OpenSSH unterstützt die Kerberos-Authentifizierung in beiden Protokollversionen 1 und 2. Bei Version 1 gibt es spezielle Protokollmeldungen zur Übertragung von Kerberos-Tickets. Bei Version 2 wird Kerberos nicht mehr direkt verwendet, sondern GSSAPI, das General Security Services API. Hierbei handelt es sich um eine Programmierschnittstelle, die nicht Kerberos-spezifisch ist. Sie wurde konzipiert, um die Eigenheiten des zugrunde liegenden Authentifizierungssystems (Kerberos, Public-Key-Authentifizierungssysteme wie SPKM oder andere) zu kaschieren. Die im Lieferumfang enthaltene GSSAPI-Bibliothek unterstützt jedoch nur Kerberos.

Zur Verwendung von sshd mit der Kerberos-Authentifizierung bearbeiten Sie /etc/ssh/sshd_config und legen folgende Optionen fest:

# These are for protocol version 1 
#
# KerberosAuthentication yes
# KerberosTicketCleanup yes

# These are for version 2 - better to use this
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes

Starten Sie dann Ihren SSH-Daemon mit dem Befehl rcsshd restart neu.

Wenn Sie die Kerberos-Authentifizierung mit der Protokollversion 2 verwenden möchten, aktivieren Sie sie auch auf der Client-Seite. Verwenden Sie hierfür entweder die systemweite Konfigurationsdatei /etc/ssh/ssh_config oder bearbeiten Sie die Datei ~/.ssh/config für einzelne Benutzer. Fügen Sie in beiden Fällen die Option GSSAPIAuthentication yes hinzu.

Jetzt sollten Sie sich mithilfe der Kerberos-Authentifizierung verbinden können. Verwenden Sie klist, um sicherzustellen, dass Sie ein gültiges Ticket haben, und verbinden Sie sich dann mit dem SSH-Server. Wenn Sie die SSH-Protokollversion 1 erzwingen möchten, geben Sie bei der Kommandozeile die Option -1 an.

	Weitere Informationen
Die Datei /usr/share/doc/packages/openssh/README.kerberos erläutert die Interaktion von OpenSSH und Kerberos genauer.