sshd - Аутентификация с помощью открытых ключей

[linuxkolovorot]

на форуме не нашел...
требуется организовать аутентификацию с помощью открытх ключей, с удаленной машиной
на удаленной тачке сгенерил ключи, с passphrase

Код: [Выделить]

ssh-keygen -t rsaт.к. генерил под root 'ом, ключи лежат в /root/.ssh/

Код: [Выделить]

authorized_keys  -rw-r--r--
id_rsa -rw-------
id_rsa.pub -rw-r--r--

(Нажмите, чтобы показать/скрыть)

#   $OpenBSD: sshd_config,v 1.73 2005/12/06 22:38:28 reyk Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.

#Port 22
#Protocol 2,1
Protocol 2
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 768

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO

# Authentication:
AllowUsers root usr1

#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6

#RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile   %h/.ssh/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no
PasswordAuthentication no

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
ChallengeResponseAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
GSSAPIAuthentication yes
#GSSAPICleanupCredentials yes
GSSAPICleanupCredentials yes

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication mechanism.
# Depending on your PAM configuration, this may bypass the setting of
# PasswordAuthentication, PermitEmptyPasswords, and
# "PermitRootLogin without-password". If you just want the PAM account and
# session checks to run without PAM authentication, then enable this but set
# ChallengeResponseAuthentication=no
#UsePAM no
UsePAM yes

# Accept locale-related environment variables
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL
#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding no
X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#ShowPatchLevel no
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10
#PermitTunnel no
#ChrootDirectory none

# no default banner path
#Banner /some/path

# override default of no subsystems
Subsystem   sftp   /usr/libexec/openssh/sftp-server

взял с сервера закрытый ключ id_rsa, добавид этот ключ в putty->ssh->auth

"PuTTY Fatal Error
No supported authentication methods available"

с линью тока знакомлюсь
Помогите настроить сервер и клиент для решения задачи: sshd - Аутентификация с помощью открытых ключей

[ii343hbka]

а разве если проосто попытаться прицепиться, putty не спрашивает про добавление ключа?

[proctoleha]

Я цеплял путти без запроса пароля, решение было где то на арче.
Если не ошибаюсь  закрытый ключ id_rsa надо пропустить (обработать) putty key  - маленькая тоже программулина, она даст на выходе файл. Вот его то и надо добавить в путти.

[linuxkolovorot]

мне не понятно где надо генерировать ключи (на сервере удаленном с которым соединияюсь, или на клиенте)
и какой ключ цеплять в клиенте putty
закрытые ключи должны быть и на сервере и на клиенте для расшифровки сообщений-проверки подлинности (сервером клиента, клиентом сервера)
как всегда всё на самом деле просто, когда вкуриваешь принцип работы...
Те кто знает как организовать аутентификацию с помощью ключей, напишите плиз что надо делать в правильной последовательности

[Mam(O)n]

1. Генерируешь два ключа закрытый(id_rsa) и открытый(id_rsa.pub). Не важно, где.
2. Открытый кладёшь в файлик ~/.ssh/authorized_keys на сервере (местоположение зависит от параметра AuthorizedKeysFile в конфиге /etc/ssh/sshd_config)
3. Клиенту подсовываешь закрытый ключ.

[Karl500]

Если клиент - это ubuntu, то делается очень просто:

ssh-copy-id -i ~/.ssh/id_rsa.pub user@machine

Если не ubuntu, то:

1. На клиенте генерим пару ключей (закрытый и открытый)
2. Открытый ключ передаем на сервер (входя под тем пользователем, под которым хотим входить без пароля) и записываем (точнее, ДОписываем) к файлу ~/.ssh/authorized_keys
cat id_rsa.pub >> ~/.ssh/authorized_keys
(еще раз подчеркну - это на сервере!)
3. Входим
ssh user@machine

Пардон, пока писал, ув. Mam(O)n уже ответил...

[linuxkolovorot]

Client Ubuntu 10.04.1
Server Centos 5.5
1. генерю на клиенте ключи, ключи сохраняю по дефолту в домашней папке клиента
ssh-keygen -t rsa -b 4096
2. заливаю открытый ключ на сервер
ssh-copy-id -i ~/.ssh/id_rsa.pub root@0.0.0.0
получаю сообщение:
Now try logging into the machine, with "ssh 'root@0.0.0.0'", and check in:

  .ssh/authorized_keys

to make sure we haven't added extra keys that you weren't expecting.
3. соединияюсь с сервером
ssh root@0.0.0.0
Agent admitted failure to sign using the key.
Permission denied (publickey,gssapi-with-mic).

опять теже дрова ... в чем трабла? все действия описаны выше
Пользователь решил продолжить мысль 11 Декабря 2010, 14:10:30:что я неправильно сделал???

[Karl500]

Третья ссылка в гугле по поиску текста ошибки http://www.rm-rfv.ru/2010/06/agent-admitted-failure-to-sign-using.html

[linuxkolovorot]

нихрена не работает , потратил целый день на какуюто мелочь...
ткните носом меня на русский man, если такого нет то плохо

rm-rfv.ru/2010/06/agent-admitted-failure-to-sign-using.html - 0 реакции

[Shtsh]

Ты сгенерировал ключ в open-ssh и пытаешься его засунуть в putty. ЕМНИП у них разные форматы ключей. Поищи по "конвертирование openssh в putty"

http://linux-sxs.org/networking/openssh.putty.html

[Mam(O)n]

Ну если в качестве клиента openssh, то ключ твой надо указать в конфиге клиента. Например в файле /etc/ssh/ssh_config параметр IdentityFile.

[linuxkolovorot]

Ну если в качестве клиента openssh, то ключ твой надо указать в конфиге клиента. Например в файле /etc/ssh/ssh_config параметр IdentityFile.

указывал
Пользователь решил продолжить мысль 11 Декабря 2010, 16:42:27:

Ты сгенерировал ключ в open-ssh и пытаешься его засунуть в putty. ЕМНИП у них разные форматы ключей. Поищи по "конвертирование openssh в putty"

http://linux-sxs.org/networking/openssh.putty.html

как раз этого я не знал
спасибо