Ssh- एजेंट अग्रेषण के लिए आवश्यक अतिरिक्त विन्यास?


21

यह मार्गदर्शिका एक बढ़िया काम करती है जिसमें बताया गया है कि ssh- एजेंट कई प्रणालियों में कैसे काम करता है। मैं अग्रेषण सेट अप करना चाहता हूं क्योंकि यह आरेखों के अंतिम सेट में है, लेकिन मुझे ऐसा करने के लिए आवश्यक चरणों को ट्रैक करने में समस्या हो रही है।

अपने नेटवर्क की कुछ मशीनों के लिए , मैं कभी भी बिना किसी प्रमाणित पासवर्ड डाले, A से B, फिर B से C तक ssh कर सकता हूं। अन्य मशीनें, हालांकि, "अपने प्रमाणीकरण एजेंट से कनेक्शन नहीं खोल सकती" (कभी-कभी!), फिर मेरी प्रमाणीकरण जानकारी को अग्रेषित नहीं करेगी। नेटवर्क पर इन मशीनों में से एक से दूसरे बॉक्स पर SSH करना मेरे निजी-कुंजी पासवर्ड के लिए फिर से संकेत देता है।

मैंने इन मशीनों का निर्माण नहीं किया, लेकिन मैं उनमें से कुछ को प्रशासित कर सकता हूं। मुझे यह पता नहीं है कि बॉक्सन के बीच क्या अंतर है, जो काम करते हैं और जो नहीं हैं - फ़ायरवॉल समस्या, ssh / ssh-agent / sshd कॉन्फ़िगरेशन, कुछ भी हो सकता है, और मुझे कोई भी चरण नहीं दिखता है- 'नेट' के आसपास फ़्लोटिंग फ़ॉरवर्ड करने के लिए विशिष्ट बाय-स्टेप गाइड । मुझे सिर्फ यह जानने की जरूरत है कि इस मुद्दे का पीछा करना कहां से शुरू किया जाए।

जवाबों:


23

Ssh एजेंट अग्रेषण को क्लाइंट ( ForwardAgentविकल्प ~/.ssh/config) में और सर्वर ( AllowAgentForwardingविकल्प sshd_config) पर अनुमति दी जानी चाहिए । संभावना है कि आपकी मशीनों में इन दोनों विकल्पों में से एक या दोनों के लिए अलग-अलग डिफ़ॉल्ट सेटिंग्स हैं।

यदि आप A-> B-> C जा रहे हैं, तो B-> C स्टेप पर फॉरवर्ड करना आवश्यक नहीं है (जब तक कि तब आप C-> D के कोर्स में नहीं जा रहे हैं)।

जब आप B में लॉग इन होते हैं, तो जांच लें कि पर्यावरण चर SSH_AUTH_SOCKपरिभाषित किया गया है। इसका मूल्य यह है कि sshकैसे एजेंट से संपर्क करना जानता है।

सर्वर में फॉरवर्डिंग एजेंट के मना करने का कोई अच्छा कारण नहीं है, यह देखते हुए कि एजेंट फ़ॉरवर्डिंग क्लाइंट को सर्वर के प्रति असुरक्षित बनाता है और इसके विपरीत नहीं, और यह कि आप सिद्धांत रूप से एजेंट को मैन्युअल रूप से अग्रेषित कर सकते हैं (हालाँकि इसमें बहुत अधिक बिंदु नहीं होगा इसे स्थापित करने की कठिनाई एजेंट अग्रेषण की सुविधा के बिंदु को पराजित करेगी)।


अच्छी खबर: मुझे देखने के लिए सही कुंजी की ओर इशारा करने के लिए धन्यवाद! बुरी खबर: जाहिरा तौर पर यह ओपनश-सर्वर में एक ज्ञात बग है। ऐसा लगता है कि कुछ बिंदु पर तय किया गया है, लेकिन मुझे नहीं लगता कि मैं एक वर्तमान-पर्याप्त संस्करण चला रहा हूं - जब मैं इसे सक्षम करने का प्रयास करता हूं तो मुझे "खराब कॉन्फ़िगरेशन विकल्प: AllowAgentForwarding" मिलता है। ऐसा लगता है कि यह मेरे सॉफ़्टवेयर
लोडआउट

1
@ कोडर: चूंकि एजेंट आगे की ओर चूक करता है, इसलिए किसी भी AllowAgentForwardingलाइन को हटाने के लिए पर्याप्त होना चाहिए sshd_config
गिल्स एसओ- बुराई को रोकें '

@Gilles अगर कोई मौजूदा सत्र के लिए एजेंट को मैन्युअल रूप से अग्रेषित करना चाहता है, तो वे ऐसा कैसे करेंगे? यह एएमआई जैसी AllowAgentForwardingअक्षम मशीनों के साथ उपयोग की जाने वाली स्क्रिप्ट को व्यवस्थित करने की एक वास्तविक आवश्यकता है जो विकलांगों के साथ आती है ।
एंड्रयू डी एंड्रेड

@AndrewDeAndrade मौजूदा सत्र के लिए, आपने अपना काम काट दिया है। यदि आपके पास एजेंट को अग्रेषित करने का मतलब है भले ही वह सर्वर पर अक्षम हो, तो आपको टीसीपी पर एक यूनिक्स सॉकेट को अग्रेषित करने की आवश्यकता है; यह दोनों पक्षों पर netcat या समाज के साथ उल्लेखनीय होना चाहिए।
गिल्स एसओ- बुराई को रोकना '

@ गिल्स यह निष्कर्ष मैं भी आया हूं। मुझे पता चला कि आप स्पाईड का भी उपयोग कर सकते हैं, जो अधिक सुरक्षित है, लेकिन सममित कुंजी विनिमय की आवश्यकता है, लेकिन उसके बाद सरल है।
एंड्रयू डी एंड्रेड

14

जब आपके पास पहले से ही @Gilles द्वारा सही उत्तर है, तो मैं इंगित करना चाहता था कि AllowAgentForwardingकेवल OpenSSH 5.1 पर समर्थित है।

OpenSSH सर्वर 5.1 से पहले, जो मैंने अपने RHEL 4u5 बॉक्स में देखा है, एजेंट को डिफ़ॉल्ट रूप से अग्रेषित करने की अनुमति देता है। इसलिए यदि आपका सर्वर 5.1 से अधिक पुराना है और एजेंट अग्रेषण काम नहीं कर रहा है, तो समस्या ssh क्लाइंट में होने की संभावना है। चूंकि फॉरवर्डिंग आपके लिए कुछ मशीनों के लिए काम कर रहा है, ऐसा लगता है कि /etc/ssh/ssh_configसेटअप ठीक है। ~/.ssh/configयह देखने के लिए जांचें कि क्या प्रभावित बक्से के लिए एजेंट अग्रेषण को अक्षम करने के लिए कोई अपवाद है।

रेफरी: http://www.openssh.org/txt/release-5.1


हाय संदीप, क्या आपके पास इस बारे में कोई विचार है? superuser.com/questions/958978/…
निक्स
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.