Настройка SSH

[AnrDaemon]

Ссылки на "такую инфу", пожалуйста.

Я окончательно запутался, спасайте =)

https://forum.ubuntu.ru/index.php?topic=101908.msg1397927#msg1397927
Я настолько часто бываю прав, что это начинает вызывать опасения в моей нормальности.

[delovoy]

Раз вы любитель впна, осмелюсь задать вопрос. С помощью Впна, если сервер за натом я могу подключиться к дому, но наоборот не смогу, а из дому в тоннель впна я смогу отправить нужные мне пакеты если на сервере стоит нат? ))) При вашей первой рекомендации я уже нарыл способ настройки впна и даже систему биллинга хД можно прикрутить, но там нет ответа на мой вопрос =) Надеюсь, что вы обладаете этой инфо-ей. Благодарю за помощь, буду копать дальше.

[AnrDaemon]

При чём тут "любитель"? Выбирайте выражения.
Вы ставите задачу, я говорю, какое решение будет подходящим под ваши условия.
VPN создаёт сетевое подключение между двумя хостами. Считай, что они соединены проводом напрямую.
Как вы им будете дальше рулить - вопрос маршрутов и гейтов.
Если вы на минутку прекратите играть в шпионов и полностью изложите задачу - будет намного проще отвечать на ваши вопросы.

[delovoy]

Нужно юзать несколько ресурсов но нескольким портам с домашнего ПК подключившись к рабочему, ибо эти ресурсы недоступны ни откуда, кроме как с работы (на работе нат) единственное решение я видел в ssh.
Пользователь решил продолжить мысль 01 Апреля 2012, 22:57:31:в принципе я и не шифровался, из выше приведенных мной комментариев были отчетливо видны мои намерения (ну поверхностно, естественно)
Пользователь решил продолжить мысль 01 Апреля 2012, 23:00:12:

При чём тут "любитель"? Выбирайте выражения.

Раз вы любитель впна, осмелюсь задать вопрос. - это была в какой то степени шутка

[AnrDaemon]

Да, из ваших сообщений можно было угадать это. Но вы этого ни разу не сказали прямо, вместо этого - играли в египетских шпионов.

Ещё раз - я не "любитель ВПНа", я любитель простых решений для конкретных задач.
Конкретно для вашей задачи (проброс более чем одного порта/хоста/протокола) больше подходит VPN.
Но. Если ваши "конкретные ресурсы" действительно конкретны (т.е. - ограничены количеством хостов и портов) - можно пробросить все через SSH и пользоваться из дома. (Ключи -R/-L можно задавать неограниченное количество раз - пока не выйдете за длину строки команды.)
Создавать ВТОРОЕ подключение (из дома на работу) не нужно. Порты уже проброшены, осталось правильно к ним подключиться.

[delovoy]

Да, из ваших сообщений можно было угадать это. Но вы этого ни разу не сказали прямо, вместо этого - играли в египетских шпионов.

Ещё раз - я не "любитель ВПНа", я любитель простых решений для конкретных задач.
Конкретно для вашей задачи (проброс более чем одного порта/хоста/протокола) больше подходит VPN.
Но. Если ваши "конкретные ресурсы" действительно конкретны (т.е. - ограничены количеством хостов и портов) - можно пробросить все через SSH и пользоваться из дома. (Ключи -R/-L можно задавать неограниченное количество раз - пока не выйдете за длину строки команды.)
Создавать ВТОРОЕ подключение (из дома на работу) не нужно. Порты уже проброшены, осталось правильно к ним подключиться.

Благодарю за внятный ответ. Насчет "любителя впна" я писал выше "Это была шутка, своеобразная"
Шпионы, тем более египетские - рулят =)

[Terminus]

Всем привет !

А как настроить SSH чтобы он заходил по тикету Kerberos, не вводя пароль ?

kerberos настроен, тикеты выдает
/etc/ssh/sshd_config
PasswordAuthentication no
KerberosAuthentication yes
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
 

/etc/ssh/ssh_config
GSSAPIAuthentication yes
GSSAPIDelegateCredentials yes


kinit user
ssh user@example.com
permission denied ( gssapi-keyex gssapi-with-mic password)

А в случае
/etc/ssh/sshd_config
PasswordAuthentication yes
KerberosAuthentication yes
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes

просит пароль
по паролю проходит !
но я же хочу по билетику
хотя сниффер говорит что TGT мне выдается

возможно я что-то упускаю ?

Прикрепляю файл с ssh -vvv

[AnrDaemon]

Даже не возможно, а лог вам явно об этом говорит:

Рас:

Код: [Выделить]

debug1: Next authentication method: gssapi-keyex
debug1: No valid Key exchange context
и двас:

Код: [Выделить]

debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure.  Minor code may provide more information
Credentials cache file '/tmp/krb5cc_1000' not found

debug1: Unspecified GSS failure.  Minor code may provide more information
Credentials cache file '/tmp/krb5cc_1000' not found

debug1: Unspecified GSS failure.  Minor code may provide more information


debug1: Unspecified GSS failure.  Minor code may provide more information
Credentials cache file '/tmp/krb5cc_1000' not found

debug2: we did not send a packet, disable method
debug1: No more authentication methods to try.
Permission denied (gssapi-keyex,gssapi-with-mic).
В дополнение можно включить лог на сервере и посмотреть, что там происходит.

[Terminus]

Даже не возможно, а лог вам явно об этом говорит:

Рас:

Код: [Выделить]

debug1: Next authentication method: gssapi-keyex
debug1: No valid Key exchange context
и двас:

Код: [Выделить]

debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure.  Minor code may provide more information
Credentials cache file '/tmp/krb5cc_1000' not found

debug1: Unspecified GSS failure.  Minor code may provide more information
Credentials cache file '/tmp/krb5cc_1000' not found

debug1: Unspecified GSS failure.  Minor code may provide more information


debug1: Unspecified GSS failure.  Minor code may provide more information
Credentials cache file '/tmp/krb5cc_1000' not found

debug2: we did not send a packet, disable method
debug1: No more authentication methods to try.
Permission denied (gssapi-keyex,gssapi-with-mic).
В дополнение можно включить лог на сервере и посмотреть, что там происходит.

в sysloge ничего интереного

а как это можно исправить ?