Ssh
為什麼 sshd 在通過 pam 或 KerberosAuthentication 對使用者進行身份驗證時要求提供主機服務主體
我已經為測試目的設置了 Ubuntu。-安裝了 MIT kerberos(最新) -安裝了 OpeenSsh(最新)
我已經設置並使用了 KerberosAuthentication 和 pam_krb5 類型的身份驗證以及 GSSAPIAuthentication。一切都很好。
當我設置僅使用“KerberosAuthentication”或“pam_krb5”時,我看到對主機/的請求:
Nov 20 00:09:11 kdcname krb5kdc[12476](info): AS_REQ (2 etypes {16 17}) 192.168.1.104: NEEDED_PREAUTH: user@HELLO.COM for krbtgt/HELLO.COM@HELLO.COM, Additional pre-authentication required Nov 20 00:09:11 kdcname krb5kdc[12476](info): AS_REQ (2 etypes {16 17}) 192.168.1.104: NEEDED_PREAUTH: user@HELLO.COM for krbtgt/HELLO.COM@HELLO.COM, Additional pre-authentication required Nov 20 00:09:11 kdcname krb5kdc[12476](info): AS_REQ (2 etypes {16 17}) 192.168.1.104: ISSUE: authtime 1511154551, etypes {rep=17 tkt=18 ses=17}, user@HELLO.COM for krbtgt/HELLO.COM@HELLO.COM Nov 20 00:09:11 kdcname krb5kdc[12476](info): AS_REQ (2 etypes {16 17}) 192.168.1.104: ISSUE: authtime 1511154551, etypes {rep=17 tkt=18 ses=17}, user@HELLO.COM for krbtgt/HELLO.COM@HELLO.COM Nov 20 00:09:11 kdcname krb5kdc[12476](info): TGS_REQ (2 etypes {16 17}) 192.168.1.104: ISSUE: authtime 1511154551, etypes {rep=17 tkt=18 ses=17}, user@HELLO.COM for host/sshserver@HELLO.COM Nov 20 00:09:11 kdcname krb5kdc[12476](info): TGS_REQ (2 etypes {16 17}) 192.168.1.104: ISSUE: authtime 1511154551, etypes {rep=17 tkt=18 ses=17}, user@HELLO.COM for host/sshserver@HELLO.COM
某些東西(TGS_REQ)是否需要主機/服務主體?
在我看來,您只需要 AS_REQ 來驗證使用者的密碼。
這是為了防止中間人攻擊 KDC。
我在Google 圖書中找到了答案:
kerberos 的第 108/109 頁權威指南似乎具有權威性。
我會延遲接受這個作為答案。這裡應該有更多的文字,我的意圖不是自我推銷和複製/粘貼超過一個句子左右似乎不合適。