Каким образом ssh-логины с аутентификацией Kerberos точно работают от каждого клиента, в то время как Kerberos использует модель взаимной аутентификации?
У меня аутентификация системы управляется с помощью SSSD, который использует Kerberos.
Поскольку kerberos поддерживает модель взаимной аутентификации, т. Е. и клиент, и сервер должны поддерживать Kerberos, как именно SSH к серверу работает от любого клиента, такого как замазка или другой Linux-компьютер, независимо от того, поддерживает ли он Kerberos?
Или демон sssd действует как фактический клиент для аутентификации Kerberos, и если я настрою аутентификацию SSH с чистым Kerberos без SSSD, будет ли вход в систему работать или здесь сам демон SSHD работает как клиент для аутентификации Kerberos.
Я не понимаю, что такое клиент, а что сервер. Например: вход по SSH, вход через Интернет и т. Д.
И PuTTY ( https://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/kerberos-gssapi.html ), и OpenSSH ( https://www.openssh.com/txt/release-3.0 ) могут быть керберизованы (т. Е. Они знают, как запросить текущий билет Kerberos для входа, и знают, как представить его на SSH-сервер для проверки) . Замечательно подробное объяснение содержится в , одном из ответов на вопрос «Как Kerberos работает с SSH?» (технически случай, о котором вы спрашиваете, покрывается Вторым входом ).
как именно SSH работает с сервером от любого клиента, такого как putty или другой Linux-машины, независимо от того, поддерживает ли он Kerberos?
Протокол SSH может поддерживать несколько схем аутентификации (например, интерактивная клавиатура , publickey , gssapi-with-mic и т. Д.). Во время входа в систему SSH-клиент будет пробовать каждую схему аутентификации в предпочтительном порядке и, как правило, будет переходить к другой схеме, пока ни одна из них не останется (после этого вход в систему не удастся). Kerberos (например, gssapi-with-mic ) - лишь одна из схем, которые можно попробовать.
если я настрою SSH-аутентификацию с чистым керберосом без SSSD, будет ли вход в систему работать или здесь SSHD сам демон работает как клиент для аутентификации Kerberos
Похоже, что могут быть разные программы, с которыми SSH-клиент / сервер может взаимодействовать, чтобы выполнять Kerberos, но я не понимаю, как все они взаимодействуют (хотя я знаю вам НЕ ОБЯЗАТЕЛЬНО использовать SSSD для выполнения Kerberos в системе, но это дает некоторые преимущества). Вы можете увидеть некоторые обсуждения в RHEL 7 о Kerberos . Каждая программа, которая хочет «выполнять» Kerberos, обычно построена на основе соответствующих библиотек Kerberos (так что Kerberos не является чем-то полностью прозрачным для программы, которая хочет использовать его для аутентификации).
Я не понимаю, что такое клиент и что такое сервер. Например: SSH-вход, веб-вход и т. Д.
Что такое «клиент», а что «сервер», вероятно, зависит от контекста разговора. В Википедии есть хорошее описание протокола Kerberos и, что более важно, вводятся такие термины, как AS, KDC, TGC, TGS, которые уменьшают двусмысленность.