Mitt firma har deaktivert autentisering av SSH offentlig nøkkel, derfor må jeg angi hver gang passordet mitt (jeg antar ikke å endre /etc/ssh/sshd_config).

Imidlertid gssapi-keyex og gssapi-with-mic autentiseringer er aktivert (se nedenfor ssh feilsøkingsutdata).

Hvordan kan jeg bruke automatisk pålogging i dette tilfellet?
Kan jeg utnytte gssapi-keyex og / eller gssapi-with-mic autentiseringer?

> ssh -v -o PreferredAuthentications=publickey hostxx.domainxx OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010 debug1: Reading configuration data /etc/ssh/ssh_config debug1: Applying options for * debug1: Connecting to hostxx.domainxx [11.22.33.44] port 22. debug1: Connection established. debug1: identity file /home/me/.ssh/identity type -1 debug1: identity file /home/me/.ssh/id_rsa type -1 debug1: identity file /home/me/.ssh/id_dsa type 2 debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3 debug1: match: OpenSSH_5.3 pat OpenSSH* debug1: Enabling compatibility mode for protocol 2.0 debug1: Local version string SSH-2.0-OpenSSH_5.3 debug1: SSH2_MSG_KEXINIT sent debug1: SSH2_MSG_KEXINIT received debug1: kex: server->client aes128-ctr hmac-md5 none debug1: kex: client->server aes128-ctr hmac-md5 none debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP debug1: SSH2_MSG_KEX_DH_GEX_INIT sent debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY debug1: Host "hostxx.domainxx" is known and matches the RSA host key. debug1: Found key in /home/me/.ssh/known_hosts:2 debug1: ssh_rsa_verify: signature correct debug1: SSH2_MSG_NEWKEYS sent debug1: expecting SSH2_MSG_NEWKEYS debug1: SSH2_MSG_NEWKEYS received debug1: SSH2_MSG_SERVICE_REQUEST sent debug1: SSH2_MSG_SERVICE_ACCEPT received debug1: Authentications that can continue: gssapi-keyex,gssapi-with-mic,password debug1: No more authentication methods to try. Permission denied (gssapi-keyex,gssapi-with-mic,password). 

Kommentarer

  • Python ‘ s stoff gjør en god jobb med å håndtere ssh-automatisering.
  • Hei @ DanGarthwaite Bruker du Fabric for å manuelt logge på andre eksterne servere? Kan du forklare hvordan du bruker den? Gi et svar. Skål
  • Hvis du ikke er ‘ t i et Kerberos-rike (eller Active Directory-domene), er det lite sannsynlig at GSSAPI vil være nyttig for deg. Når det er sagt, deaktivering av autentisering av offentlig nøkkel virker ganske absurd.
  • @olibre Fabric er verktøy for å kjøre kommandoer på en eller flere servere over SSH. Disse kommandoene er vanligvis organisert i en » fabfile «, som en Makefile. Det gjør en ekstremt god jobb med å få SSH til å forsvinne (når du først har godkjent) og håndterer alle de måtene SSH-klienter og servere har en tendens til å avbryte kontrollen. En rask opplæring er tilgjengelig: docs.fabfile.org/en/1.7/tutorial.html
  • Vennligst @DanGarthwaite, kan du gi en eksempel på en fab -fil som vil logge på en annen maskin (SSH gssapi uten å be om passord) og åpne et skall? Du kan gi det i et svar. (På fem minutter fant jeg ikke i veiledningen hvordan jeg skulle gjøre det). Skål;)

Svar

Kanskje.

  • Kan du få en billett til rektor på klientsystemet ditt enten som en del av standard påloggingsprosess eller manuelt (kinit, MIT Kerberos for Windows)?
  • Har serveren en kerberos-rektor, eller kan du gi den en? Det skal ha formen host/[email protected].
  • Er GSSAPI autentisering aktivert på klienten din?
  • Vet klienten din hvilken sektor serveren tilhører, enten ved hjelp av DNS TXT-ressurspost eller lokal kartlegging?

Hvis du sa «ja» til alle av ovennevnte, så gratulerer, du kan bruke GSSAPIAuthentication.

  • Du kan må også aktivere påloggingsdelegering, avhengig av oppsett.

Testingstrinn:
(Forutsatt: domene = eksempel.com; realm = EXAMPLE.COM)

  1. kinit [email protected]
    • Ideelt sett håndteres dette av din standard påloggingsprosess ved å inkludere enten pam_krb5 eller pam_sss (med auth_provider = krb5) i riktig pam stack.
  2. kvno host/[email protected]
    • Dette er et feilsøkingstrinn. ssh gjør dette automatisk hvis du har en gyldig hurtigbuffer og du snakker med en sshd som støtter gssapi-with-mic eller gssapi-keyex.
  3. dig _kerberos.example.com txt skal returnere "EXAMPLE.COM"
    • Alternativt kan kartleggingen lagres i [domain_realm] delen av /etc/krb5.conf som .example.com = EXAMPLE.COM, men dns -metoden skaleres mye bedre.
  4. ssh -o GSSAPIAuthentication=yes [email protected]
    • For å logge på et annet brukernavn enn det som er din hovedansvarlige på serveren, må du vite å kartlegge detaljene jeg ikke kommer inn på her.

Kommentarer

  • Hei. Jeg har gitt deg +1 for en tid tilbake, men faktisk gjør jeg ikke vet hvordan du sjekker de fire poengene dine. (Jeg er ikke administrator, bare utvikler). Kan du gi en kommandolinje for å sjekke SSH-tilkoblingen i g gssapiauthentication? Kanskje jeg også kan bruke gssapiauthentication på Linux-maskinen min. (skal jeg bruke kinit til det?) Skål;)

Svar

4-trinns metoden er riktig (det finnes også Kerberos SRV-poster i DNS som er enda mer elegante og finnes i alle Active Directory). Jeg bruker dette hele tiden, og har gått inn for dette ovenfor pubkey-metodene av, hovedsakelig sikkerhets- og kontrollrelaterte grunner.

Når det er sagt, gir dette bare interaktiv pålogging, selv om det kan være kvasi-interaktivt når du først har fått en billett på arbeidsstasjonen din.Kerberos-billetten fungerer omtrent som SSH-agenten; Når du har det, er nye tilkoblinger direkte og passordfrie. om enn med en tidsbegrensning.

For å få interaktiv batch-pålogging, må du få en keytab-fil, en fil som egentlig inneholder passordet for en Kerberos-konto, omtrent som den private halvdelen av en SSH-nøkkel. I henhold til sikkerhetsregler gjelder; spesielt siden tastaturfanen ikke er kryptert eller beskyttet med et passord.

Jeg er ganske motvillig til å gi brukerne tastaturfeltet for sine personlige kontoer, men bruker aggressivt tjenestekontoer med minimale tillatelser for forskjellige batchjobber, spesielt der det er viktig at legitimasjonen blir delegert til fjernkontrollen. system, noe pubkey bare ikke kan oppnå.

Keytabs kan opprettes ved hjelp av ktutil på Unix eller KTPASS.EXE på Windows (sistnevnte fra AD Kerberos-tjenester). Vær oppmerksom på at ktutil finnes i to smaker, Heimdal og MIT, og deres syntaks er forskjellig. Å lese manpagesiden på et relevant system hjelper.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *