Solución 1:
En las máquinas Windows que forman parte de un dominio de Active Directory, los usuarios reciben su vale de concesión de vales de Kerberos cuando inician sesión en Windows, y PuTTY puede usarlo para la autenticación si la autenticación GSSAPI está habilitada en Conexión de configuración de PuTTY|SSH|Auth|GSSAPI (y otros métodos de autenticación que intenta antes de GSSAPI, como la clave pública a través de Pageant, no están configurados o deshabilitados en Connection|SSH|Auth).
[Si también necesita delegación de tickets (p. ej., para montar sistemas de archivos kerberizados en el servidor después de iniciar sesión), asegúrese de que la delegación de GSSAPI también esté habilitada en PuTTY, y los servidores en los que inicia sesión están marcados en Active Directory en la pestaña Delegación como "Confiar en esta computadora para la delegación a cualquier servicio (solo Kerberos) ", que no lo son de forma predeterminada. Extrañamente, esta última configuración de confianza en AD solo se necesita para que la delegación funcione desde clientes de Windows como PuTTY; no es necesaria para los clientes de Linux "ssh -K".]
En máquinas Windows autoadministradas (personales) que no forman parte de un dominio de Active Directory, aún puede usar la autenticación Kerberos/GSSAPI (y la delegación de tickets) a través de PuTTY, pero debe obtener el ticket usted mismo. Desafortunadamente, Windows 7 no viene instalado con ningún equivalente del programa kinit (para que usted solicite manualmente un ticket), y PuTTY tampoco le solicita su contraseña de Kerberos si no tiene un ticket. Por lo tanto, debe instalar el paquete MIT Kerberos para Windows, que incluye las herramientas habituales de línea de comandos kinit/klist/kdestroy, así como una herramienta GUI ordenada "MIT Kerberos Ticket Manager". Úselos para obtener su boleto, y luego PuTTY usará automáticamente la biblioteca MIT GSSAPI en lugar de la de Microsoft SSPI, y todo debería funcionar. Si se está ejecutando "MIT Kerberos Ticket Manager", le pedirá automáticamente su contraseña de Kerberos cuando PuTTY necesite un ticket, por lo que es una buena idea vincularlo desde la carpeta Inicio.
Solución 2:
Primero verifique dos veces que su salida de klist en el cuadro de Windows que ejecuta PuTTY muestre un TGT válido. Luego, en la configuración de su sesión de PuTTY, asegúrese de Intentar la autenticación GSSAPI está habilitado en Connection - SSH - Auth - GSSAPI
. Finalmente, asegúrese de que esté configurado para iniciar sesión con su nombre de usuario automáticamente en Connection - Data
. Puede especificar explícitamente el nombre de usuario o seleccionar el botón de radio para Usar nombre de usuario del sistema .
Históricamente, eso es todo lo que he tenido que hacer para que el inicio de sesión SSH sin contraseña funcione a través de Kerberos.
Solución 3:
El problema estaba en la configuración de Windows Kerberos. Creo que nuestro Active Directory está configurado de manera extraña, realmente no sé, no soy un administrador de Windows.
Pero solucioné el problema configurando manualmente Kerberos usando ksetup en la CLI de Windows 7.
Después de reiniciar mi estación de trabajo remota, no pude iniciar sesión en mi PC. Esto se debe a que, en la configuración original, la parte de TLD de mi dominio de dominio siempre estaba ausente (dominio\usuario), pero después de configurarlo manualmente, tuve que cambiar mi dominio de inicio de sesión para reflejar el nombre de dominio de dominio completo (dominio.TLD\usuario) y Pude iniciar sesión en mi PC con Windows, aunque parece que lleva más tiempo autenticarse ahora.
Antes de los cambios, la salida de ksetup solo mostraba mi dominio predeterminado y estaba en minúsculas.
Usé " nslookup -type=SRV _kerberos._tcp.domain.TLD " para obtener todos los servidores kdc para mi reino.
No puse ninguna bandera.
Establecí asignado mi nombre de usuario " ksetup /mapuser [email protected] en línea "
Recursos que utilicé:https://wiki.ncsa.illinois.edu/display/ITS/Windows+7+Kerberos+Login+using+External+Kerberos+KDC
https://www.cgl.ucsf.edu/Security/CGLAUTH/CGLAUTH.html
Si alguien tiene alguna sugerencia que pueda dar a los administradores de Windows sobre cómo pueden arreglar esto (¿está roto?), se la transmitiré.