Yritykseni on poistanut SSH: n julkisen avaimen todennuksen käytöstä, joten minun on annettava manuaalisesti joka kerta salasanani (en aio muuttaa /etc/ssh/sshd_config
).
Kuitenkin gssapi-keyex
ja gssapi-with-mic
-todennukset ovat käytössä (katso alla ssh
virheenkorjauslähtö).
Kuinka voin käyttää automaattista kirjautumista tässä tapauksessa?
Voinko hyödyntää gssapi-keyex
ja / tai gssapi-with-mic
todennukset?
> ssh -v -o PreferredAuthentications=publickey hostxx.domainxx OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010 debug1: Reading configuration data /etc/ssh/ssh_config debug1: Applying options for * debug1: Connecting to hostxx.domainxx [11.22.33.44] port 22. debug1: Connection established. debug1: identity file /home/me/.ssh/identity type -1 debug1: identity file /home/me/.ssh/id_rsa type -1 debug1: identity file /home/me/.ssh/id_dsa type 2 debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3 debug1: match: OpenSSH_5.3 pat OpenSSH* debug1: Enabling compatibility mode for protocol 2.0 debug1: Local version string SSH-2.0-OpenSSH_5.3 debug1: SSH2_MSG_KEXINIT sent debug1: SSH2_MSG_KEXINIT received debug1: kex: server->client aes128-ctr hmac-md5 none debug1: kex: client->server aes128-ctr hmac-md5 none debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP debug1: SSH2_MSG_KEX_DH_GEX_INIT sent debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY debug1: Host "hostxx.domainxx" is known and matches the RSA host key. debug1: Found key in /home/me/.ssh/known_hosts:2 debug1: ssh_rsa_verify: signature correct debug1: SSH2_MSG_NEWKEYS sent debug1: expecting SSH2_MSG_NEWKEYS debug1: SSH2_MSG_NEWKEYS received debug1: SSH2_MSG_SERVICE_REQUEST sent debug1: SSH2_MSG_SERVICE_ACCEPT received debug1: Authentications that can continue: gssapi-keyex,gssapi-with-mic,password debug1: No more authentication methods to try. Permission denied (gssapi-keyex,gssapi-with-mic,password).
Kommentit
Vastaa
Ehkä.
- Voitteko saada lippu päämiehellesi asiakasjärjestelmässäsi joko osana tavanomaista kirjautumisprosessia tai manuaalisesti (
kinit
, MIT Kerberos for Windows)? - Onko palvelimella kerberos-päämies tai voitko antaa sen? Sen tulisi olla muotoa
host/[email protected]
. - Onko
GSSAPI
-todennus käytössä asiakkaassasi? - Tietääkö asiakkaasi, mihin alueeseen palvelin kuuluu, joko DNS TXT -resurssitietueen tai paikallisen kartoituksen perusteella?
Jos sanoit ”kyllä” kohtaan kaikki yllä olevat, onnittelut, voit käyttää GSSAPIAuthentication
.
- Voit täytyy myös ottaa käyttöön tunnistetietojen siirto asetuksista riippuen.
Testausvaiheet:
(olettaen: verkkotunnus = esimerkki.com; alue = Esimerkki.COM)
-
kinit [email protected]
- Ihannetapauksessa tämä tapahtuu tavallisessa kirjautumisprosessissasi sisällyttämällä joko
pam_krb5
taipam_sss
(auth_provider = krb5
) sopivassapam stack
.
- Ihannetapauksessa tämä tapahtuu tavallisessa kirjautumisprosessissasi sisällyttämällä joko
-
kvno host/[email protected]
- Tämä on virheenkorjausvaihe.
ssh
tekee tämän automaattisesti, jos sinulla on kelvollinen välimuisti ja puhutsshd
-sivustolle, joka tukeegssapi-with-mic
taigssapi-keyex
.
- Tämä on virheenkorjausvaihe.
-
dig _kerberos.example.com txt
pitäisi palata"EXAMPLE.COM"
- Vaihtoehtoisesti kartoitus voidaan tallentaa
/etc/krb5.conf
osioon[domain_realm]
. div id = ”8192e79094”>
- Vaihtoehtoisesti kartoitus voidaan tallentaa
, mutta menetelmädns
skaalautuu paljon paremmin.
ssh -o GSSAPIAuthentication=yes [email protected]
- Jos haluat kirjautua palvelimella muuhun kuin päämiehellesi, sinun on tiedettävä, että se kartoittaa sen yksityiskohdat, joihin en pääse tänne.
kommentit
- Hei. Olen antanut sinulle +1 jo jonkin aikaa sitten, mutta itse asiassa en osaa tarkistaa neljä pistettäsi. (En ole järjestelmänvalvoja, vain kehittäjä.) Voisitko antaa komentorivin SSH-yhteyden tarkistamiseksi g
gssapiauthentication
? Ehkä voin myös käyttäägssapiauthentication
Linux-koneellani. (Pitäisikö minun käyttää siihenkinit
?) Kippis;)
Vastaa
4-vaiheinen menetelmä on oikea (DNS: ssä on myös Kerberos SRV -tietueita, jotka ovat vieläkin tyylikkäämpiä ja joita on jokaisessa Active Directoryssä). Käytän tätä koko ajan, ja olen kannattanut tätä ylläolevia pubkey-menetelmiä lähinnä turvallisuuteen ja valvontaan liittyvistä syistä.
Tästä huolimatta tämä antaa vain vuorovaikutteisen kirjautumisen, vaikka se voi olla lähes interaktiivinen, kun olet saanut lipun työasemallesi.Kerberos-lippu toimii aivan kuten SSH-agentti; kun sinulla on se, uudet yhteydet ovat hämmentäviä ja salasanattomia; vaikkakin aikarajoituksella.
Vuorovaikutteisen eräkirjautumisen saamiseksi sinun on hankittava avaintab-tiedosto, tiedosto, joka sisältää olennaisesti Kerberos-tilin salasanan, aivan kuten SSH-avaimen yksityinen puolikas. Turvallisuustoimenpiteiden mukaisesti; varsinkin kun avainvälilehteä ei ole salattu tai suojattu salasanalla.
En ole varsin halukas antamaan käyttäjilleni henkilökohtaisten tilien näppäinvälilehtiä, mutta käytän aggressiivisesti palvelutilejä, joilla on minimaaliset käyttöoikeudet erilaisiin erätöihin, varsinkin kun on kriittistä, että tunnistetiedot delegoidaan etäyhteydelle järjestelmässä jotain pubkeyä ei yksinkertaisesti voida saavuttaa.
Avaimenvälilehdet voidaan luoda käyttämällä ktx-tiedostoa Unixissa tai KTPASS.EXE: tä Windowsissa (jälkimmäinen AD Kerberos -palveluista). Huomaa, että ktutil on kahta makua, Heimdal ja MIT, ja niiden syntaksit eroavat toisistaan. Sivun lukeminen asiaankuuluvasta järjestelmästä auttaa.
fab
-tiedostosta, joka kirjautuu toiseen koneeseen (SSH gssapi pyytämättä salasanaa) ja avaa kuoren? Voit antaa sen vastauksessa. (Viiden minuutin aikana en löytänyt opetusohjelmasta, miten se tehdään.) Kippis;)