Mitt firma har deaktivert autentisering av SSH offentlig nøkkel, derfor må jeg angi hver gang passordet mitt (jeg antar ikke å endre /etc/ssh/sshd_config
).
Imidlertid gssapi-keyex
og gssapi-with-mic
autentiseringer er aktivert (se nedenfor ssh
feilsøkingsutdata).
Hvordan kan jeg bruke automatisk pålogging i dette tilfellet?
Kan jeg utnytte gssapi-keyex
og / eller gssapi-with-mic
autentiseringer?
> ssh -v -o PreferredAuthentications=publickey hostxx.domainxx OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010 debug1: Reading configuration data /etc/ssh/ssh_config debug1: Applying options for * debug1: Connecting to hostxx.domainxx [11.22.33.44] port 22. debug1: Connection established. debug1: identity file /home/me/.ssh/identity type -1 debug1: identity file /home/me/.ssh/id_rsa type -1 debug1: identity file /home/me/.ssh/id_dsa type 2 debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3 debug1: match: OpenSSH_5.3 pat OpenSSH* debug1: Enabling compatibility mode for protocol 2.0 debug1: Local version string SSH-2.0-OpenSSH_5.3 debug1: SSH2_MSG_KEXINIT sent debug1: SSH2_MSG_KEXINIT received debug1: kex: server->client aes128-ctr hmac-md5 none debug1: kex: client->server aes128-ctr hmac-md5 none debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP debug1: SSH2_MSG_KEX_DH_GEX_INIT sent debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY debug1: Host "hostxx.domainxx" is known and matches the RSA host key. debug1: Found key in /home/me/.ssh/known_hosts:2 debug1: ssh_rsa_verify: signature correct debug1: SSH2_MSG_NEWKEYS sent debug1: expecting SSH2_MSG_NEWKEYS debug1: SSH2_MSG_NEWKEYS received debug1: SSH2_MSG_SERVICE_REQUEST sent debug1: SSH2_MSG_SERVICE_ACCEPT received debug1: Authentications that can continue: gssapi-keyex,gssapi-with-mic,password debug1: No more authentication methods to try. Permission denied (gssapi-keyex,gssapi-with-mic,password).
Kommentarer
Svar
Kanskje.
- Kan du få en billett til rektor på klientsystemet ditt enten som en del av standard påloggingsprosess eller manuelt (
kinit
, MIT Kerberos for Windows)? - Har serveren en kerberos-rektor, eller kan du gi den en? Det skal ha formen
host/[email protected]
. - Er
GSSAPI
autentisering aktivert på klienten din? - Vet klienten din hvilken sektor serveren tilhører, enten ved hjelp av DNS TXT-ressurspost eller lokal kartlegging?
Hvis du sa «ja» til alle av ovennevnte, så gratulerer, du kan bruke GSSAPIAuthentication
.
- Du kan må også aktivere påloggingsdelegering, avhengig av oppsett.
Testingstrinn:
(Forutsatt: domene = eksempel.com; realm = EXAMPLE.COM)
-
kinit [email protected]
- Ideelt sett håndteres dette av din standard påloggingsprosess ved å inkludere enten
pam_krb5
ellerpam_sss
(medauth_provider = krb5
) i riktigpam stack
.
- Ideelt sett håndteres dette av din standard påloggingsprosess ved å inkludere enten
-
kvno host/[email protected]
- Dette er et feilsøkingstrinn.
ssh
gjør dette automatisk hvis du har en gyldig hurtigbuffer og du snakker med ensshd
som støttergssapi-with-mic
ellergssapi-keyex
.
- Dette er et feilsøkingstrinn.
-
dig _kerberos.example.com txt
skal returnere"EXAMPLE.COM"
- Alternativt kan kartleggingen lagres i
[domain_realm]
delen av/etc/krb5.conf
som.example.com = EXAMPLE.COM
, mendns
-metoden skaleres mye bedre.
- Alternativt kan kartleggingen lagres i
-
ssh -o GSSAPIAuthentication=yes [email protected]
- For å logge på et annet brukernavn enn det som er din hovedansvarlige på serveren, må du vite å kartlegge detaljene jeg ikke kommer inn på her.
Kommentarer
- Hei. Jeg har gitt deg +1 for en tid tilbake, men faktisk gjør jeg ikke vet hvordan du sjekker de fire poengene dine. (Jeg er ikke administrator, bare utvikler). Kan du gi en kommandolinje for å sjekke SSH-tilkoblingen i g
gssapiauthentication
? Kanskje jeg også kan brukegssapiauthentication
på Linux-maskinen min. (skal jeg brukekinit
til det?) Skål;)
Svar
4-trinns metoden er riktig (det finnes også Kerberos SRV-poster i DNS som er enda mer elegante og finnes i alle Active Directory). Jeg bruker dette hele tiden, og har gått inn for dette ovenfor pubkey-metodene av, hovedsakelig sikkerhets- og kontrollrelaterte grunner.
Når det er sagt, gir dette bare interaktiv pålogging, selv om det kan være kvasi-interaktivt når du først har fått en billett på arbeidsstasjonen din.Kerberos-billetten fungerer omtrent som SSH-agenten; Når du har det, er nye tilkoblinger direkte og passordfrie. om enn med en tidsbegrensning.
For å få interaktiv batch-pålogging, må du få en keytab-fil, en fil som egentlig inneholder passordet for en Kerberos-konto, omtrent som den private halvdelen av en SSH-nøkkel. I henhold til sikkerhetsregler gjelder; spesielt siden tastaturfanen ikke er kryptert eller beskyttet med et passord.
Jeg er ganske motvillig til å gi brukerne tastaturfeltet for sine personlige kontoer, men bruker aggressivt tjenestekontoer med minimale tillatelser for forskjellige batchjobber, spesielt der det er viktig at legitimasjonen blir delegert til fjernkontrollen. system, noe pubkey bare ikke kan oppnå.
Keytabs kan opprettes ved hjelp av ktutil på Unix eller KTPASS.EXE på Windows (sistnevnte fra AD Kerberos-tjenester). Vær oppmerksom på at ktutil finnes i to smaker, Heimdal og MIT, og deres syntaks er forskjellig. Å lese manpagesiden på et relevant system hjelper.
fab
-fil som vil logge på en annen maskin (SSH gssapi uten å be om passord) og åpne et skall? Du kan gi det i et svar. (På fem minutter fant jeg ikke i veiledningen hvordan jeg skulle gjøre det). Skål;)