Dacă utilizați cheia publică ssh pentru autentificare, vă autentificați doar la demonul ssh, nu la sistem. Daemonul SSH ar pretinde că a efectuat autentificare și apoi te-a conectat în shell. Deși acest proces ar putea folosi stiva PAM pentru a vă configura sesiunea de conectare, el, totuși, nu gestionează autentificarea prin stiva PAM.
S-ar putea să vă spun că este evident, dar biletul Kerberos poate fi obținut numai dacă utilizați software care o solicită. Pe un sistem tipic, un astfel de bilet ar fi solicitat prin PAM auth etapă dacă oricare pam_sss sau pam_krb5 este definit în auth stiva de configurație PAM utilizată de aplicația dvs. Când o astfel de aplicare (de ex. sshd) sare auth etapa, niciunul dintre modulele PAM responsabile de autentificare nu este apelat și nici un bilet Kerberos nu poate fi obținut în acest fel.
Când clientul Kerberos încearcă să solicite un bilet inițial de acordare a unui bilet (TGT), acesta și Kerberos KDC schimbă o listă de așa-numitele „metode de pre-autentificare”. În practică, acestea sunt metodele folosite pentru a vă autentifica clientul împotriva KDC. O metodă aleasă de un client, dacă este acceptată de KDC, implementează procesul de autentificare real. Nu există metode de pre-autentificare Kerberos care să utilizeze o pereche de chei SSH pentru autentificare, așa că nu puteți utiliza perechea de chei SSH pentru a obține un TGT. Toate metodele standard de pre-autentificare bazate pe parole sunt construite atât în jurul clientului Kerberos, cât și al Kerberos KDC, cunoscând cheia (parola) pe termen lung a principalului utilizator, chiar dacă nu o transmit prin rețea. În prezent, există o metodă care nu se bazează pe o parolă și este așa-numita metodă PKINIT, care se bazează pe finalizarea autentificării utilizând infrastructura certificatului de cheie publică.
Ce poti face? Poate doriți să întoarceți totul și să utilizați un smartcard pentru autentificare. Autentificarea cu carduri inteligente este acceptată de Kerberos ca metodă de pre-autentificare „pkinit”.În plus, demonul SSH este capabil să trateze un certificat de pe cardul tău inteligent pentru autentificare similar cu cazul perechii de chei SSH.
Dacă ați folosi autentificarea PKINIT, aveți două moduri: fie obțineți un Kerberos TGT cu PKINIT pe stația dvs. de lucru și conectați-vă la demonul SSH pe altă mașină folosind biletul Kerberos pe care îl aveți local, fie utilizați certificatul de card inteligent pentru a vă conecta la demonul SSH ca un cheie SSH și apoi utilizați redirecționarea cu smartcard pentru a solicita un bilet Kerberos direct pe gazdă. În primul caz, TGT-ul dumneavoastră original nu va fi redirecționat automat către gazda SSH, cu excepția cazului în care ați solicitat o delegare de bilet. În acest din urmă caz, va trebui să solicitați un TGT.
Indiferent de ce metodă să folosești, cu siguranță poți beneficia https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/managing_certificates_in_idm/index
Dacă nu doriți sau nu puteți utiliza carduri inteligente, atunci singura metodă rămasă este să utilizați direct autentificarea Kerberos și să uitați de autentificarea perechilor de chei SSH.
