FreeIPA и SSH

pup51k

New member
Сообщения
2
#1
Господа знатоки!

Работает у меня на 1.6 фриипа. Что-то она нашаманила с настройками ssh. Теперь с одного доменной Астры на другую доменную Астру не может подключиться по ssh, точнее не могу подключиться по имени хоста (сообщение "Connection to [host] closed"), а по IP подключение проходит. По дебаг логам ssh понятно, что для IP-адреса нет "principal alias" в домене, поэтому авторизация переключается на парольную. Если алиас завести, то привет "Connection to [host] closed" и для IP. При этом с недоменной Астры и по IP и по имени подключение идет, ибо не задействован GSS, так как нет для хоста учетки Kerberous.

Если в sshd_config параметру GSSAPIAuthentication поменять значение с yes на no, подключение по имени между доменными Астрами начинает работать. Но не работает подключение по ключам.

Если в файле sshd_config параметру UsePAM поменять значение с yes на no, начинает работать подключение по ключу (только между доменными Астрами), но перестает работать пароль (логично).

Копирование конфигов ssh и sshd с недоменной машины не помогает, видимо прежней работе мешает sssd (который ставится с Ипой). Ковыряние в sssd.conf тоже плодов не принесло.

Так как поправить конфиги, чтобы ssh работал и по паролям и по ключам и между доменными и недоменными Астрами? Или как сказать Ипе при установке, чтобы она не вмешивалась в работы ssh и sshd (у ipa-install-server для этого есть ключить --no-ssh и --no-sshd)?
 
Последнее редактирование:

pup51k

New member
Сообщения
2
#3
Да, DNS-ы работают штатно. Но дело то не в них, я выше же писал.
Разница между доменным именем и IP в наличии и отсутствии алиасов. Из-за чего запускаются разные методы аутентификации. Для ssh-а по ключам - еще какой-то механизм. Походу нужно ковырять /etc/ssh/sshd_config, /etc/sssd/sssd.conf и /etc/pam.d/. Хотя на Орле с FreeIPA файлы sshd_config и sssd.conf плюс/минус того же содержания. Скорее всего разница в PAM-ах. Но это не точно, так как ипы в Орле и Смоленске и ставятся и ведут себя по разному.