linux-l: Wer hat SSH richtig verstanden...,

[Frank Reker]

Am Wed 12. Sep 2001 22:59 +0200 schrieb Alexander Stielau:

>Mike Fehla <mike.fehla at gmx.de> writes:
>
>> > hast du denn ~/.ssh/identity.pub bzw. ~/.ssh/id_dsa.pub
>> > in ~/.ssh/authorized_keys bzw.~/.ssh/authorized_keys2 umbenannt?
>> 
>> Nein, warum eigentlich? Ich habe genau die defaults belassen, eben
>> ~/.ssh/identity.pub usw. Trotzdem ist das eine gute Frage. In der Datei
>
>Weil der public-key das Gegenstück ist, was auf dem anderen Rechner in
>$HOME/.ssh/authorized_keys liegen muß, damit eine Authentifizierung
>mittels Schlüssel überhaupt probiert wird.
>
>Du mußt ssh-keygen auf deinem lokalen System ausführen und den
>identity.pub auf den Rechner in ~/.ssh/ schiessen, auf dem Du Dich
>konnecten willst. Dann machst Du DORT ein cat identity.pub >>
>authorized_keys. Einen Schlüssel auf dem Server zu generieren ist
>unnötig.

Nichts gegen deine Ausf"uhrungen, aber so kann das etwas missverstanden
werden. Also nochmal langsam:
Natuerlich braucht auch der Server einen Schluessel, damit er sich 
gegenueber dem Client identifizieren kann. Dies machst du aber als
root - nicht als User. Fuer die User-authentifizierung musst du auf 
Client-, und nur auf Client-seite ein Schluesselpaar generieren.
Den public-key auf Client-seite, muss dann auf Server-seite in
die .ssh/authorized_keys geschrieben werden. In dieser Datei koennen
mehrere keys stehen, von daher nicht einfach ueberschreiben, sondern
anhaengen!
Ein einfaches cat identity.pub >> authorized_keys funzt also nur,
wenn das home-verzeichnis auf beiden seiten identisch ist, denn
identity.pub liegt auf Client-seite und authorized_keys auf server-seite!!


Im uebrigen ist es sinnvoll mit ssh-agent zu arbeiten, dann musst du 
naemlich nicht bei jedem login deine Passphrase neu eintippen.
D.h. du startest auf Clientseite den ssh-agent, die Ausgabe schreibst
du dann in die .bashrc, bzw. fuehrst sie auf jedem Terminal aus.
Dann fuegst du deinen key mit ssh-add .ssh/identity hinzu (Passphrase
eintippen). Wenn du jetzt noch in die .ssh/config ``ForwardAgent yes''
reinschreibst, dann kannst du ssh benutzen ohne eingabe irgendeines
Passwortes, bzw. Passphrase.
Achtung, die Prozedur mit ssh-agent und ssh-add musst du natuerlich
nach jedem reboot erneut ausfuehren!


-- 
Don't worry, be happy...
Ciao tex
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 232 bytes
Beschreibung: nicht verfügbar
URL         : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20010913/603807ea/attachment.sig>