PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : sshd: Von Suse 10.1 nach Debian 4.0



smartysmart34
28.05.07, 20:34
Hallo zusammen,

ich möchte meine ssh-Verbindung von Suse (Client) nach Debian (server) dahin umstellen, daß ich statt Passworteingabe zukünftig rsa-Schlüssel verwende.

Ich habe nun auf Suse einen ssh-keygen -b 2048 -t rsa durchgeführt und das *.pub-File auf dem Debian-Server unter dem entsprechenden /home/.ssh als authorized_keys abgelegt.

Danach habe ich den sshd gestoppt und wieder gestartet.
Die Berechtigungen des authorized_keys-File sitzen auf 600.

das Problem: Er fragt mich immernoch nach einem Passwort.

Wenn ich nun von Suse aus den Connect mit "ssh -v debianserver " starte, dann erhalte ich folgenden Output:


OpenSSH_4.2p1, OpenSSL 0.9.8a 11 Oct 2005
debug1: Reading configuration data /home/martin/.ssh/config
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to soltaudebian [192.168.2.2] port 22.
debug1: Connection established.
debug1: identity file /home/martin/.ssh/identity type -1
debug1: identity file /home/martin/.ssh/id_rsa type 1
debug1: identity file /home/martin/.ssh/id_dsa type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_4.3p2 Debian-9
debug1: match: OpenSSH_4.3p2 Debian-9 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.2
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host 'soltaudebian' is known and matches the RSA host key.
debug1: Found key in /home/martin/.ssh/known_hosts:1
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Trying private key: /home/martin/.ssh/identity
debug1: Offering public key: /home/martin/.ssh/id_rsa
debug1: Authentications that can continue: publickey,password
debug1: Trying private key: /home/martin/.ssh/id_dsa
debug1: Next authentication method: password
martin@soltaudebian's password:

Hat jemand ne Idee, woran das noch hängen kann?

Danke und Gruß,
Martin

smartysmart34
28.05.07, 20:54
Teilproblem1: ssh benötigt den private KEy scheinbar nicht in id_rsa sondern im File "identity". Hab's da hin kopiert und erhalte nun eine neue Meldung im verbose-log:

debug1: read PEM private key done: type RSA


Alles andere bleibt wie gehabt :-(

adini
29.05.07, 14:31
Schau mal ob du unter dem Link unten was findest.

Gruß adini

http://www.pro-linux.de/work/ubuntu-home-server/ubuntu-home-server03.html

smartysmart34
29.05.07, 15:19
Hallo adini,

danke für den Link, aber der beschreibt auch nix anderes als ich gemacht habe (gut, ich habe den login mit Passwort noch nicht deaktiviert, aber Pubkey geht ja noch nicht und ich will mich nicht aussperren ;-)).
Zur Fehlerbehebung stehen da leider herzlich wenig Hinweise drin.

Nochmal:
Ich habe einen Key auf dem Client generiert, den auf den Server gestellt und versuce mich nun ohne Passwort anzumelden. Er liest auf dem Client auch meinen private key und sendet den public Key. Aber der wird aus irgendeinem Grund nicht akzeptiert.
In dem Zusammenhang habe ich die Berechtigungen auf das serverseitige /home/user/.ssh-Verzeichnis auf 600 geändert.
... immernoch ratlos.

Zwischenzeitlich habe ich auch den Hinweis erhalten, daß manche Distributionen serverseitig die authorized_keys unter dem Namen authorized_keys2 erwarten. Eine Kopie unter dem Namen hat mir auch nicht geholfen :-(

smartysmart34
30.05.07, 00:23
Hallo zusammen,

ich habe nun auf dem Server eine sshd-Instanz mit individuellem Port und im debugging-Modus gestartet und mich auf diese direkt vom Client connected. Dabei wurde ine Berechtigung im /home-Verzeichnis angemeckert (also nicht /home/user/.ssh, sondern eins höher). Nachdem ich die angepasst habe funktioniert es nun von Suse aus.

Ertgänzende Frage: Der Suse-Rechner ist im lokalen Netz und ich habe dort den gleichen User wie auf dem Server... kein Problem.

Nun möchte ich mich von meinem Firmennotebook ebenfalls connecten:
- anderer User,
- aus anderem Netz (via dyndns)
- mit der Windows-Anwendung "SSH Secure Shell" der Firma "SSH Communications Security Corp." (www.ssh.com)

Mit diesem Tool habe ich einen Key generiert und den public Part ebenfalls auf den Server gestellt. Ich gebe unter WIndows (angemeldet mit User xyz) für den ssh-Connect ebenfalls den User abc mit, wie von Suse aus auch.
Der generierte Key bezieht sich aber auf user xyz@firmenrechner.

Ich habe nun das Gefühl, daß ssh auf dem Server den key nicht als zu diesem Verbindungswunsch passend identifiziert. Ich bekomme jedenfalls folgende Fehlermeldung:
debug1: userauth-request for user abc service ssh-connection method none
debug1: attempt 0 failures 0
debug1: PAM: initializing for "abc"
debug1: PAM: setting PAM_RHOST to "192.168.2.10"
debug1: PAM: setting PAM_TTY to "ssh"
Failed none for abc from 192.168.2.10 port 1211 ssh2
Failed none for abc from 192.168.2.10 port 1211 ssh2
debug1: userauth-request for user abc service ssh-connection method publickey
debug1: attempt 1 failures 1
debug1: test whether pkalg/pkblob are acceptable
debug1: temporarily_use_uid: 1000/100 (e=0/0)
debug1: trying public key file /home/abc/.ssh/authorized_keys
key_read: uudecode hierstehtmeinkey failed
debug1: restore_uid: 0/0
debug1: temporarily_use_uid: 1000/100 (e=0/0)
debug1: trying public key file /home/abc/.ssh/authorized_keys2
debug1: restore_uid: 0/0
Failed publickey for abc from 192.168.2.10 port 1211 ssh2
debug1: userauth-request for user abc service ssh-connection method none
debug1: attempt 2 failures 2
Failed none for abc from 192.168.2.10 port 1211 ssh2

Wie muß das denn mit den USern, den rechnern und den Keys aussehen?

Danke und Gruß,
Martin