本文将对两种重要的机制进行详细的讨论:GSSAPI和Kerberos。 什么是GSSAPI?...GSSAPI和Kerberos的关系 虽然GSSAPI和Kerberos都是用于身份验证的机制,但它们的关系更加复杂。实际上,Kerberos是一种可以通过GSSAPI接口访问的身份验证机制。...这就意味着应用程序可以使用GSSAPI接口,无论底层的安全机制是Kerberos,还是其他的身份验证机制。 使用GSSAPI的优点是,应用程序可以在不改变代码的情况下,切换到使用不同的安全机制。...然而,虽然GSSAPI提供了这种灵活性,但是也有一些局限性。例如,有些安全机制可能无法通过GSSAPI接口进行访问,或者可能需要特定的功能,这些功能在GSSAPI中无法提供。...GSSAPI提供了一种通用的接口,应用程序可以通过这个接口使用不同的安全服务,而无需关心底层的安全机制。而Kerberos则是一种强大且安全的网络身份验证协议,它可以通过GSSAPI接口进行访问。
最近的MHA配置时碰到了Permission denied (publickey,gssapi-with-mic,password)这个错误提示,同时在使用ssh -v时,出现了Unspecified...这个主要是使用了GSSAPI 的认证功能导致的。客官,如果你碰到了在使用scp很慢的情况下,也是这个原因。不妨继续往下看。...Permission denied (publickey,gssapi-with-mic,password)....,password debug1: Next authentication method: gssapi-with-mic debug1: Unspecified GSS failure. ...options [root@vdbsrv2 ~]# grep GSSAPI /etc/ssh/sshd_config # GSSAPI options #GSSAPIAuthentication no
关于gssapi-abuse gssapi-abuse是一款针对GSSAPI滥用的安全检测工具,在该工具的帮助下,广大研究人员可以直接在目标活动目录网络环境中检测存在GSSAPI滥用风险的主机。...功能介绍 当前版本的gssapi-abuse具备以下两个功能: 1、枚举加入了活动目录中的非Windows主机,且这些主机能够通过SSH提供GSSAPI身份验证; 2、针对没有正确的正向/反向查找DNS...条目的GSSAPI可用主机执行动态DNS更新。...在匹配服务主体时,基于GSSAPI的身份验证是严格的,因此DNS条目应通过主机名和IP地址与服务主体名称匹配; 一级标题 gssapi-abuse的正确运行需要一个有效的krb5栈(拥有正确配置的krb5...获取到非Windows主机列表之后,gssapi-abuse将尝试通过SSH连接列表中的每一台主机,以判断是否支持基于GSSAPI的身份验证。 使用样例 python .
GSSAPI 认证 GSSAPI是用于 RFC 2743 中定义的安全认证的一个工业标准协议。PostgreSQL根据 RFC 1964 支持带Kerberos认证的GSSAPI。...GSSAPI为支持它的系统提供自动认证(单点登录)。 认证本身是安全的,但通过数据库连接发送的数据将不被加密,除非使用SSL。...当编译PostgreSQL时,GSSAPI 支持必须被启用,详见Chapter 16。...当GSSAPI使用Kerberos时, 它会使用格式为 servicename/hostname@realm的标准 principal。...下列被支持的配置选项用于GSSAPI: include_realm 如果设置为 0,在通过用户名映射之前(Section 20.2),来自已认证用户 principal的 realm 名称会被剥离掉。
password: Permission denied, please try again. abc@172.16.1.16's password: Permission denied (publickey,gssapi-keyex...,gssapi-with-mic,password)....,gssapi-with-mic,password)....,gssapi-with-mic,password)....,gssapi-with-mic,password).
kdc集群主机名和IP配置到客户端机器hosts配置文件中 3.Kinit客户端通过kerberos认证 获取Principal klist -kt kafka.keytab 4.安装python-gssapi...pip install gssapi 遇到的问题,如下: a.在linux中执行wget命令提示 -bash: wget: command not found 解决方法 yum -y install.../setup.py”, line 109, in raise Exception(“Could not find main GSSAPI shared library....Please ” Exception: Could not find main GSSAPI shared library....Please try setting GSSAPI_MAIN_LIB yourself or setting ENABLE_SUPPORT_DETECTION to ‘false’ Command
显示报错信息为ec2-user@34.216.72.146: Permission denied (publickey,gssapi-keyex,gssapi-with-mic)....xybaws_us-weat_key.pem ec2-user@34.216.72.146 ec2-user@34.216.72.146: Permission denied (publickey,gssapi-keyex...,gssapi-with-mic).
可是,到了第二天,再次ssh登陆时,尼玛,居然报错了~~ Permission denied (publickey,gssapi-keyex,gssapi-with-mic)....2)GSSAPI身份验证. GSSAPIAuthentication 是否允许使用基于 GSSAPI 的用户认证.默认值为"no".仅用于SSH-2....GSSAPIAuthentication yes GSSAPICleanupCredentials yes 那么在客户端登录服务端会用gssapi-keyex,gssapi-with-mic进行身份校验...,gssapi-with-mic,password debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic...,password debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
SSH 权限拒绝 当尝试通过 SSH 进入服务器时,会出现 SSH 权限拒绝错误: Permission denied (publickey,gssapi-keyex,gssapi-with-mic)...注释掉与 gssapi 相关的选项,在行首添加 # 符号: #GSSAPIAuthentication yes #GSSAPICleanupCredentials no 另外,确保 UsePAM 行设置为...总结 本教程介绍了解决 SSH Permission denied (publikey, gssapi-keyex, gssapi-with-mic) 错误所需的步骤。
rsa-sha2-512>debug1: SSH2_MSG_SERVICE_ACCEPT receiveddebug1: Authentications that can continue: publickey,gssapi-keyex...,gssapi-with-mic,passworddebug1: Next authentication method: gssapi-keyexdebug1: No valid Key exchange...contextdebug1: Next authentication method: gssapi-with-micdebug1: Unspecified GSS failure....publickeydebug1: Offering RSA public key: /root/.ssh/id_rsadebug1: Authentications that can continue: publickey,gssapi-keyex...,gssapi-with-mic,passworddebug1: Trying private key: /root/.ssh/id_dsadebug1: Trying private key: /root
message: May 23 00:37:35 localhost systemd: Starting GSSAPI Proxy Daemon... .........May 23 00:39:05 localhost systemd: Failed to start GSSAPI Proxy Daemon....May 23 00:48:56 localhost systemd: Starting GSSAPI Proxy Daemon......May 23 00:48:58 localhost systemd: Started GSSAPI Proxy Daemon.
2、在authentication gssapi-with-mic有时候也会消耗一段时间 一、测试查找具体原因: 1、使用ssh -v host进行debug # ssh -v 192.168.100.10...debug1: Next authentication method: gssapi-with-mic debug1: Unspecified GSS failure....code may provide more information No credentials cache found debug1: Next authentication method: gssapi-with-mic...etc/ssh/sshd_config UseDNS=no 在配置文件中,虽然UseDNS yes是被注释的,但默认开关就是yes 2、关闭SERVER上的GSS认证 在authentication gssapi-with-mic
ssh在执行命令之前将请求转到后台 -g #允许远程主机连接到本地转发的端口 -i identity_file #指定从这个文件中去读取用于公共密钥身份验证的标识(私有密钥) -K #启用基于GSSAPI...的身份验证 -k #禁用将GSSAPI凭据 -L local_socket:remote_socket #指定将与本地(客户端)主机上给定的TCP端口或Unix套接字的连接转发到远程的给定主机和端口或...-512> debug1: SSH2_MSG_SERVICE_ACCEPT received debug1: Authentications that can continue: publickey,gssapi-keyex...,gssapi-with-mic,password debug1: Next authentication method: gssapi-keyex debug1: No valid Key exchange...context debug1: Next authentication method: gssapi-with-mic debug1: Unspecified GSS failure.
image.png 出现这个错误 Permission denied (publickey,gssapi-keyex,gssapi-with-mic) 起码说明防火墙和sshd都是工作正常的。
在这两种场景中,如果远程管理请求并非在受保护的传输层安全性 (TLS) 连接上面运行,那么 libvirtd 守护程序通过需要“类属安全性服务”应用程序编程接口 (GSSAPI) 作为 SASL 方法来提供机密性...libvirtd 守护程序可将 DIGEST-MD5 而不是 GSSAPI 用作 SASL 方法。但是,MD5 散列被视为不安全,不应该使用。SASL 的这些变体支持对推送的数据进行加密。...pass the --listen flag to the libvirtd daemon process for this to @@ -30,7 +30,7 @@ # DIGEST_MD5 and GSSAPI...For real world # use, always enable SASL and use the GSSAPI or DIGEST-MD5 # mechanism in /etc/sasl2...-#LIBVIRTD_ARGS="--listen" +LIBVIRTD_ARGS="--listen" # Override Kerberos service keytab for SASL/GSSAPI
ssh免密码登录Permission denied (publickey,gssapi-keyex,gssapi-with-mic) 的解决方案 1.在hadoop目录 新建.ssh目录 使用:ssh-keygen
可以将受保护的Apache Kafka集群配置为使用以下不同方法来强制执行身份验证: SSL – TLS客户端身份验证 SASL / GSSAPI – Kerberos身份验证 SASL / PLAIN...它支持多种不同的身份验证机制,而实现Kerberos身份验证的机制称为GSSAPI。...must be set to configure the Kafka client to authenticate via Kerberos are shown below: # Uses SASL/GSSAPI...over a TLS encrypted connection security.protocol=SASL_SSL sasl.mechanism=GSSAPI sasl.kerberos.service.name...truststore ssl.truststore.location=/opt/cloudera/security/jks/truststore.jks 上面的配置使用Kerberos(SASL / GSSAPI
. # ssh -lroot -vv 10.18.207.25 debug2: we sent a gssapi-with-mic packet, wait for reply debug1: Authentications...that can continue: publickey,gssapi-keyex,gssapi-with-mic,password debug2: we did not send a packet,...debug2: we sent a publickey packet, wait for reply debug1: Authentications that can continue: publickey,gssapi-keyex...,gssapi-with-mic,password debug1: Offering DSA public key: /home/likewise-open/HISENSE/jiangxun1/.ssh...,gssapi-with-mic,password debug1: Trying private key: /home/likewise-open/HISENSE/jiangxun1/.ssh/id_ecdsa
然后根据查询出的客户端主机名进行DNS正向A记录查询,并验证是否与原始 IP地址一致,通过此种措施来防止客户端欺骗 GSSAPIAuthentication 认证很少用到,关闭可以加快SSH访问速度 参考文献 SSH 中的 GSSAPI...相关选项: https://jaminzhang.github.io/linux/GSSAPI-related-options-in-ssh-configuration/ 通过关闭 UseDNS和GSSAPIAuthentication
现象: image.png 思路: 只有SSH登录有问题,其他不影响,一般就是SSH服务问题,来debug一下 image.png image.png 最终确认是由于GSSAPI 的认证功能导致的...至于为什么会出现认证失败,这里可能需要两端抓包分析下,因为GSSAPI过程中有一些dns反解析的过程,可能跟dns有关,只是朋友机器上跑着正式业务,就没做过多排查。
领取专属 10元无门槛券
手把手带您无忧上云