Yritykseni on poistanut SSH: n julkisen avaimen todennuksen käytöstä, joten minun on annettava manuaalisesti joka kerta salasanani (en aio muuttaa /etc/ssh/sshd_config).

Kuitenkin gssapi-keyex ja gssapi-with-mic -todennukset ovat käytössä (katso alla ssh virheenkorjauslähtö).

Kuinka voin käyttää automaattista kirjautumista tässä tapauksessa?
Voinko hyödyntää gssapi-keyex ja / tai gssapi-with-mic todennukset?

> ssh -v -o PreferredAuthentications=publickey hostxx.domainxx OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010 debug1: Reading configuration data /etc/ssh/ssh_config debug1: Applying options for * debug1: Connecting to hostxx.domainxx [11.22.33.44] port 22. debug1: Connection established. debug1: identity file /home/me/.ssh/identity type -1 debug1: identity file /home/me/.ssh/id_rsa type -1 debug1: identity file /home/me/.ssh/id_dsa type 2 debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3 debug1: match: OpenSSH_5.3 pat OpenSSH* debug1: Enabling compatibility mode for protocol 2.0 debug1: Local version string SSH-2.0-OpenSSH_5.3 debug1: SSH2_MSG_KEXINIT sent debug1: SSH2_MSG_KEXINIT received debug1: kex: server->client aes128-ctr hmac-md5 none debug1: kex: client->server aes128-ctr hmac-md5 none debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP debug1: SSH2_MSG_KEX_DH_GEX_INIT sent debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY debug1: Host "hostxx.domainxx" is known and matches the RSA host key. debug1: Found key in /home/me/.ssh/known_hosts:2 debug1: ssh_rsa_verify: signature correct debug1: SSH2_MSG_NEWKEYS sent debug1: expecting SSH2_MSG_NEWKEYS debug1: SSH2_MSG_NEWKEYS received debug1: SSH2_MSG_SERVICE_REQUEST sent debug1: SSH2_MSG_SERVICE_ACCEPT received debug1: Authentications that can continue: gssapi-keyex,gssapi-with-mic,password debug1: No more authentication methods to try. Permission denied (gssapi-keyex,gssapi-with-mic,password). 

Kommentit

  • Python ’ -kangas tekee hienoa työtä ssh-automaation kanssa.
  • Hi @ DanGarthwaite Käytätkö kangasta kirjautumalla manuaalisesti muihin etäpalvelimiin? Voitteko selittää kuinka käytät sitä. Anna vastaus. Kippis
  • Jos et ole ’ t Kerberos-valtakunnassa (tai Active Directory -verkkotunnuksessa), tuskin GSSAPI on hyödyllinen sinulle. Siitä huolimatta julkisen avaimen todennuksen poistaminen käytöstä näyttää melko järjetöntä.
  • @olibre Fabric on apuohjelma komentojen suorittamiseen yhdellä tai useammalla palvelimella SSH: n kautta. Nämä komennot on yleensä järjestetty ” fabfile-tiedostoon ”, kuten Makefile. Se tekee erittäin hyvää työtä saadakseen SSH: n katoamaan (kun olet todennanut) ja käsittelee kaikki SSH-asiakkaiden ja palvelinten tapoja keskeyttää hallinta. Pikaopastus on saatavilla: docs.fabfile.org/en/1.7/tutorial.html
  • Ole hyvä @DanGarthwaite, voisitko antaa esimerkki fab -tiedostosta, joka kirjautuu toiseen koneeseen (SSH gssapi pyytämättä salasanaa) ja avaa kuoren? Voit antaa sen vastauksessa. (Viiden minuutin aikana en löytänyt opetusohjelmasta, miten se tehdään.) Kippis;)

Vastaa

Ehkä.

  • Voitteko saada lippu päämiehellesi asiakasjärjestelmässäsi joko osana tavanomaista kirjautumisprosessia tai manuaalisesti (kinit, MIT Kerberos for Windows)?
  • Onko palvelimella kerberos-päämies tai voitko antaa sen? Sen tulisi olla muotoa host/[email protected].
  • Onko GSSAPI -todennus käytössä asiakkaassasi?
  • Tietääkö asiakkaasi, mihin alueeseen palvelin kuuluu, joko DNS TXT -resurssitietueen tai paikallisen kartoituksen perusteella?

Jos sanoit ”kyllä” kohtaan kaikki yllä olevat, onnittelut, voit käyttää GSSAPIAuthentication.

  • Voit täytyy myös ottaa käyttöön tunnistetietojen siirto asetuksista riippuen.

Testausvaiheet:
(olettaen: verkkotunnus = esimerkki.com; alue = Esimerkki.COM)

  1. kinit [email protected]
    • Ihannetapauksessa tämä tapahtuu tavallisessa kirjautumisprosessissasi sisällyttämällä joko pam_krb5 tai pam_sss (auth_provider = krb5) sopivassa pam stack.
  2. kvno host/[email protected]
    • Tämä on virheenkorjausvaihe. ssh tekee tämän automaattisesti, jos sinulla on kelvollinen välimuisti ja puhut sshd -sivustolle, joka tukee gssapi-with-mic tai gssapi-keyex.
  3. dig _kerberos.example.com txt pitäisi palata "EXAMPLE.COM"
    • Vaihtoehtoisesti kartoitus voidaan tallentaa /etc/krb5.conf osioon [domain_realm]. div id = ”8192e79094”>

, mutta menetelmädnsskaalautuu paljon paremmin.

  • ssh -o GSSAPIAuthentication=yes [email protected]
    • Jos haluat kirjautua palvelimella muuhun kuin päämiehellesi, sinun on tiedettävä, että se kartoittaa sen yksityiskohdat, joihin en pääse tänne.
  • kommentit

    • Hei. Olen antanut sinulle +1 jo jonkin aikaa sitten, mutta itse asiassa en osaa tarkistaa neljä pistettäsi. (En ole järjestelmänvalvoja, vain kehittäjä.) Voisitko antaa komentorivin SSH-yhteyden tarkistamiseksi g gssapiauthentication? Ehkä voin myös käyttää gssapiauthentication Linux-koneellani. (Pitäisikö minun käyttää siihen kinit?) Kippis;)

    Vastaa

    4-vaiheinen menetelmä on oikea (DNS: ssä on myös Kerberos SRV -tietueita, jotka ovat vieläkin tyylikkäämpiä ja joita on jokaisessa Active Directoryssä). Käytän tätä koko ajan, ja olen kannattanut tätä ylläolevia pubkey-menetelmiä lähinnä turvallisuuteen ja valvontaan liittyvistä syistä.

    Tästä huolimatta tämä antaa vain vuorovaikutteisen kirjautumisen, vaikka se voi olla lähes interaktiivinen, kun olet saanut lipun työasemallesi.Kerberos-lippu toimii aivan kuten SSH-agentti; kun sinulla on se, uudet yhteydet ovat hämmentäviä ja salasanattomia; vaikkakin aikarajoituksella.

    Vuorovaikutteisen eräkirjautumisen saamiseksi sinun on hankittava avaintab-tiedosto, tiedosto, joka sisältää olennaisesti Kerberos-tilin salasanan, aivan kuten SSH-avaimen yksityinen puolikas. Turvallisuustoimenpiteiden mukaisesti; varsinkin kun avainvälilehteä ei ole salattu tai suojattu salasanalla.

    En ole varsin halukas antamaan käyttäjilleni henkilökohtaisten tilien näppäinvälilehtiä, mutta käytän aggressiivisesti palvelutilejä, joilla on minimaaliset käyttöoikeudet erilaisiin erätöihin, varsinkin kun on kriittistä, että tunnistetiedot delegoidaan etäyhteydelle järjestelmässä jotain pubkeyä ei yksinkertaisesti voida saavuttaa.

    Avaimenvälilehdet voidaan luoda käyttämällä ktx-tiedostoa Unixissa tai KTPASS.EXE: tä Windowsissa (jälkimmäinen AD Kerberos -palveluista). Huomaa, että ktutil on kahta makua, Heimdal ja MIT, ja niiden syntaksit eroavat toisistaan. Sivun lukeminen asiaankuuluvasta järjestelmästä auttaa.

    Vastaa

    Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *