ssh-login mit und ohne key-file

[Pischti]

hi,
ich brauche hätte gern auf einem rechner einen
- passwortlosen ssh-zugang (mit key-file),
- einen mit passwort (ohne keyfile)
- und einen für fernzugang mit passwort+keyfile.
kann man das dem sshd beibringen, dass alle drei varianten gleichzeitig funktionieren ?

hab dazu schon (fast alle) beiträge im forum gelesen. nur den fall wollte noch niemand ..

[gms]

also so wie du das beschrieben hast, mußt du ja nur zwei key-files erstellen. Dem einen gibst du ein passwort dem anderen nicht. Dann läßt du noch PasswortAuthentication zu und die Sache hat sich

Gruß
gms

[Pischti]

hm, so wie dich dich verstanden, meinst du ein key-file mit passphrase. das meine ich aber nicht

folgendes szenario- alle wollen auf den rechner worker1:

- user max, moritz und weitere leute sitzen an pc's im lokalen netzwerk und melden sich
ohne keyfile aber mit passwort am rechner worker1 an um dann daran zu arbeiten

- rechner worker2 meldet sich (cronscript mit benutzer root) aus dem lokalen netzwerk ohne
passwort (geht schlecht bei einem script) aber mit keyfile an rechner worker1 an, um hier
die temperaturen zu kontrollieren

- user bart simpson meldet sich von aussen (ppp0) mit keyfile und passwort an worker1 an

so wäre meine wunschvorstellung ...

[dominator]

- user max, moritz und weitere leute sitzen an pc's im lokalen netzwerk und melden sich
ohne keyfile aber mit passwort am rechner worker1 an um dann daran zu arbeiten

telnet

Code: Alles auswählen

- rechner worker2 meldet sich (cronscript mit benutzer root) aus dem lokalen netzwerk ohne
passwort (geht schlecht bei einem script) aber mit keyfile an rechner worker1 an, um hier
die temperaturen zu kontrollieren 

Hm, evtl rsh

Code: Alles auswählen

- user bart simpson meldet sich von aussen (ppp0) mit keyfile und passwort an worker1 an 

sshd, ohne Password-Auth

[Pischti]

könnte man so machen, aber trotzdem noch mal die frage:

kann ich dem sshd beibringen, von bestimmten benutzern ein key-file zu verlangen und von anderen nicht? genauso mit passworteingabe und ohne ?

[herrchen]

folgendes szenario- alle wollen auf den rechner worker1:

- user max, moritz und weitere leute sitzen an pc's im lokalen netzwerk und melden sich
ohne keyfile aber mit passwort am rechner worker1 an um dann daran zu arbeiten

ok, problemlos.

- rechner worker2 meldet sich (cronscript mit benutzer root) aus dem lokalen netzwerk ohne passwort (geht schlecht bei einem script) aber mit keyfile an rechner worker1 an, um hier die temperaturen zu kontrollieren

root erstellt auf worker2 einen key OHNE passphrase und übertragt ihn auf worker1
in /root/.ssh/autorized_keys --> perm=0600

- user bart simpson meldet sich von aussen (ppp0) mit keyfile und passwort an worker1 an so wäre meine wunschvorstellung ...

bart erstellt auf seiner workstation einen key MIT passphrase und überträgt ihn auf
worker1 in /home/bart/.ssh/authorized_keys --> perm=0600

geht das so nicht?
wo *genau* ist das problem

herrchen[/quote]

[Pischti]

das mit dem keyfile kenne ich schon, trotzdem danke

das problem liegt darin, dass ich in der sshd.conf (wie auch immer die heisst, bin gerade nicht an einem lnx) einstelle (sinngemäss):

benötigeKey: yes| no
benötige passwort: yes | no #(damit ist NICHT die passphrase gemeint)

und damit gelten die einstellungen global
wie erreiche ich also, dass root@worker1 mit key-file und ohne passwort sich anmelden kann - dagegen max und moritz ohne keyfile mit passwort reinkommt ..

[herrchen]

wie erreiche ich also, dass root@worker1 mit key-file und ohne passwort sich anmelden kann - dagegen max und moritz ohne keyfile mit passwort reinkommt ..

indem max und moritz kein keyfile haben?
bitte teste zuhause, was ich geschrieben habe.

herrchen

[gms]

hi,
ich brauche hätte gern auf einem rechner einen
- passwortlosen ssh-zugang (mit key-file),
- einen mit passwort (ohne keyfile)
- und einen für fernzugang mit passwort+keyfile.

- passwortlosen ssh-zugang mit key-file
-> für diesen Zugang erstellst du ein key-file ohne passwort/passphrase

- mit passwort ohne key-file
-> dieser user loggt sich ohne key-file ein und wird daher nach seinem Passwort gefragt

- einen für fernzugang mit passwort+keyfile
-> anscheinend gibt es hierzu ein Mißverständis, zumindest haben wir ("herrchen" und ich) dich diesbezüglich falsch verstanden.
Wenn du die Verbindung mittels key-file aufbaust, ist das Passwort des Useraccounts uninteressant, abgefragt wird in diesem Fall das Passwort/Passphrase des key-files (sofern vorhanden). Beide Authentifizierungsmethoden gleichzeitig anzuwenden ist meines Wissens nach nur über Umwege möglich (z.B.: zwei sshd in Serie)

Gruß
gms

[peschmae]

Ich denke mal Pischti hat das alles schon richtig verstanden und möchte nur erreichen dass keiner was "krummes" drehen kann.
d.h. z.B. verhindern dass von aussen ein Zugriff via Userpasswort erfolgen kann, etc - also eine feingranulierte Rechteverteilung

MfG Peschmä

[Pischti]

@peschmae
so isses ...

[gms]

Bei der Serverkonfiguration werden die erlaubten Authentifizierungsmethoden eingestellt und der Client kann sich aus diesen seine bevorzugte Methode aussuchen.

Daher wirst du wohl oder übel zwei Instanzen einrichten müssen. Eine für das LAN mit Passwort und Keyauthentifizierung und eine für außen nur mit Keyauthentifizierung. Dann muß noch sichergestellt werden, daß die erste Instanz nur vom LAN aus erreichbar ist. Ist kein großer Aufwand das zu implementieren.

Gruß
gms