İş istasyonum ile son bulmam gereken yerler arasında iki iyi aracı ev sahibi var. Bu bağlantıyı yapmak için ProxyJump yapılandırmasını kullanmaya çalışıyordum, ancak işe yaramadı.
Topoloji:
ssh ssh ssh
localhost.domain1.com --> h1.domain1.com --> h2.domain2.com --> dest.domain2.com
Aşağıdaki bu komutu kullanmaya çalıştığımda bir hata alıyorum
ssh -K -J h1.domain1.com,h2.domain2.com dest.domain2.com
H1.domain1.com'a bağlanır, ancak daha sonra "domain2.com" bölgesi için herhangi bir KDC ile iletişim kuramadığımda h2.domain2.com'a düzgün şekilde bağlanamaz (ve domain2.com adresinde bir şifrem yok), bu bir seçenek değil):
OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017
debug1: Reading configuration data /home/USERNAME/.ssh/config
...
debug1: Setting implicit ProxyCommand from ProxyJump: ssh -J h1.domain1.com -v -W %h:%p h2.domain2.com
debug1: Executing proxy command: exec ssh -J h1.domain1.com -v -W dest.domain2.com:22 h2.domain2.com
...
debug1: Connecting to h1.domain1.com [132.175.108.33] port 22.
debug1: Connection established.
...
debug1: Authenticating to h1.domain1.com:22 as 'USERNAME'
...
debug1: Next authentication method: gssapi-with-mic
debug1: Authentication succeeded (gssapi-with-mic).
Authenticated to h1.domain1.com ([###.###.##.##]:22).
debug1: channel_connect_stdio_fwd h2.domain2.com:22
debug1: channel 0: new [stdio-forward]
debug1: getpeername failed: Bad file descriptor
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: pledge: network
...
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3
debug1: match: OpenSSH_5.3 pat OpenSSH_5* compat 0x0c000000
debug1: Authenticating to h2.domain2.com:22 as 'USERNAME'
...
debug1: Next authentication method: gssapi-with-mic
debug1: getpeername failed: Socket operation on non-socket
debug1: Unspecified GSS failure. Minor code may provide more information
Cannot contact any KDC for realm 'domain2.com'
debug1: Authentications that can continue: gssapi-keyex,gssapi-with-mic,password,hostbased
debug1: Next authentication method: password
Aşağıdaki komut işe yarıyor, ancak bu site güvenli olmadığını gösteriyor :
ssh -K -tt h1.domain1.com ssh -K -tt h2.domain2.com ssh -K -tt dest.domain2.com
Tek bir komut çalıştığından, tüm gerçekler arası kimlik doğrulamasının doğru bir şekilde yapıldığına inanıyorum.
Yan not olarak, tümü domain1.com içinde sorunsuz bir şekilde yapabilirim: ssh -K -J a.alanmain1.com, b.alanmain1.com c.alaniniz.com
Bu yapılandırmada Kerberos ile çalışmak için daha kısa ve daha güvenli ProxyJump almak için yine de var mı?