1 votes

Mise à jour des informations d'identification Kerberos déléguées via SSH à l'aide de GSSAPIRenewalForcesRekey

J'ai étudié les possibilités de minimiser le nombre d'informations d'identification qui doivent être saisies à nouveau lorsque les informations d'identification expirent. L'un des problèmes majeurs que je rencontre actuellement est la gestion des identifiants délégués, qui interfère avec les sessions SSH de longue durée.

Il semble que les options GSSAPIRenewalForcesRekey et GSSAPIStoreCredentialsOnRekey fassent exactement ce que je veux : lorsqu'un client renouvelle son ticket, les informations d'identification sont renvoyées au serveur.

Cependant, les options semblent n'avoir aucun effet. Par exemple, une fois que j'ai établi une connexion SSH, je m'attends à ce que l'exécution de la commande kinit o kinit -R actualiserait finalement le cache des informations d'identification sur le serveur.

L'exécution de ssh et de sshd en mode verbose/débogage ne permet pas non plus d'éclaircir ce point.

Ai-je une idée erronée de ce que font ces options ? J'apprécierais beaucoup toute information sur ce que je fais mal ou sur d'autres façons d'accomplir cela.

1voto

Allan Bowe Points 425

Comme d'habitude, je l'ai découvert 5 minutes après l'avoir posté. Pour référence future :

L'activation de GSSAPIKeyExchange a résolu le problème pour moi.

GSSAPIRenewalForcesRekey et GSSAPIStoreCredentialsOnRekey nécessitent l'activation de GSSAPIKeyExchange avant d'avoir un quelconque effet. A posteriori, il est logique que GSSAPI soit en charge de l'échange de clés, mais il aurait été très utile que la documentation le précise...

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X