redangel (./35) :
Flan> Je ne sais pas trop quoi dire à ton dernier message, je suis d'accord sur le fond...

Par contre je pense que keytab est requis dans mon cas.

Si c'était un serveur Kerberos classique (comprendre : pas un AD), j'aurais pu te garantir que l'inscription dans l'AD et le keytab étaient facultatifs.
Je sais que le protocole Kerberos a des sécurités supplémentaires avec un AD, donc j'en suis moins sûr.

En revanche, je suis sûr que le keytab n'a pas besoin d'être lisible par sshd, vu c'est pam qui fait l'authentification.

Sinon, pour les autres comptes… peut-être que c'est lié à pam. Que renvoie la commande getent passwd ? En gros ça liste les utilisateurs visibles, en agrégeant toutes les sources de données.


Y a pas moyen de faire de l'authentification LDAP plutôt ? Avec une authentification par bind, tant qu'à faire. Ça t'éviterait d'avoir un keytab et de laisser traîner les credentials de tous les admin sur chaque VM

Au passage, vu que tu en parles, on m'a plutôt fortement déconseillé les rebonds, qui ne sont pas des machines d'admin fiables. En pratique, ça sert surtout à faire des points de faiblesse dans le réseau : tu corromps un rebond, et tu récupères les credentials de tout le monde pour toutes les machines. La bonne machine fiable, c'est le poste d'admin qui ne sert qu'à ça (et surtout pas à aller sur Facebook ou yN ).