SSHd mit Zertifikaten

[lukaslentner]

Hallo,

ich hab jetzt ne stunde mit verschiedenen Tutorials im Internet rumprobiert und es geht einfach nicht ...\

• ich habe mit

  Code: Select all

  ssh-keygen -2 -t rsa -b 2048
  

  ein Schluesselpaar erstellt.

• Den public key der datei authorized_keys auf dem server unter ~/.ssħ hinzugefuegt

• Das ist meine Config-Datei:

  Code: Select all

  # Package generated configuration file
  # See the sshd(8) manpage for details
  
  # What ports, IPs and protocols we listen for
  Port 22
  # Use these options to restrict which interfaces/protocols sshd will bind to
  #ListenAddress ::
  #ListenAddress 0.0.0.0
  Protocol 2
  # HostKeys for protocol version 2
  HostKey /etc/ssh/ssh_host_rsa_key
  HostKey /etc/ssh/ssh_host_dsa_key
  #Privilege Separation is turned on for security
  UsePrivilegeSeparation yes
  
  # Lifetime and size of ephemeral version 1 server key
  KeyRegenerationInterval 3600
  ServerKeyBits 768
  
  # Logging
  SyslogFacility AUTH
  LogLevel INFO
  
  # Authentication:
  LoginGraceTime 120
  PermitRootLogin no
  StrictModes yes
  
  RSAAuthentication yes
  PubkeyAuthentication yes
  AuthorizedKeysFile      %h/.ssh/authorized_keys
  
  # Don't read the user's ~/.rhosts and ~/.shosts files
  IgnoreRhosts yes
  # For this to work you will also need host keys in /etc/ssh_known_hosts
  RhostsRSAAuthentication no
  # similar for protocol version 2
  HostbasedAuthentication no
  # Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
  #IgnoreUserKnownHosts yes
  
  # To enable empty passwords, change to yes (NOT RECOMMENDED)
  PermitEmptyPasswords no
  
  # Change to yes to enable challenge-response passwords (beware issues with
  # some PAM modules and threads)
  ChallengeResponseAuthentication no
  
  # Change to no to disable tunnelled clear text passwords
  #PasswordAuthentication yes
  
  # Kerberos options
  #KerberosAuthentication no
  #KerberosGetAFSToken no
  #KerberosOrLocalPasswd yes
  #KerberosTicketCleanup yes
  
  # GSSAPI options
  #GSSAPIAuthentication no
  #GSSAPICleanupCredentials yes
  
  X11Forwarding yes
  X11DisplayOffset 10
  PrintMotd no
  PrintLastLog yes
  TCPKeepAlive yes
  #UseLogin no
  
  #MaxStartups 10:30:60
  #Banner /etc/issue.net
  
  # Allow client to pass locale environment variables
  AcceptEnv LANG LC_*
  
  Subsystem sftp /usr/lib/openssh/sftp-server
  
  UsePAM yes
  

• Wenn ich mich mit

  Code: Select all

  ssh host
  

  einzuloggen versuche , fragt er nach einem Passwort. Nach allen tutorien die ich gelesen habe sollte das nicht passieren und der Login automatisch von statten gehen.
  
  Kann mir einer bitte helfen ...
  Mercy
  
  Lukas

[lukaslentner]

Natuerlich habe ich auch neu gestartet ...

[PDA]

Hast du eine Passphrase für den Schlüssel erstellt?
Wenn ja dann musst du diese eingeben, damit wird der Private Schlüssel geschützt.
Da kann man aber den SSH-Agent benutzen, wenn es denn daran liegt.

Die Rechte der ssh-Dateien in deinem ~/ müssen im Strict-Mode richtig gesetzt sein, sonst werden sie ignoriert.

Probiere das erst mal, das sind die häufigsten Probleme, ansonsten noch mal melden.

[lukaslentner]

Meine Rechte sind so:

Code: Select all

user@server:~/.ssh$ dir -la
insgesamt 12
drwx------ 2 user users        4096 2009-05-05 10:49 .
drwxrwx--- 3 root         user 4096 2009-05-04 17:07 ..
-rw------- 1 user users         464 2009-05-05 10:49 authorized_keys

Wann muss ich die Passphrase eingeben bei Putty???
Ich dachte es wird einfach danach gefragt.

Danke

[hastifranki]

Hallo,

wenn du Putty verwendest, musst du sicherlich das Schlüsselpaar auch mit Putty erzeugen:

http://www.howtoforge.de/howto/key-basi ... -mit-putty

Mit Putty kenne ich mich aber nicht aus.

Mit zwei Linuxrechnern hat bei mir folgendes funktioniert:

1.ssh-keygen auf dem Client ausgeführt
2.Inhalt der Datei ~/.ssh/id_rsa.pub des Client in die Datei ~/.ssh/authorized_keys des Servers kopiert.

Danach gab es nach Eingabe des Befehls ssh user@server keine Passwortabfrage mehr.

Viele Grüße
Frank

[lukaslentner]

Ok. es klappt.
der Ordner .ssh und die Datei authorized_keys müssen 600 sein.
Seervus