hallo,
wie kann ich den ssh-server so konfigurieren das
a) ein login nur mittels key erlaubt wird
UND
b) ein login mittels key bzw. passwort erlaubt wird
hintergrund:
a) ich möchte einigen usern einen fernzugriff per ssh erlauben, da ich aber ihren passwörtern nicht traue soll nur ein login per key möglich sein.
b) da ich des öfteren auf den server zugreifen muss und nicht immer meinen key dabeihabe soll für mich die option der passworteingabe möglich sein
bei google & co hab ich schon gesucht - nicht's gefunden, und suchfunktion hier läuft ja z.zt. nicht
bin für jeden tipp dankbar.
gruss willy.
ssh - login: key und/oder passwort
-
green_martian
- Beiträge: 19
- Registriert: 01.07.2004 11:36:37
- Wohnort: Aurich
Hallo,
Vielleicht hilft Dir das hier weiter.
Wenn Du nur den Schlüssel für die Clients einrichtest und die Passwörter nicht herausgibts, sollte das ja den Zweck erfüllen.
Auf dem Server mit "ssh-keygen -t rsa" den Schlüssel generieren.
Beim generieren des Schlüssels wird nach einer Passphrase gefragt.
Wird diese ohne Eingabe bestättigt, ist die Verbindung ohne Passwort anhand des Schlüssels möglich.
Dieser Schlüssel liegt dann im entsprechenden Home-Verzeichnis in der Datei ".ssh/id_rsa.pub."
Auf Linux- bzw. Unix-Clients wird diese Datei dann entsprechend in das Verzeichnis ".ssh " hineinkopiert, gegebenenfalls das Verzeichnis erstellen, dort die Datei dann in "authorized_keys" umbenennen. Fall's die Datei vorhanden ist dann einfach den Inhalt von "id_rsa.pub" dort hineinkopieren.
Allerdings weiß ich nicht ob und wie es auf Windows-Clients und Putty läuft.
Mfg green martian
Vielleicht hilft Dir das hier weiter.
Wenn Du nur den Schlüssel für die Clients einrichtest und die Passwörter nicht herausgibts, sollte das ja den Zweck erfüllen.
Auf dem Server mit "ssh-keygen -t rsa" den Schlüssel generieren.
Beim generieren des Schlüssels wird nach einer Passphrase gefragt.
Wird diese ohne Eingabe bestättigt, ist die Verbindung ohne Passwort anhand des Schlüssels möglich.
Dieser Schlüssel liegt dann im entsprechenden Home-Verzeichnis in der Datei ".ssh/id_rsa.pub."
Auf Linux- bzw. Unix-Clients wird diese Datei dann entsprechend in das Verzeichnis ".ssh " hineinkopiert, gegebenenfalls das Verzeichnis erstellen, dort die Datei dann in "authorized_keys" umbenennen. Fall's die Datei vorhanden ist dann einfach den Inhalt von "id_rsa.pub" dort hineinkopieren.
Allerdings weiß ich nicht ob und wie es auf Windows-Clients und Putty läuft.
Mfg green martian
danke erstmal für die antwort,
geht leider so nicht:
die user brauchen ihr passwort um sich intern an eine smb-domäne anmelden zu können.
die userdaten werden intern per nis verteilt und somit sind diese dann auch am ssh-login-server verfügbar.
die sache mit win und putty/winscp ist kein problem - die user müssen ihren key mit puttygen erstellen und den öffentlichen schlüssel intern auf den server kopieren der rest wird dann von nem script erledigt.
gruss willy.
geht leider so nicht:
die user brauchen ihr passwort um sich intern an eine smb-domäne anmelden zu können.
die userdaten werden intern per nis verteilt und somit sind diese dann auch am ssh-login-server verfügbar.
die sache mit win und putty/winscp ist kein problem - die user müssen ihren key mit puttygen erstellen und den öffentlichen schlüssel intern auf den server kopieren der rest wird dann von nem script erledigt.
gruss willy.
hab ich auch schon dran gedacht, wollt ich aber vermeiden...
hast du sowas am laufen?
ich würd so vorgehen:
die datei /etc/init.d/ssh anpassen
- beim aufruf des daemon's den parameter -f <config> übergeben, jeweils 2x ; also "start-stop-daemon .... /usr/sbin/sshd -f /etc/ssh/config1"
- und die pid-files jeweils ändern.
das sollte es eigendlich gewesen sein oder ist nochwas zu beachten?
gruss willy.
hast du sowas am laufen?
ich würd so vorgehen:
die datei /etc/init.d/ssh anpassen
- beim aufruf des daemon's den parameter -f <config> übergeben, jeweils 2x ; also "start-stop-daemon .... /usr/sbin/sshd -f /etc/ssh/config1"
- und die pid-files jeweils ändern.
das sollte es eigendlich gewesen sein oder ist nochwas zu beachten?
gruss willy.
In der Firma habe ich so eine Konfiguration mal eingerichtet. Ich habe dazu das komplette /etc/ssh Verzeichnis dupliziert. Dadurch hat der zweite Server seine komplett eigene Konfiguration. Du hast dann z.B. ein Verzeichnis /etc/ssh2. In der sshd_config musst Du vor allem die Portnummer ändern.
Anschließend kopierst du das Startscript /etc/init.d/ssh nach /etc/init.d/ssh2 und ersetzt dort alle Referenzen auf /etc/ssh durch /etc/ssh2. Evtl. musst Du die Konfigurationsdatei auch explizit angeben, falls die Angabe bisher fehlt und automatisch die Standarddatei verwendet.
Nun noch Links in den /etc/rc* Verzeichnissen erstellen (ebenfalls analog zu den schon vorhandenen Links auf den ersten ssh server).
Fertig. Eigentlich kannst Du damit nicht viel kaputt machen - im schlimmsten Fall läuft der zweite Server nicht, aber den ersten lässt Du ja vollständig unverändert.
Siehe dazu auch den damals von mir zu diesem Thema gestarteten Thread.
Hardhat
Anschließend kopierst du das Startscript /etc/init.d/ssh nach /etc/init.d/ssh2 und ersetzt dort alle Referenzen auf /etc/ssh durch /etc/ssh2. Evtl. musst Du die Konfigurationsdatei auch explizit angeben, falls die Angabe bisher fehlt und automatisch die Standarddatei verwendet.
Nun noch Links in den /etc/rc* Verzeichnissen erstellen (ebenfalls analog zu den schon vorhandenen Links auf den ersten ssh server).
Fertig. Eigentlich kannst Du damit nicht viel kaputt machen - im schlimmsten Fall läuft der zweite Server nicht, aber den ersten lässt Du ja vollständig unverändert.
Siehe dazu auch den damals von mir zu diesem Thema gestarteten Thread.
Hardhat