Используя что-то как DNSMasq для действия, поскольку внутренний сервер DNS позволил бы Вам добавлять запись в один файл hosts. Это может быть настроено, чтобы указать на Ваше разделение на сервер DNS или действовать как кэш самостоятельно.
Какой метод аутентификации SSH вы используете? Вы вводите свой пароль или пытаетесь использовать аутентификацию на основе билетов Kerberos (gssapi-with-mic или gssapi-keyex)?
Сообщение «Ошибка проверки целостности дешифрования» может поступать из двух источников. Если вы дадите ему неправильный пароль (ваш пароль не совпадает с ключами вашего принципала в KDC), вы получите это. Вы также получите его, если ваш пароль в порядке, но вкладка на сервере устарела; затем их воссоздание решит проблему.
Keytab на клиенте не имеет значения; это не часть этого сценария. Вероятная проблема здесь в том, что таблица ключей на сервере не синхронизирована с KDC (сервером аутентификации Kerberos или «Центром распространения ключей», который является частью FreeIPA). С Kerberos все удостоверения (или «участники») в системе имеют ключи, которые они используют совместно с KDC. Ключи пользователя генерируются из его пароля. Ключи для программной службы, такой как sshd, генерируются случайным образом и сохраняются в файле, называемом keytab (от «таблицы ключей»), чтобы служба могла получить к ним доступ. Похоже, что ключи для участника SSH были изменены в KDC, но keytab не был обновлен для соответствия. Ваше основное имя имеет вид пользователь @ REALM.Основное имя службы SSH имеет вид host / hostname @REALM. Попробуйте:
$ ipa-getkeytab -s <FreeIPA server> -p host/<hostname>@REALM -k <keytab file>.
... извлечь текущие ключи для участника службы SSH в новую вкладку ключей. Вы можете использовать klist -ek
для просмотра содержимого старой и новой вкладок клавиш. Если у вас есть несоответствие ключей, оно должно отображаться как ключи для одного и того же принципала с разными номерами версий ключей (или «kvno»). Вы можете увидеть что-то вроде:
# look at the system keytab
$ sudo klist -ek
KVNO Principal
---- --------------------------------------------------------------------------
1 host/foo.example.com@EXAMPLE.COM (AES-256 CTS mode with 96-bit SHA-1 HMAC)
# look at the new keytab
$ klist -ek <new keytab>
KVNO Principal
---- --------------------------------------------------------------------------
2 host/foo.example.com@EXAMPLE.COM (AES-256 CTS mode with 96-bit SHA-1 HMAC)
На клиенте я удалил /etc/krb5.keytab На сервере я удалил хост ipa host-del host.example.com
Я удалил программное обеспечение ipa-клиента.
Я переустановил ipa-клиент
Но клиент не работает.
At Наконец, мне пришлось перезапустить ipa-сервер ipactl restart и ...
Клиент работает нормально. Полагаю, что на сервере kdc аналогичного типа было что-то в кэше о клиентских ключах.
Regards.
Я тоже решил эту проблему.
потому что ccache содержал старый ключ для IPA-сервера из предыдущей установки
просто нужно удалить / var / lib / sss / db / ccache _ *
файл
подробнее в заявке: https://fedorahosted.org/sssd/ticket/2781