GNU/Linux >> Belajar Linux >  >> Linux

Autentikasi Putty Kerberos/GSSAPI

Solusi 1:

Pada mesin Windows yang merupakan bagian dari domain Active Directory, pengguna menerima tiket pemberian tiket Kerberos ketika mereka masuk ke Windows, dan Putty dapat menggunakannya untuk autentikasi jika autentikasi GSSAPI diaktifkan di Sambungan Konfigurasi Putty|SSH|Auth|GSSAPI (dan metode autentikasi lain yang dicoba sebelum GSSAPI, seperti kunci publik melalui Kontes, tidak disiapkan atau dinonaktifkan di Connection|SSH|Auth).

[Jika Anda juga memerlukan delegasi tiket (mis., untuk memasang sistem file kerber di server setelah login), pastikan delegasi GSSAPI juga diaktifkan di Putty, dan server tempat Anda masuk ditandai di Active Directory pada tab Delegasi sebagai "Percayai komputer ini untuk didelegasikanke layanan apa pun (Kerberos saja) ", yang bukan secara default. Pengaturan kepercayaan terakhir di AD anehnya hanya diperlukan untuk delegasi untuk bekerja dari klien Windows seperti Putty; tidak diperlukan untuk klien "ssh -K" Linux.]

Pada mesin Windows yang dikelola sendiri (pribadi) yang bukan bagian dari domain Active Directory, Anda masih dapat menggunakan autentikasi Kerberos/GSSAPI (dan delegasi tiket) melalui Putty, tetapi Anda harus mendapatkan tiketnya sendiri. Sayangnya, Windows 7 tidak diinstal dengan program kinit yang setara (bagi Anda untuk meminta tiket secara manual), dan Putty juga tidak meminta kata sandi Kerberos Anda jika Anda kekurangan tiket. Oleh karena itu, Anda harus menginstal paket MIT Kerberos untuk Windows, yang menyertakan alat baris perintah kinit/klist/kdestroy biasa, serta alat GUI yang rapi "MIT Kerberos Ticket Manager". Gunakan itu untuk mendapatkan tiket Anda, dan kemudian Putty akan secara otomatis menggunakan perpustakaan MIT GSSAPI alih-alih Microsoft SSPI, dan semuanya akan berfungsi. Jika "MIT Kerberos Ticket Manager" sedang berjalan, itu akan secara otomatis meminta kata sandi Kerberos Anda saat PuTTY membutuhkan tiket, jadi sebaiknya tautkan dari folder Startup.

Solusi 2:

Pertama, periksa kembali apakah output klist Anda pada kotak Windows yang menjalankan Putty menunjukkan TGT yang valid. Kemudian di konfigurasi untuk sesi Putty Anda, pastikan Coba autentikasi GSSAPI diaktifkan di Connection - SSH - Auth - GSSAPI . Terakhir, pastikan sudah dikonfigurasi untuk masuk dengan nama pengguna Anda secara otomatis di Connection - Data . Anda dapat menentukan nama pengguna secara eksplisit atau memilih tombol radio untuk Gunakan nama pengguna sistem .

Secara historis, hanya itu yang perlu saya lakukan agar login SSH tanpa kata sandi berfungsi melalui Kerberos.

Solusi 3:

Masalahnya ada di pengaturan Windows Kerberos. Sepertinya Direktori Aktif kami disiapkan dengan funky, saya tidak terlalu tahu bahwa saya bukan admin Windows.

Tapi saya memperbaiki masalah dengan mengonfigurasi Kerberos secara manual menggunakan ksetup di Windows 7 CLI.

Setelah reboot ke workstation jarak jauh saya, saya tidak bisa masuk ke PC saya. Itu karena dalam konfigurasi asli bagian TLD dari domain ranah saya selalu tidak ada (domain\pengguna) tetapi setelah saya mengonfigurasinya secara manual, saya harus mengubah domain login saya untuk mencerminkan nama domain ranah lengkap (domain.TLD\pengguna) dan Saya dapat masuk ke PC Windows saya, meskipun tampaknya perlu waktu lebih lama untuk mengautentikasi sekarang.

Sebelum perubahan, output dari ksetup hanya menampilkan ranah default saya, dan dalam huruf kecil.

Saya menggunakan " nslookup -type=SRV _kerberos._tcp.domain.TLD " untuk mendapatkan semua server kdc untuk ranah saya.

Saya tidak menyetel bendera apa pun.

Saya menetapkan nama pengguna saya yang dipetakan " ksetup /mapuser example@unixlinux.online user "

Sumber daya yang saya gunakan:https://wiki.ncsa.illinois.edu/display/ITS/Windows+7+Kerberos+Login+using+External+Kerberos+KDC

https://www.cgl.ucsf.edu/Security/CGLAUTH/CGLAUTH.html

Jika ada yang punya saran yang dapat saya berikan kepada orang-orang admin Windows tentang bagaimana mereka dapat memperbaikinya (apakah rusak?) Saya akan meneruskannya.


Linux
  1. windows setara dengan inet_aton

  2. Mengotomatiskan menjalankan perintah di Linux dari Windows menggunakan Putty

  3. Otentikasi dari Linux ke Windows SQL Server dengan pyodbc

  1. 6 Alternatif Putty Gratis Terbaik untuk Klien SSH di Windows

  2. putty 0.61:mengapa saya melihat pesan Access Denied setelah saya memasukkan id login saya?

  3. Alternatif untuk Kerberos untuk akses server tanpa kata sandi

  1. Terhubung ke Linux dari Windows dengan menggunakan Putty

  2. Diagnostik disk rendah Windows

  3. Cara Install Kerberos 5 KDC Server di Linux untuk Otentikasi