Kerberos & localhost

Question

我已经在Linux机器上安装了一个Kerberos v5服务器，它在连接到其他主机(使用samba、ldap或ssh)时运行得很好，我的kerberos数据库中有一些主体。

但是，我可以使用kerberos对本地主机进行身份验证吗？如果可以的话，有什么理由我不应该吗？我还没有为localhost做过kerberos校长。我不认为我应该这样做；相反，我认为校长应该解决机器的全部hostname问题。这有可能吗？

理想情况下，我希望能够在一台服务器(无论是kerberos、DNS或ssh)上配置这一配置，但是如果每台机器都需要一些自定义配置，那么这也是可行的。

例如$ ssh -v localhost

...
debug1: Unspecified GSS failure.  Minor code may provide more information
Server host/localhost@EXAMPLE.COM not found in Kerberos database
...

编辑：

所以我有一个坏的/etc/host文件。如果我没记错的话，我用Ubuntu得到的原始版本有两个127.0。IP地址，类似：-

127.0.0.1 localhost
127.0.*1*.1 hostname

没有什么好的理由，我很久以前就把我的改变成：

127.0.0.1    localhost
127.0.*0*.1    hostname.example.com hostname

在我试用ssh与kerberos (最近的一项努力)之前，这一切似乎都很好。这种配置导致sshd将机器的kerberos主体解析为"host/localhost@\n"，我认为如果它优先使用/etc/host来进行前向和反向dns查找，这是有意义的。所以我把后一行注释掉了，sshd神奇地开始用gssapi和mic进行身份验证。太棒了。(然后我调查了本地主机并问了这个问题)

Answer 1

你可以用名字规范化。

修改/etc/hosts，使其类似于：

127.0.0.1  hostname.domain.tld hostname localhost
::1        hostname.domain.tld hostname localhost

这样，本地主机-> 127.0.0.1 -> hostname.domain.tld，服务器就有一个keytab条目。

您必须在每个服务器上执行此操作。