Хотя IP-адреса и имена хостов, связанные с интерфейсами вторичной сети, имеют соответствующие записи A и PTR в DNS, «регистрация» IP-адресов и имен хостов, связанных с интерфейсами вторичной сети в Kerberos, отсутствует.
Хорошо, зарегистрируй их.
На каждом многосетевом сервере отключите строгую проверку принципала и скажите ему принимать билеты для любого ключа, который присутствует в его таблице ключей:
Глобально (для всех служб) в
/etc/krb5.conf
(для MIT Kerberos; Heimdal может иметь другое название):[libdefaults] ignore_acceptor_hostname = true
Документировано в:
http://web.mit.edu/kerberos/krb5-latest/doc/admin/princ_dns.html#overriding-application-behavior http://web.mit.edu/kerberos/krb5-latest/doc/admin/conf_files /krb5_conf.html
Или только для SSH, в
/etc/ssh/sshd_config
(для OpenSSH):GSSAPIStrictAcceptorCheck no
Документировано в:
https://man.openbsd.org/sshd_config#GSSAPIStrictAcceptorCheck http://web.mit.edu/kerberos/krb5-latest/doc/admin/princ_dns.html#specific-application-advice
После этого добавьте принципалы для всех имен серверов в KDC, а ключи для всех них - в одно и то же
/etc/krb5.keytab
. (Для клиентов с отключенной канонизацией имен можно даже добавить принципалы для коротких имен и / или IP-адресов.)Похоже, что во FreeIPA есть функция под названием «основные псевдонимы», хотя я не уверен, работает ли она здесь как нужно:
Это, вероятно, не единственный способ, но он самый простой и не требует какой-либо конфигурации на стороне клиента. Все просто работает как раньше.
31/31/2018 ОБНОВЛЕНИЕ
inf.example.com (то есть KDC) не присутствует в сети 192.168.10.0/24.
Требуется ли присутствие на 192.168.10.0/24 для 1) первоначальной регистрации cluster-1-a.example.com и cluster-2-a.example.com или для 2) текущих операций cluster-1-a.example .com и cluster-2-a.example.com?
Нет, это не так. Kerberos не заботится о подсетях в малейшей степени - это зависит только от стандартной работы одноадресных соединений TCP / UDP. (Например, у моей homelab есть серверы и KDC в трех разных странах, которые общаются через общедоступный Интернет ...)
В этом отношении серверы вообще не связываются с KDC . Только клиенты делают. Сервер использует свою локальную таблицу ключей для подтверждения вашего билета.
(Конечно, сервер будет связываться с вашими службами каталогов FreeIPA для поиска сведений об учетной записи через LDAP ... но это уже не Kerberos.)