ssdh 服务器的集中身份验证(登录)方式
- 通过公钥: PubkeyAuthentication yes
- 输入用户和密码:PasswordAuthentication yes
- 键盘交互输入登录:ChallengeResponseAuthentication no
- kerberos持票登录:GSSAPIAuthentication yes :gssapi-keyex, gssapi-with-mic
- 基于已知主机的登录:HostbasedAuthentication no :todo?还未研究明白
注释:gssapi-with-mic中的“mic”代表的是“message intergrity code” ,意思是“消息完整性码”
注释2:每种验证方式下,有若干其他辅助配置选项,以满足各种个性化需求
下面来看看如何完成kerberos方式的无密码登录?
step 0 所有相关的服务器要规划设置:hostname、hosts、ip、selinux、iptables等!
step 1 准备一台kerberos服务器(KDC服务器:AS+TGS=验证服务+票据授权服务),安装、配置、启动kerberos服务
step 2 配置KDC授权主体信息:主机、用户、管理用户、服务主机等,不同app有不同的认证主体名字空间
step 3 配置应用服务,典型的sshd服务器,启动GSSAPIAuthentication服务,及配置一些相关选项
step 4 配置应用服务客户端,典型的ssh,默认即会协商启用Kerberos认证。当然你可以通过ssh_config或命令行参数去提供一些相关选项
提示:这其中,需要理解kerberos的概念,掌握一些工具,并合理配置krb5.conf和krb5.keytab
