Для переадресації ssh-агента потрібна додаткова конфігурація?

Цей посібник чудово працює, пояснюючи, як ssh-агент працює в декількох системах. Я хотів би налаштувати переадресацію так, як це є в останньому наборі діаграм, але у мене виникають проблеми з відстеженням кроків, необхідних для цього.

Для деяких машин у моїй мережі я можу переходити від A до B, потім B до C, не вводячи пароль cert. Однак інші машини дають "Не вдалося відкрити з'єднання з вашим агентом аутентифікації" (іноді!), А потім не пересилають мою інформацію про автентифікацію. SSHing від однієї з цих машин до іншої коробки в мережі знову запитує мій пароль приватного ключа.

Я не будував ці машини, але я можу керувати деякими з них. Я точно не знаю, яка різниця між Boxen, який працює, і тим, що його немає - це може бути проблема брандмауера, конфігурація ssh / ssh-agent / sshd, будь-що, і я не бачу жодного кроку, покрокові посібники, характерні для переадресації, що плаває навколо мережі. Мені просто потрібно знати, з чого почати переслідувати цю проблему.

Переадресація Ssh агента повинна бути дозволена на клієнті ( ForwardAgentопція в ~/.ssh/config) та на сервері ( AllowAgentForwardingопція в sshd_config). Цілком ймовірно, що для ваших машин різні налаштування за замовчуванням для одного або обох цих параметрів.

Якщо ви їдете на A-> B-> C, переадресація не потрібна на кроці B-> C (якщо ви, звичайно, не збираєтеся йти C-> D).

Коли ви ввійшли в B, перевірте, SSH_AUTH_SOCKчи визначена змінна середовища . Його значення полягає в тому, як sshзнає, як зв’язатися з агентом.

Немає вагомих причин забороняти переадресацію агента на сервері, враховуючи, що переадресація агента робить клієнта вразливим до сервера, а не навпаки, і що ви могли, в принципі, налаштувати переадресацію агента вручну (хоча не було б так багато сенсу, оскільки складність його налаштування призведе до поразки точки зручності пересилання агентів).

Хоча ви вже маєте правильну відповідь від @Gilles вище, я хотів би зазначити, що AllowAgentForwardingвін підтримується лише у OpenSSH 5.1.

Сервери OpenSSH до 5.1, із того, що я бачив у вікні RHEL 4u5, дозволяють переадресацію агента за замовчуванням. Тож якщо ваш сервер старше 5.1 і переадресація агента не працює, проблема, ймовірно, у ssh-клієнті. Оскільки пересилання, здається, працює для деяких машин для вас, здається, що /etc/ssh/ssh_configналаштування добре. Перевірте, ~/.ssh/configчи є якийсь виняток, зроблений для відключення переадресації агента для порушених вікон.

Посилання: http://www.openssh.org/txt/release-5.1