第一步:机器加互信
将机器A的Kerberos name加到机器B的~/.k5login中,同时将机器B的Kerberos name加到机器A的~/.k5login中
例如:host/bjm6-193-91.os.org@OS.ORG
第二步:使用默认的Kerberos账号登录(先注销再用krb5.keytab登录)
kdestroy
kinit -kt /etc/krb5.keytab
然后就可以免登陆,ssh IP登录到对方机器了
(如果互信用的不是机器的krb5.keytab表示的账号,就kinit互信的Kerberos账号即可,用krb5.keytab好处是不用再手动输入Kerberos密码)
krb5.keytab包含了Kerberos账号的用户名和密码,可以通过【klist -k /etc/krb5.keytab】查看Kerberos账号的信息
注意:
本机hosts中一定不要只加【对方IP 对方Kerberos账号】外的信息,因为hosts会进行域名解析,如果IP解析出来的域名和Kerberos认证中心的名称不一致,会认证失败
比如B机器的Kerberos账号:host/bjm6-193-91.os.org@OS.ORG
对方IP:192.168.183.111
hosts中不要只加【192.168.183.111 www.baidu.com】
如果一定要加IP指向其他域名,一定要最上面先加IP执行Kerberos账号192.168.183.111 host/bjm6-193-91.os.org@OS.ORG