SSH public key

[Octeron]

Hallo,

ich habe mir einen public key erstellt und diesen auf einen anderen Server getan. Local kann ich mich mit "ssh localhost" mit meinem fingerprint einlogen. Aber sobald ich mich extern auf den Zielrechner einlogen will geht es nicht. Er will immer das "normale" Passwort haben. Nicht den Passpharse. Wenn ich es manuell eingebe [ ssh user@hostname -i ~/.ssh/authorized_keys ~/s pub start 01 ] dann will er auch den Passpharse haben, aber er ist immer falsch, obwohl ich ihn richtig eingeben.
Hier die Zielrechnerconfig von sshd [es sollte wohl hierran liegen]:

Code: Alles auswählen

# Package generated configuration file
# See the sshd(8) manpage for defails

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# ...but breaks Pam auth via kbdint, so we have to turn it off
# Use PAM authentication via keyboard-interactive so PAM modules can
# properly interface with the user (off due to PrivSep)
PAMAuthenticationViaKbdInt no
# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 3600
#ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 600
PermitRootLogin yes
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

# rhosts authentication should not be used
RhostsAuthentication no
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
IgnoreUserKnownHosts no



# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Uncomment to disable s/key passwords
#ChallengeResponseAuthentication no

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes


# To change Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#AFSTokenPassing no
#KerberosTicketCleanup no

# Kerberos TGT Passing does only work with the AFS kaserver
#KerberosTgtPassing yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
#PrintLastLog no
KeepAlive no
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net
#ReverseMappingCheck yes

Subsystem       sftp    /usr/lib/sftp-server

Ich möchte mich normal und mit Passpharse einlogen können.
Was jemand was ich falsch gemacht habe bzw. wie ich mich mit beiden Möglichkeiten einlogen kann?

[spiffi]

Hm, ich glaube da hast Du was mißverstanden. Der Parameter -i gibt das Private Key File an, das zur Anmeldung verwendet werden soll.
~/.ssh/authorized_keys enthält eine Liste aller Public Keys, die sich auf dem lokalen Rechner anmelden dürfen.
Der Private Key findet sich per default in der Datei ~/.ssh/identity (Protokoll Version 1) bzw. ~/.ssh/id_rsa oder ~/.ssh/id_dsa (Protokoll Version 2).
Hast Du Deinen Public Key an die authorized_keys auf dem Zielrechner angefügt?

[Octeron]

Jap.
Der Key ist in der Datei.

[spiffi]

Und Du hast auch den passenden Private Key dazu in einer der oben genannten Dateien auf dem lokalen Rechner? Hast Du mal versucht, diese Datei mit -i anzugeben?

[Octeron]

Hi,

ich habe mal die genau Reihenfolge kopiert:

Code: Alles auswählen

--> Zielrechner
server:~$ ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/home/user/.ssh/id_dsa): /home/user/.ssh/id_dsa
Created directory '/home/user/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/id_dsa.
Your public key has been saved in /home/user/.ssh/id_dsa.pub.
The key fingerprint is:
b8:d5:02:a8:xxxxxxxxxxxxxx user@xxx.xx
server:~$ cd .ssh
server:~/.ssh$ cp id_dsa.pub authorized_keys
server:~/.ssh$ ls -l
total 12
-rw-r--r--    1 user      users         615 May  4 20:52 authorized_keys
-rw-------    1 user      users         744 May  4 20:50 id_dsa
-rw-r--r--    1 user      users         615 May  4 20:50 id_dsa.pub
server:~/.ssh$ ssh localhost
The authenticity of host 'localhost (127.0.0.1)' can't be established.
RSA key fingerprint is 20:9e:71:xxxxxxxxxxxxxxxx
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'localhost' (RSA) to the list of known hosts.
Enter passphrase for key '/home/user/.ssh/id_dsa':

Last login: Tue May  4 19:18:03 2004 from localhost
user@server:~$ exit
logout
Connection to localhost closed.

--> client

ssh user@xx.xx
The authenticity of host 'xx.xx (xx.xx.xx.xx)' can't be established.
RSA key fingerprint is 20:9e:xxxxxxxxxx.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'xx.xx,xx.xx.xx.xx' (RSA) to the list of known hosts.
user@xx.xx's password:
Permission denied, please try again.
user@xx.xx's password:
Permission denied, please try again.
user@xx.xx's password:
Permission denied (publickey,password,keyboard-interactive).

Was habe ich falsch gemacht?
Beide Configs auf beiden Rechnern sind gleich.

[spiffi]

Der Private Key gehört auf den Client, nicht auf den Server!

[Octeron]

danke