Obwohl die IP-Adressen und Hostnamen, die den sekundären Netzwerkschnittstellen zugeordnet sind, über entsprechende A- und PTR-Einträge im DNS verfügen, gibt es keine "Registrierung" der IP-Adressen und Hostnamen, die den sekundären Netzwerkschnittstellen in Kerberos zugeordnet sind.
Nun, schreiben Sie sie ein.
Deaktivieren Sie auf jedem Multihomed-Server die strikte Prinzipalprüfung und teilen Sie ihm mit, dass Sie Tickets für alle Schlüssel akzeptieren dürfen, die sich in seiner Keytab befinden:
Global (für alle Dienste) in
/etc/krb5.conf
(für MIT Kerberos; Heimdal kann einen anderen Namen dafür haben):[libdefaults] ignore_acceptor_hostname = true
Dokumentiert in:
http://web.mit.edu/kerberos/krb5-latest/doc/admin/princ_dns.html#overriding-application-behavior http://web.mit.edu/kerberos/krb5-latest/doc/admin/conf_files /krb5_conf.html
Oder nur für SSH in
/etc/ssh/sshd_config
(für OpenSSH):GSSAPIStrictAcceptorCheck no
Dokumentiert in:
https://man.openbsd.org/sshd_config#GSSAPIStrictAcceptorCheck http://web.mit.edu/kerberos/krb5-latest/doc/admin/princ_dns.html#specific-application-advice
Nachdem Sie dies getan haben, fügen Sie dem KDC Principals für alle Namen des Servers und die Schlüssel für alle Namen in demselben hinzu
/etc/krb5.keytab
. (Für Clients, bei denen die Kanonisierung der Namen deaktiviert ist, können Sie sogar Principals für Kurznamen und / oder IP-Adressen hinzufügen.)FreeIPA scheint dafür eine Funktion namens "Prinzipaliasnamen" zu haben, obwohl ich nicht sicher bin, ob es hier wie benötigt funktioniert:
Dies ist wahrscheinlich nicht der einzige Weg, aber es ist der einfachste und erfordert keine clientseitige Konfiguration. Alles funktioniert einfach wie zuvor.
7/31/2018 AKTUALISIERUNG
inf.example.com (dh das KDC) ist im Netzwerk 192.168.10.0/24 nicht vorhanden.
Benötigt es eine Präsenz am 192.168.10.0/24 für 1) Erstmalige Registrierung von cluster-1-a.example.com und cluster-2-a.example.com oder für 2) laufende Vorgänge von cluster-1-a.example .com und cluster-2-a.example.com?
Nein, das stimmt nicht. Kerberos kümmert sich im geringsten nicht um Subnetze - es hängt nur von der Standard-Unicast-TCP / UDP-Kommunikation ab. (Zum Beispiel hat mein Homelab Server und KDCs in drei verschiedenen Ländern, die über das öffentliche Internet kommunizieren ...)
Die Server kommunizieren überhaupt nicht mit dem KDC . Nur Kunden tun dies. Der Server verwendet seine lokale Schlüsseltabelle, um Ihr Ticket zu überprüfen.
(Natürlich kommuniziert der Server mit Ihren FreeIPA-Verzeichnisdiensten, um Kontodetails über LDAP abzurufen ... aber das ist keine Kerberos-Sache mehr.)