為什麼 sshd 在通過 pam 或 KerberosAuthentication 對使用者進行身份驗證時要求提供主機服務主體

February 16, 2018

我已經為測試目的設置了 Ubuntu。-安裝了 MIT kerberos（最新） -安裝了 OpeenSsh（最新）

我已經設置並使用了 KerberosAuthentication 和 pam_krb5 類型的身份驗證以及 GSSAPIAuthentication。一切都很好。

當我設置僅使用“KerberosAuthentication”或“pam_krb5”時，我看到對主機/的請求：

Nov 20 00:09:11 kdcname krb5kdc[12476](info): AS_REQ (2 etypes {16 17}) 192.168.1.104: NEEDED_PREAUTH: user@HELLO.COM for krbtgt/HELLO.COM@HELLO.COM, Additional pre-authentication required
Nov 20 00:09:11 kdcname krb5kdc[12476](info): AS_REQ (2 etypes {16 17}) 192.168.1.104: NEEDED_PREAUTH: user@HELLO.COM for krbtgt/HELLO.COM@HELLO.COM, Additional pre-authentication required
Nov 20 00:09:11 kdcname krb5kdc[12476](info): AS_REQ (2 etypes {16 17}) 192.168.1.104: ISSUE: authtime 1511154551, etypes {rep=17 tkt=18 ses=17}, user@HELLO.COM for krbtgt/HELLO.COM@HELLO.COM
Nov 20 00:09:11 kdcname krb5kdc[12476](info): AS_REQ (2 etypes {16 17}) 192.168.1.104: ISSUE: authtime 1511154551, etypes {rep=17 tkt=18 ses=17}, user@HELLO.COM for krbtgt/HELLO.COM@HELLO.COM
Nov 20 00:09:11 kdcname krb5kdc[12476](info): TGS_REQ (2 etypes {16 17}) 192.168.1.104: ISSUE: authtime 1511154551, etypes {rep=17 tkt=18 ses=17}, user@HELLO.COM for host/sshserver@HELLO.COM
Nov 20 00:09:11 kdcname krb5kdc[12476](info): TGS_REQ (2 etypes {16 17}) 192.168.1.104: ISSUE: authtime 1511154551, etypes {rep=17 tkt=18 ses=17}, user@HELLO.COM for host/sshserver@HELLO.COM

某些東西（TGS_REQ）是否需要主機/服務主體？

在我看來，您只需要 AS_REQ 來驗證使用者的密碼。

這是為了防止中間人攻擊 KDC。
我在Google 圖書中找到了答案：
kerberos 的第 108/109 頁權威指南似乎具有權威性。
我會延遲接受這個作為答案。這裡應該有更多的文字，我的意圖不是自我推銷和複製/粘貼超過一個句子左右似乎不合適。

引用自：https://serverfault.com/questions/884222

為什麼 sshd 在通過 pam 或 KerberosAuthentication 對使用者進行身份驗證時要求提供主機服務主體

相關問答

重新登錄 ssh-ed tmux/screen 會話後權限被拒絕錯誤

無法啟動 sshd 服務：重定位錯誤

使用 SSH 獲取 Kerberos 票證

MIT Kerberos 在對 OpenSSH 進行身份驗證時不斷要求輸入密碼

如何通過 scp-ing 文件上的 kerberos 阻止程序？

無法通過 kerberos 從 Windows 10 機器向 ipa 客戶端進行身份驗證