Для переадресації ssh-агента потрібна додаткова конфігурація?


21

Цей посібник чудово працює, пояснюючи, як ssh-агент працює в декількох системах. Я хотів би налаштувати переадресацію так, як це є в останньому наборі діаграм, але у мене виникають проблеми з відстеженням кроків, необхідних для цього.

Для деяких машин у моїй мережі я можу переходити від A до B, потім B до C, не вводячи пароль cert. Однак інші машини дають "Не вдалося відкрити з'єднання з вашим агентом аутентифікації" (іноді!), А потім не пересилають мою інформацію про автентифікацію. SSHing від однієї з цих машин до іншої коробки в мережі знову запитує мій пароль приватного ключа.

Я не будував ці машини, але я можу керувати деякими з них. Я точно не знаю, яка різниця між Boxen, який працює, і тим, що його немає - це може бути проблема брандмауера, конфігурація ssh / ssh-agent / sshd, будь-що, і я не бачу жодного кроку, покрокові посібники, характерні для переадресації, що плаває навколо мережі. Мені просто потрібно знати, з чого почати переслідувати цю проблему.

Відповіді:


23

Переадресація Ssh агента повинна бути дозволена на клієнті ( ForwardAgentопція в ~/.ssh/config) та на сервері ( AllowAgentForwardingопція в sshd_config). Цілком ймовірно, що для ваших машин різні налаштування за замовчуванням для одного або обох цих параметрів.

Якщо ви їдете на A-> B-> C, переадресація не потрібна на кроці B-> C (якщо ви, звичайно, не збираєтеся йти C-> D).

Коли ви ввійшли в B, перевірте, SSH_AUTH_SOCKчи визначена змінна середовища . Його значення полягає в тому, як sshзнає, як зв’язатися з агентом.

Немає вагомих причин забороняти переадресацію агента на сервері, враховуючи, що переадресація агента робить клієнта вразливим до сервера, а не навпаки, і що ви могли, в принципі, налаштувати переадресацію агента вручну (хоча не було б так багато сенсу, оскільки складність його налаштування призведе до поразки точки зручності пересилання агентів).


Хороша новина: дякую, що вказали на потрібну клавішу! Погана новина: Мабуть, це відома помилка на openssh-сервері. Здається, в якийсь момент це було виправлено, але я не думаю, що я працюю в достатньо актуальній версії - я отримую "Неправильний параметр конфігурації: AllowAgentForwarding", коли я намагаюся це ввімкнути. Схоже, вимкнено оновлення завантаження мого програмного забезпечення (знову ...)
Coderer

1
@Coderer: Оскільки переадресація агента за замовчуванням увімкнена, цього має бути достатньо, щоб видалити будь-яку AllowAgentForwardingлінію з sshd_config.
Жил "ТАК - перестань бути злим"

@Gilles Якщо хтось хотів вручну налаштувати переадресацію агента для існуючого сеансу, як би їм це зробити? Це справжня потреба в забезпеченні сценаріїв, що використовуються для ефемерних машин, таких як AMI, які поставляються з AllowAgentForwardingвідключеними.
Ендрю Де Андраде

@AndrewDeAndrade Для вже існуючого сеансу ви завершили роботу. Якщо ви мали намір налаштувати переадресацію агента, навіть якщо його відключено на сервері, вам потрібно переслати unix-сокет через TCP; це слід зробити з мережею чи сокатом з обох сторін.
Жил 'ТАК - перестань бути злим'

@Gilles Це висновок і я прийшов. Я з’ясував, що ви також можете використовувати спійований, який є більш захищеним, але вимагає симетричного обміну ключами, але після цього простіше.
Ендрю Де Андраде

14

Хоча ви вже маєте правильну відповідь від @Gilles вище, я хотів би зазначити, що AllowAgentForwardingвін підтримується лише у OpenSSH 5.1.

Сервери OpenSSH до 5.1, із того, що я бачив у вікні RHEL 4u5, дозволяють переадресацію агента за замовчуванням. Тож якщо ваш сервер старше 5.1 і переадресація агента не працює, проблема, ймовірно, у ssh-клієнті. Оскільки пересилання, здається, працює для деяких машин для вас, здається, що /etc/ssh/ssh_configналаштування добре. Перевірте, ~/.ssh/configчи є якийсь виняток, зроблений для відключення переадресації агента для порушених вікон.

Посилання: http://www.openssh.org/txt/release-5.1


привіт Сандіпе, ти маєш уявлення про це? superuser.com/questions/958978/…
Нікс
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.