openssh-client + krb5 + DNS SRV: проблема с GSSAPI

To: debian-russian@lists.debian.org
Subject: openssh-client + krb5 + DNS SRV: проблема с GSSAPI
From: Denis Feklushkin <denis.feklushkin@gmail.com>
Date: Mon, 22 Feb 2010 20:14:55 +0700
Message-id: <[🔎] 20100222201455.2fdc5a5e@db>

Решил убрать /etc/krb5.conf, заменив его на запись в DNS.

Всё ок, работает:

vmware:~# kinit norma
norma@H-----G.COM's Password: 
vmware:~# 

Но появилась проблема с opensshd, который использует GSSAPI. Вот лог со стороны sshd на хосте vmware при коннекте юзера norma:

debug1: userauth-request for user norma service ssh-connection method gssapi-with-mic
debug1: attempt 1 failures 0
debug1: Unspecified GSS failure.  Minor code may provide more information
Configuration file does not specify default realm

Вопросов 2:
это баг?
как дебажить GSSAPI? надо посмотреть откуда оно берёт realm


Вот так настройки kerberos выглядят в DNS:

vmware:~# dig srv _kerberos._udp.h-----g.com

; <<>> DiG 9.6.1-P3 <<>> srv _kerberos._udp.h-----g.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5318
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; QUESTION SECTION:
;_kerberos._udp.h-----g.com.	IN	SRV

;; ANSWER SECTION:
_kerberos._udp.h-----g.com. 5	IN	SRV	10 10 88 kerberos.h-----g.com.

;; AUTHORITY SECTION:
h-----g.com.		5	IN	NS	ns1.h-----g.com.

;; ADDITIONAL SECTION:
kerberos.h-----g.com.	5	IN	A	192.168.1.75
ns1.h-----g.com.	5	IN	A	192.168.1.75

;; Query time: 20 msec
;; SERVER: 192.168.88.2#53(192.168.88.2)
;; WHEN: Mon Feb 22 20:02:19 2010
;; MSG SIZE  rcvd: 134

Reply to:

Follow-Ups:
- Re: openssh-client + krb5 + DNS SRV: проблема с GSSAPI
  - From: Denis Feklushkin <denis.feklushkin@gmail.com>

Prev by Date: Re: А где CodeBloks?
Next by Date: Re: ФС на сторадж
Previous by thread: Re: А где CodeBloks?
Next by thread: Re: openssh-client + krb5 + DNS SRV: проблема с GSSAPI
Index(es):
- Date
- Thread