Kerberos 并没有太多经验,但我正在尝试使用 sssd 在我的一台服务器上使用 AD 设置 SSH 身份验证。我已按照此处sssd 文档中的说明进行操作,但我很难理解为什么我需要一个 keytab 文件来设置它?
我最近一直在阅读有关 Kerberos 的一些内容,看来您只需要在服务器需要在没有用户交互的情况下向 AD 进行身份验证时或当您需要实现 SSO 时(当用户请求该服务的票)。
我只是希望我的用户在通过 SSH 登录时输入他们的用户名/密码,并让 sssd 针对 AD 验证该用户并为他们创建 TGT 票证。有趣的是——即使我没有设置 sssd 并且只设置了 kerberos 端,我也可以运行 kinit 并得到一张票!
所以我的问题是:我可以使用 sssd 设置 SSH 身份验证而不在服务器上生成密钥表文件吗?如果不是那么为什么不呢?
您在主题行中的问题“在服务器上设置 SSH 身份验证时使用 Kerberos 密钥表文件的原因是什么? ”归结为单行答案:它允许通过 de 对目录服务器进行 Kerberos 单点登录身份验证- 加密入站 Kerberos 服务票证以“告诉”用户是谁。至于您的另一个问题,“我可以使用 sssd 设置 SSH 身份验证而不在服务器上生成密钥表文件吗? ”,答案是肯定的,您可以。但是每当您连接到 SSH 服务时,系统都会提示您输入用户名或密码,除非您选择将密码缓存在您可能用于连接的任何 SSH 实用程序中。但是,以这种方法缓存密码不被视为“单点登录”。
如需更多参考,您可以阅读我在 Microsoft Technet 上关于 Kerberos keytabs 的文章的更多信息: Kerberos Keytabs – Explained。我经常根据在此论坛中看到的问题返回并对其进行编辑。