![Kerberos 데이터베이스에서 호스트/[이메일 보호]를 찾을 수 없습니다.](https://linux55.com/image/125708/Kerberos%20%EB%8D%B0%EC%9D%B4%ED%84%B0%EB%B2%A0%EC%9D%B4%EC%8A%A4%EC%97%90%EC%84%9C%20%ED%98%B8%EC%8A%A4%ED%8A%B8%2F%5B%EC%9D%B4%EB%A9%94%EC%9D%BC%20%EB%B3%B4%ED%98%B8%5D%EB%A5%BC%20%EC%B0%BE%EC%9D%84%20%EC%88%98%20%EC%97%86%EC%8A%B5%EB%8B%88%EB%8B%A4..png)
간단히 말해서 최근에 RHEL 7 서버를 설정하고 FreeIPA에 등록했습니다. 다른 모든 등록된 서버는 호스트 이름만 사용하여 서로 SSH로 연결하고 gssapi-with-mic를 사용하여 인증할 수 있지만 이 서버는 잘못 구성된 것으로 보이며 비밀번호 인증으로 대체됩니다. 특히 FQDN에 명시적으로 SSH를 연결하지 않는 한 원격 서버의 FQDN과 함께 짧은 호스트 이름을 사용하려고 시도하는 것 같습니다.
SSH에 FQDN을 사용하는 경우, 즉
ssh remote-hostname.domain.com
모든 것이 정상입니다. 내가 이것을 하지 않는다면, 즉
ssh remote-hostname
비밀번호를 묻는 메시지가 표시되었습니다. SSH 디버깅을 활성화하면 다음과 같은 결과가 생성됩니다.
debug3: authmethod_is_enabled gssapi-with-mic
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure. Minor code may provide more information
Server host/[email protected] not found in Kerberos database
nslookup은 서버의 FQDN을 올바르게 제공합니다.
[kevin@local-hostname ~]$ nslookup remote-hostname
Server: x.x.x.x
Address: x.x.x.x#53
Name: remote-hostname.domain.com
Address: x.x.x.x
로컬 서버의 도메인이 올바르게 설정된 것 같습니다.
[kevin@local-hostname ~]$ hostname
local-hostname
[kevin@local-hostname ~]$ hostname -f
local-hostname.domain.com
여기서 어디로 가야 할지 좀 난감합니다. 원격 호스트 이름에 대한 SSH 연결이 작동하지 않는 이유를 누군가 말해 줄 수 있습니까? 불행하게도 저는 Kerberos를 처음 접했고 새 서버의 /etc/krb5.conf 파일이 다른 작업 서버의 파일과 일치하는지 확인하는 것 외에는 어디를 봐야 할지 모르겠습니다.
답변1
문제는 실제로 내가 무시할 수 있었던 /etc/krb5.conf의 차이점이었습니다. 내 새 서버에는
dns_canonicalize_hostname = false
예상한 대로 호스트 이름이 FQDN으로 정규화되지 않습니다. 매뉴얼 페이지에 따르면 이 옵션의 기본값은 "true"이므로 왜 변경하려는지 잘 모르겠습니다. 파일에 댓글이 있습니다.
#File modified by ipa-client-install
책임이 있는 것은 IPA 등록이라고 믿게 됩니다. 옵션을 "true"로 설정(또는 줄 제거)하면 모든 문제가 해결되었습니다. 누구든지 더 나은 통찰력을 갖고 있다면 지금은 이 질문을 열어 두겠습니다.