これを数日間槌で打った後、Windows2008R2を実行しているADドメインにバインドされた動作中のCentOS6.3システムがあります。私の方法は、Kerberos認証を使用したsssdベースのpamです。ディレクトリ情報は、LDAPを介してドメインコントローラーでアクセスされます。LDAPバインドもkerberizedされます。
私のクライアント(Mac OS 10.8)では、すべての部分が右クリックしているように見える状態で、CentOSシステムにSSH接続できます。Macがチケットを取得すると、GSSAPIキー交換が行われ、続いてgssapi-keyex認証が行われます。セットアップは機能していますが、ログインが遅いという問題があります。開始から終了まで約10秒です。私の経験では、kerberized sshは瞬時に実行する必要があるため、まだ何かが正しくありません。
tcpdumpを使用してCentOSとDCの間の通信を監視しましたが、CentOSはDCから要求されたものからすぐに応答を受け取るようです。ハングアップする部分は、実際にはDCに接続しようとする前です。GSSAPIキー交換が遅いようです。したがって、デバッグモードでssh接続を見ると、ハングする2つのポイントは次のとおりです。
debug1: SSH2_MSG_KEXINIT sent
と
debug1: Doing group exchange
認証方法:gssapi-keyexに到達すると、フライスルーします。鍵交換が遅くなる原因について誰かが何か考えを持っていますか?おそらく私のクライアントに何かが正しくないのですか?Macでは、〜/ .ssh/configファイルは次のように設定されています。
GSSAPIAuthentication yes
GSSAPIKeyExchange yes
GSSAPIDelegateCredentials yes
GSSAPITrustDNS yes
GSSAPIClientIdentity username@MYDOMAIN.COM