Hallo,

ich habe den SSH-Zugang (mit Keys) zu einem Server eingerichtet. Nun möchte ich einem User den Zugang ohne Key ermöglichen. Wie ist das möglich?

Bin für jeden Hinweis sehr dankbar...

Viele Grüße, hrmux

Seinen ~/.ssh/id_dsa.pub in die ~/.ssh/authorized_keys der anderen Kiste.

Gruß Aqualung

Vielen Dank für die rasche Antwort!

Wenn die "andere Kiste" aber ein Windows System ist und der Zugang von einer IDE aus gelingen soll?

hrmux

Wenn ich Dich richtig verstehe so erfolgt bei Dir die Auth. nur über Keys und nun gibt's einen User, der sich per Login/PW anmelden können soll?

Möglichkeit 1 wäre, den sshd umzukonfigurieren - dann können halt alle User wieder per Login/PW sich anmelden.

Wenn das nicht gewünscht ist z.B. einen 2. SSH-Server auf einem anderen Port laufen lassen nur für diesen User. Evtl. halt ein bisschen Overkill.


edit: Gerade den Kommentar von Dir gelesen - beschreibe das Szenario bitte mal genauer, entweder ist da was komisch oder ich verstehe es nicht so recht...

Wenn die "andere Kiste" aber ein Windows System ist und der Zugang von einer IDE aus gelingen soll?

Das solltest Du ein bischen genauer erklären. Wie hast Du was eingerichtet? Über welchen Dienst läuft der login auf die win-Kiste?

Gruß Aqualung

2. wäre schon eine Möglichkeit. Gibt es vielleicht noch einen anderen Weg? (z.B. für diesen einen User eigene "Regeln" erstellen)

dankend ....

hrmux

Das solltest Du ein bischen genauer erklären. Wie hast Du was eingerichtet? Über welchen Dienst läuft der login auf die win-Kiste?

Gruß Aqualung

Auf einem Debian System sind die public_keys eingetragen. Von Windows-Systemen ist ein Datenaustausch mittels WinSCP und den private-keys möglich. Die jetzt benutzte Anwendung zur Entwicklung von Webseiten unterstützt die Verwendung von Keys jedoch nicht.

hrmux

jetzt benutzte Anwendung zur Entwicklung von Webseiten

wenn Du die mal erwähnst wirds vielleicht einfacher Dir zu helfen.

Gruß Aqualung

Leider kenne ich diese selbst nicht :confused:- ich erhielt nur die Anfrage ob ein Zugang auch ohne Key möglich wäre...

Zugang auch ohne Key möglich wäre..

also mit user/pwd ?

Gruß Aqualung

also mit user/pwd ?

Gruß Aqualung

ja genau so!

Gruß hrmux

PasswordAuthentication yes

in sshd_config ist aus Sicherheitgründen kein Thema?
Genau EIN Benutzer soll sich per pwd anmelden können?

Gruß Aqualung

PasswordAuthentication yes

in sshd_config ist aus Sicherheitgründen kein Thema?
Genau EIN Benutzer soll sich per pwd anmelden können?

Gruß Aqualung

Guten Morgen!


Wenn es denn eine Möglichkeit gäbe die sshd_config so anzupassen, dass nicht alle ohne Key auskommen?

Ja, nur der eine Nutzer soll die Möglichkeit haben.

MfG hrmux

naja, es läuft halt so ab: Wenn key vorhanden, wird der genommen. Wenn nicht - dann kommt PW/Login. Bei jedem User. Wenn Du also für die Stärke der Passworte nicht garantieren kannst und die User per IP nicht einschränken kannst wird's schwer.

Idee - aber nur als Gespinnst: Evtl. geht über "AllowEmptyPasswords" etwas: Den Usern, die sich mit Key auth. sollen ein leeres PW zuweisen - die dürften dann nicht mehr über PW-Auth reinkommen (aber hoffentlich noch über den Key) und dem User, der sich per Login/PW anmelden soll ein starkes PW "aufzwingen". Ob die Idee funktioniert oder ob bei leerem PW auch die Keys nicht mehr akzeptiert werden weiss ich gerade nicht. Du hast dann aber lokal ein Problem mit su - das müsstest Du dann umgehen, ansonsten kann jeder zu jedem werden...

naja, es läuft halt so ab: Wenn key vorhanden, wird der genommen. Wenn nicht - dann kommt PW/Login. Bei jedem User. Wenn Du also für die Stärke der Passworte nicht garantieren kannst und die User per IP nicht einschränken kannst wird's schwer.



Würde also bedeuten, wenn ich "PasswordAuthentication yes" setze, ändert sich nichts, für die, die einen Schlüssel haben - derjenige der keinen hat kommt aber trotzdem rein?
Könnte ich vielleicht dem User über die IP die Möglichkeit einräumen sich nur über das PW zu authentifizieren. Für die anderen (ca. 70) User sollte sich am Besten nichts ändern....

Gruß hrmux

ich habe "passwordAuthentification yes" gesetzt und ssh neu gestartet. Der User ohne key erhält jedoch keinen Zugang? Muss ich noch weitere Punkte ändern?

Gruß hrmux

das kommt auf die sonstigen Einstellungen in der sshd-Config an.

UsePAM, ChallengeResponse, ... - gibt noch einige Möglichkeiten...

Port 22 in der FW öffnen.

Edit:
Vergiss das, Deine anderen user kommen ja schon rein.

Gruß Aqualung

hier mal ein Ausschnitt der sshd_config



UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 600
PermitRootLogin no
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to no to disable s/key passwords
ChallengeResponseAuthentication yes

# Change to yes to enable tunnelled clear text passwords
PasswordAuthentication yes

X11Forwarding no
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
KeepAlive yes
#UseLogin no

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes



Hilft das weiter?

Gruß hrmux

Vielen Dank für die zahlreichen Hinweise! Es hat natürlich ausgereicht "passwordauth.... yes" zu setzen.
Wenn ich mit dem richtigen PW getestet hätte, wäre ich schneller zum Ziel gekommen. :o

Viele Grüße, hrmux

Du kannst die Paßwörter bei allen außer denjenigen, die sich per PW anmelden dürfen, mittels "passwd -l" deaktivieren - sollte immer noch den Login möglich machen. (Oder einfach _irgendein_ Blabla-Paßwort vergeben, das sie nicht erraten können. :))