Kerberized ssh - 密钥交换很慢

时间:2012-10-14 03:07:37

标签: ssh kerberos

经过几天的锤击,我有一个工作的CentOS 6.3系统绑定到运行Windows 2008R2的AD域。我的方法是使用Kerberos身份验证的基于sssd的pam。通过LDAP在域控制器上访问目录信息。 LDAP绑定也是kerberized。

在我的客户端(Mac OS 10.8)上,我能够进入CentOS系统,所有部分似乎都点击了正确。 Mac获得一张票,然后进行GSSAPI密钥交换,然后进行gssapi-keyex认证。所以设置正常,但我遇到登录速度慢的问题 - 从开始到结束大约10秒。我的经验是,kerberized ssh应该是瞬间的,所以事情仍然是不对的。

我使用tcpdump监控了CentOS和DC之间的通信,看起来CentOS立即得到它从DC请求的任何响应。它挂起的部分实际上是在尝试联系DC之前。看起来GSSAPI密钥交换速度很慢。因此,如果我在调试模式下查看ssh连接,它挂起的两点是

debug1: SSH2_MSG_KEXINIT sent

debug1: Doing group exchange

一旦获得身份验证方法:gssapi-keyex就会通过。有没有人想知道什么会导致密钥交换运行缓慢?可能是我的客户不对劲?在Mac上我的〜/ .ssh / config文件设置如下:

GSSAPIAuthentication yes
GSSAPIKeyExchange yes
GSSAPIDelegateCredentials yes
GSSAPITrustDNS yes
GSSAPIClientIdentity username@MYDOMAIN.COM

1 个答案:

答案 0 :(得分:1)

我明白了,Kerberos会进行很多DNS调用,如果你想拥有实用的登录速度,你必须在CentOS上安装一个缓存DNS服务器。所以只需安装并设置BIND就可以了。