经过几天的锤击,我有一个工作的CentOS 6.3系统绑定到运行Windows 2008R2的AD域。我的方法是基于sssd的使用Kerberos身份验证的pam。目录信息通过LDAP在域控制器上访问。 LDAP绑定也是kerberized。Kerberos ssh - 密钥交换慢
在我的客户端(Mac OS 10.8)上,我可以将CentOS系统的所有部分都看作是右键单击。 Mac获得票据,然后进行GSSAPI密钥交换,然后进行gssapi-keyex认证。所以设置正在工作,但我遇到了登录缓慢的问题 - 从开始到结束大约10秒。我的经验是,kerberized ssh应该是瞬间的,所以有些东西还是不对的。
我用tcpdump监视了CentOS和DC之间的通信,它看起来像CentOS从它从DC请求的任何东西中立即得到响应。它挂起的部分实际上是在它尝试联系DC之前。它看起来像GSSAPI密钥交换是缓慢的。所以,如果我看在调试模式下的ssh连接它挂起两点
debug1: SSH2_MSG_KEXINIT sent
和
debug1: Doing group exchange
一旦它得到验证方法:GSSAPI的keyex它蝇通过。有没有人有什么想法,以什么会导致密钥交换运行缓慢?我的客户可能是不正确的?在Mac上我的〜/ .ssh/config文件中设置如下:
GSSAPIAuthentication yes
GSSAPIKeyExchange yes
GSSAPIDelegateCredentials yes
GSSAPITrustDNS yes
GSSAPIClientIdentity [email protected].COM
请移到serverfault.com –