Řešení 1:
Na počítačích se systémem Windows, které jsou součástí domény Active Directory, uživatelé obdrží svůj lístek pro udělování lístků Kerberos, když se přihlásí do Windows, a PuTTY je může použít k ověření, pokud je povoleno ověřování GSSAPI v PuTTY Configuration Connection|SSH|Auth|GSSAPI (a další autentizační metody, které zkouší před GSSAPI, jako je veřejný klíč přes Pageant, nejsou nastaveny nebo zakázány v Connection|SSH|Auth).
[Pokud potřebujete také delegování lístků (např. k připojení kerberizovaných souborových systémů na server po přihlášení), ujistěte se, že delegování GSSAPI je povoleno také v PuTTY, a servery, ke kterým se přihlašujete, jsou ve službě Active Directory na kartě Delegování označeny jako "Důvěřovat tomuto počítači pro delegování jakékoli službě (pouze Kerberos) ", což ve výchozím nastavení nejsou. Toto druhé nastavení důvěryhodnosti v AD je kupodivu potřeba pouze pro práci s delegováním z klientů Windows, jako je PuTTY; není potřeba pro klienty Linux "ssh -K".]
Na samoobslužných (osobních) počítačích Windows, které nejsou součástí domény Active Directory, můžete stále používat ověřování Kerberos/GSSAPI (a delegování lístku) prostřednictvím PuTTY, ale lístek si musíte získat sami. Windows 7 se bohužel nenainstaluje s žádným ekvivalentem programu kinit (pro ruční vyžádání lístku) a PuTTY vás také nevyzve k zadání hesla Kerberos, pokud lístek chybí. Proto si musíte nainstalovat balíček MIT Kerberos pro Windows, který obsahuje jak obvyklé nástroje příkazového řádku kinit/klist/kdestroy, tak i úhledný nástroj GUI „MIT Kerberos Ticket Manager“. Použijte je k získání lístku a PuTTY pak automaticky použije knihovnu MIT GSSAPI místo knihovny Microsoft SSPI a vše by mělo fungovat. Pokud je spuštěn "MIT Kerberos Ticket Manager", automaticky vás vyzve k zadání hesla Kerberos, když PuTTY potřebuje lístek, takže je dobré ho propojit ze složky Po spuštění.
Řešení 2:
Nejprve dvakrát zkontrolujte, zda váš výstup klist na Windows boxu s PuTTY zobrazuje platný TGT. Poté v konfiguraci vaší relace PuTTY zkontrolujte, zda Pokusit se o ověření GSSAPI je povoleno v Connection - SSH - Auth - GSSAPI . Nakonec se ujistěte, že je nakonfigurován tak, aby se v Connection - Data automaticky přihlašoval pomocí vašeho uživatelského jména . Můžete buď explicitně zadat uživatelské jméno, nebo vybrat přepínač pro Použít systémové uživatelské jméno .
Historicky je to vše, co jsem potřeboval udělat, aby přihlášení SSH bez hesla fungovalo přes Kerberos.
Řešení 3:
Problém byl v nastavení Windows Kerberos. Myslím, že naše služba Active Directory je nastavena funky, opravdu nevím, nejsem správce Windows.
Problém jsem však vyřešil ruční konfigurací Kerberos pomocí ksetup v rozhraní příkazového řádku Windows 7.
Po restartu na vzdálenou pracovní stanici jsem se nemohl přihlásit k počítači. Je to proto, že v původní konfiguraci TLD část mé domény sféry vždy chyběla (doména\uživatel), ale poté, co jsem ji ručně nakonfiguroval, musel jsem změnit svou přihlašovací doménu tak, aby odrážela úplný název domény sféry (doména.TLD\uživatel) a Podařilo se mi přihlásit k počítači se systémem Windows, ačkoli se zdá, že ověření nyní trvá déle.
Před změnami výstup ksetup zobrazoval pouze můj výchozí realm, a to malými písmeny.
Použil jsem " nslookup -type=SRV _kerberos._tcp.domain.TLD ", abych získal všechny kdc servery pro mou sféru.
Nenastavil jsem žádné příznaky.
Nastavil jsem mapované své uživatelské jméno " ksetup /mapuser [email protected] user "
Zdroje, které jsem použil:https://wiki.ncsa.illinois.edu/display/ITS/Windows+7+Kerberos+Login+using+External+Kerberos+KDC
https://www.cgl.ucsf.edu/Security/CGLAUTH/CGLAUTH.html
Pokud má někdo nějaké návrhy, které mohu dát správcům Windows, jak to mohou opravit (je to nefunkční?), předám je dál.