PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : freenx und public keys



chris_h
15.11.07, 14:52
Hi,

ich denk, ich kapier da etwas nicht.

Auf dem Server läuft freenx und die Verbindung klappt. Wenn ich "PasswordAuthentication no" beim sshd einstelle (was ja im Inet so gewollt ist), kann ich mich nicht mehr verbinden (NX was disabled on host x.x.x.x). Weshalbe habe ich dann die Certs ausgetauscht wenn ich mich nun erst recht mit passwörtern einloggen muß?

Wie kann ich das Einloggen nur mit den public keys erstellen?

Danke,
Chris

chris_h
15.11.07, 16:53
ziemlicher mist die config von freenx.
PAM ausgeschalten, "PasswordAuthentication no", freenx funzt nicht!

Das Problem: der user nx wurde falsch angelegt und in die /etc/shadow:
nx:!:....
Meldung im log:
sshd: User nx not allowed because account is locked.
Aus der man page ssh
---8<---
If there is a requirement to disable password authenication for the
account while allowing still public-key, then the passwd field should
be set to something other than these values (eg 'NP' or '*NP*' ).
---8<---

In der /etc/shadow
nx:NP:....

und nun funzt es!

unux
15.11.07, 20:40
Hi,

hier rennt das ganze auch ohne die Änderung an der passwd. Node.conf entsprechend angepasst, d.h. ssh-Auth und passdb-Auth abgeschaltet, nur su-Auth angeschaltet, Pubkey in die authorized_keys2 vom User nx eingetragen. Danach in der sshd_config PasswordAuthentication abgeschaltet.
In den NX-Client noch den ssh_key importiert und gut wars.

Greetz UnuX

chris_h
16.11.07, 08:09
Zur Info:
Die Sache mit der shadow war für Suse 10.3.

unux
16.11.07, 12:50
Hi,

bei deiner Lösung hast du das Problem, dass sich der User auch nicht mehr lokal mit seinem Passwort anmelden kann.
Aus dem Grund habe ich die SU-Auth als einzige Authentifizierungsmöglichkeit gewählt. Somit baut der NX-Client mit den Keys einen SSH-Tunnel zum NX-Server über den User auf, unter dem der NX-Server rennt. Ist das geschehen, macht er ein su auf den eigentlichen User, mit dem man sich anmeldet. Dabei muss man zwar dennoch das PW für den User eingeben, allerdings ist das nur für den su und nicht für ssh. Somit kann man seinen sshd so konfigurieren, dass Auth nur noch per keys möglich ist.


Zur Info:
Die Sache mit der shadow war für Suse 10.3.

Das tut in diesem Fall rein gar nichts zur Sache.

Greetz UnuX

chris_h
20.11.07, 09:23
Meine Ausgangslage war die default-Einstellung der Distri. User nx soll sich nicht auf Konsole anmelden dürfen. Und das liegt beim rpm-Ersteller (->Suse).