Kerberos 데이터베이스에서 호스트/[이메일 보호]를 찾을 수 없습니다.

Kerberos 데이터베이스에서 호스트/[이메일 보호]를 찾을 수 없습니다.

간단히 말해서 최근에 RHEL 7 서버를 설정하고 FreeIPA에 등록했습니다. 다른 모든 등록된 서버는 호스트 이름만 사용하여 서로 SSH로 연결하고 gssapi-with-mic를 사용하여 인증할 수 있지만 이 서버는 잘못 구성된 것으로 보이며 비밀번호 인증으로 대체됩니다. 특히 FQDN에 명시적으로 SSH를 연결하지 않는 한 원격 서버의 FQDN과 함께 짧은 호스트 이름을 사용하려고 시도하는 것 같습니다.

SSH에 FQDN을 사용하는 경우, 즉

ssh remote-hostname.domain.com

모든 것이 정상입니다. 내가 이것을 하지 않는다면, 즉

ssh remote-hostname

비밀번호를 묻는 메시지가 표시되었습니다. SSH 디버깅을 활성화하면 다음과 같은 결과가 생성됩니다.

debug3: authmethod_is_enabled gssapi-with-mic
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure.  Minor code may provide more information
Server host/[email protected] not found in Kerberos database

nslookup은 서버의 FQDN을 올바르게 제공합니다.

[kevin@local-hostname ~]$ nslookup remote-hostname
Server:     x.x.x.x
Address:    x.x.x.x#53

Name:   remote-hostname.domain.com
Address: x.x.x.x

로컬 서버의 도메인이 올바르게 설정된 것 같습니다.

[kevin@local-hostname ~]$ hostname
local-hostname
[kevin@local-hostname ~]$ hostname -f
local-hostname.domain.com

여기서 어디로 가야 할지 좀 난감합니다. 원격 호스트 이름에 대한 SSH 연결이 작동하지 않는 이유를 누군가 말해 줄 수 있습니까? 불행하게도 저는 Kerberos를 처음 접했고 새 서버의 /etc/krb5.conf 파일이 다른 작업 서버의 파일과 일치하는지 확인하는 것 외에는 어디를 봐야 할지 모르겠습니다.

답변1

문제는 실제로 내가 무시할 수 있었던 /etc/krb5.conf의 차이점이었습니다. 내 새 서버에는

dns_canonicalize_hostname = false

예상한 대로 호스트 이름이 FQDN으로 정규화되지 않습니다. 매뉴얼 페이지에 따르면 이 옵션의 기본값은 "true"이므로 왜 변경하려는지 잘 모르겠습니다. 파일에 댓글이 있습니다.

#File modified by ipa-client-install

책임이 있는 것은 IPA 등록이라고 믿게 됩니다. 옵션을 "true"로 설정(또는 줄 제거)하면 모든 문제가 해결되었습니다. 누구든지 더 나은 통찰력을 갖고 있다면 지금은 이 질문을 열어 두겠습니다.

관련 정보