ssdh 服务器的集中身份验证（登录）方式

1. 通过公钥： PubkeyAuthentication yes
2. 输入用户和密码：PasswordAuthentication yes
3. 键盘交互输入登录：ChallengeResponseAuthentication no
4. kerberos持票登录：GSSAPIAuthentication yes ：gssapi-keyex, gssapi-with-mic
5. 基于已知主机的登录：HostbasedAuthentication  no  ：todo？还未研究明白

 

注释：gssapi-with-mic中的“mic”代表的是“message intergrity code” ，意思是“消息完整性码”

注释2：每种验证方式下，有若干其他辅助配置选项，以满足各种个性化需求

 

下面来看看如何完成kerberos方式的无密码登录？

step 0 所有相关的服务器要规划设置：hostname、hosts、ip、selinux、iptables等！

step 1 准备一台kerberos服务器（KDC服务器：AS+TGS=验证服务+票据授权服务），安装、配置、启动kerberos服务

step 2 配置KDC授权主体信息：主机、用户、管理用户、服务主机等，不同app有不同的认证主体名字空间

step 3 配置应用服务，典型的sshd服务器，启动GSSAPIAuthentication服务，及配置一些相关选项

step 4 配置应用服务客户端，典型的ssh，默认即会协商启用Kerberos认证。当然你可以通过ssh_config或命令行参数去提供一些相关选项

提示：这其中，需要理解kerberos的概念，掌握一些工具，并合理配置krb5.conf和krb5.keytab