簡単に言えば、最近RHEL 7サーバーを設定してFreeIPAに登録しました。他のすべての登録済みサーバーは、ホスト名のみを使用して互いにSSHで接続し、gssapi-with-micを使用して認証できますが、このサーバーは誤って構成されているように見え、パスワード認証に置き換えられます。特に、FQDNに明示的にSSHを接続しない限り、リモートサーバーのFQDNで短いホスト名を使用しようとしているようです。
SSHにFQDNを使用する場合、つまり
ssh remote-hostname.domain.com
すべてが正常です。私がこれをしないなら、つまり
ssh remote-hostname
パスワードの入力を求められます。 SSH デバッグをイネーブルにすると、次の結果が生成されます。
debug3: authmethod_is_enabled gssapi-with-mic
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure. Minor code may provide more information
Server host/[email protected] not found in Kerberos database
nslookup はサーバーの FQDN を正しく提供します。
[kevin@local-hostname ~]$ nslookup remote-hostname
Server: x.x.x.x
Address: x.x.x.x#53
Name: remote-hostname.domain.com
Address: x.x.x.x
ローカルサーバーのドメインが正しく設定されているようです。
[kevin@local-hostname ~]$ hostname
local-hostname
[kevin@local-hostname ~]$ hostname -f
local-hostname.domain.com
ここでどこに行くべきか少し難しいです。リモートホスト名へのSSH接続が機能しない理由を誰か教えてください。残念ながら、私はKerberosに初めてアクセスし、新しいサーバーの/etc/krb5.confファイルが他のジョブサーバーのファイルと一致することを確認する以外にどこを見るべきかわかりません。
ベストアンサー1
問題は実際に私が無視することができた/etc/krb5.confの違いでした。私の新しいサーバーでは
dns_canonicalize_hostname = false
予想通り、ホスト名はFQDNに正規化されません。マニュアルページによると、このオプションのデフォルトは「true」なので、なぜ変更したいのかわかりません。ファイルにコメントがあります。
#File modified by ipa-client-install
責任があるのはIPA登録だと信じられます。オプションを「true」に設定(または行を削除)すると、すべての問題が解決されました。誰もがより良い洞察力を持っているなら、今はこの質問を開いておきます。