Ssh

為什麼 sshd 在通過 pam 或 KerberosAuthentication 對使用者進行身份驗證時要求提供主機服務主體

  • February 16, 2018

我已經為測試目的設置了 Ubuntu。-安裝了 MIT kerberos(最新) -安裝了 OpeenSsh(最新)

我已經設置並使用了 KerberosAuthentication 和 pam_krb5 類型的身份驗證以及 GSSAPIAuthentication。一切都很好。

當我設置僅使用“KerberosAuthentication”或“pam_krb5”時,我看到對主機/的請求:

Nov 20 00:09:11 kdcname krb5kdc[12476](info): AS_REQ (2 etypes {16 17}) 192.168.1.104: NEEDED_PREAUTH: user@HELLO.COM for krbtgt/HELLO.COM@HELLO.COM, Additional pre-authentication required
Nov 20 00:09:11 kdcname krb5kdc[12476](info): AS_REQ (2 etypes {16 17}) 192.168.1.104: NEEDED_PREAUTH: user@HELLO.COM for krbtgt/HELLO.COM@HELLO.COM, Additional pre-authentication required
Nov 20 00:09:11 kdcname krb5kdc[12476](info): AS_REQ (2 etypes {16 17}) 192.168.1.104: ISSUE: authtime 1511154551, etypes {rep=17 tkt=18 ses=17}, user@HELLO.COM for krbtgt/HELLO.COM@HELLO.COM
Nov 20 00:09:11 kdcname krb5kdc[12476](info): AS_REQ (2 etypes {16 17}) 192.168.1.104: ISSUE: authtime 1511154551, etypes {rep=17 tkt=18 ses=17}, user@HELLO.COM for krbtgt/HELLO.COM@HELLO.COM
Nov 20 00:09:11 kdcname krb5kdc[12476](info): TGS_REQ (2 etypes {16 17}) 192.168.1.104: ISSUE: authtime 1511154551, etypes {rep=17 tkt=18 ses=17}, user@HELLO.COM for host/sshserver@HELLO.COM
Nov 20 00:09:11 kdcname krb5kdc[12476](info): TGS_REQ (2 etypes {16 17}) 192.168.1.104: ISSUE: authtime 1511154551, etypes {rep=17 tkt=18 ses=17}, user@HELLO.COM for host/sshserver@HELLO.COM

某些東西(TGS_REQ)是否需要主機/服務主體?

在我看來,您只需要 AS_REQ 來驗證使用者的密碼。

這是為了防止中間人攻擊 KDC。

我在Google 圖書中找到了答案:

kerberos 的第 108/109 頁權威指南似乎具有權威性。

我會延遲接受這個作為答案。這裡應該有更多的文字,我的意圖不是自我推銷和複製/粘貼超過一個句子左右似乎不合適。

引用自:https://serverfault.com/questions/884222