SSH Publickey geht nicht

krasnoj · Beitrag von **krasnoj** » 04.03.2007 00:13:16

Ich möchte mich Passwortlos mit SSH anmelden.

Also

ssh -keygen -t dsa

eingegben und am remote Host es in die authorized_keys eingetragen. Um von einem Fedora mit statischer IP auf meinen Rechner (Debian testing, dyn. IP, dyndns Account) zu zugreifen war dies auch ausreichend.

Umgekehrt ging jedoch leider nichts, Mit dem Laptop LAN intern klappte es auch problemlos. Nur auf extern geht es nicht.

Ich habe mal mit ssh localhost auf mich selber probiert, aber das ging auch nicht:

Code: Alles auswählen

 ssh -v -v -v -o PreferredAuthentications=publickey krasnoj@amdsuicide

siehe: http://nopaste.debianforum.de/5295 bzw. der Daemon: http://nopaste.debianforum.de/5296

Mit Passwort geht die Authentifizierung problemlos. Woran könnte es liegen?

Danke für alle, die sich die Mühe machen, sich damit zu beschäftigen und im voraus schon danke für alle Antworten.

Übrigens: bevor jemand sagt: Frag Google: Ich habe schon mehrere Tutorials durchprobiert, ohne Erfolg.
lg krasnoj

Savar · Beitrag von **Savar** » 04.03.2007 00:48:41

der Server auf den du dich passwortlos verbinden willst, ist da folgendes in der sshd_config gesetzt?

PubkeyAuthentication yes

krasnoj · Beitrag von **krasnoj** » 04.03.2007 00:54:51

Savar hat geschrieben:der Server auf den du dich passwortlos verbinden willst, ist da folgendes in der sshd_config gesetzt?

PubkeyAuthentication yes

Ja. Ist gesetzt.

Code: Alles auswählen

krasnoj@amdsuicide:~$ grep Pubkey /etc/ssh/sshd_config
PubkeyAuthentication yes

Ich habe jetzt die vollständige Datei unter http://nopaste.debianforum.de/5297 rein gestellt.

Ich glaube aber nicht, dass der Fehler in dieser Datei liegt, da laut diff kein Unterschied zur Datei von meinem Laptop existiert und auf dem Laptop funktioniert ssh localhost passwortfrei.

lg Stefan

Savar · Beitrag von **Savar** » 04.03.2007 00:58:15

Ok nochmal von vorne..

1. Also du willst von deinem Laptop auf einen Server zugreifen?
2. Du hast auf deinem Laptop einen Public und einen Private Key?
3. Du hast den Public Key von deinem Laptop in ~/.ssh/authorized_keys des Servers eingetragen?

krasnoj · Beitrag von **krasnoj** » 04.03.2007 01:14:03

Savar hat geschrieben:Ok nochmal von vorne..

1. Also du willst von deinem Laptop auf einen Server zugreifen?

Es gibt drei Rechner. Jeder soll auf jeden passwortfrei zugreifen können. Die Namen sind:
tuxicid: Laptop, Debian Testing, priv. Netz, bzw. dynIP
amdsuicide: fixpc, Debian Testing, priv. Netz, bzw. dynIP, zusätzlich dyndns.org Adresse (extern, Portforwarding)
zid-gpl: Fedora, statische IP

amdsuicide und tuxicid, befinden sich im gleichen privaten Netz und sind beide über einen Router mit dem Inet verbunden. Der Router selber hat eine dyn IP.

Savar hat geschrieben: 2. Du hast auf deinem Laptop einen Public und einen Private Key?

genau.

Savar hat geschrieben: 3. Du hast den Public Key von deinem Laptop in ~/.ssh/authorized_keys des Servers eingetragen?

Im Moment habe ich auf amdsuicide eingetragen: tuxicid (Laptop), zid-gpl und den amdsuicide selber.

Im Moment funktioniert:
von ZID-GPL überall hin.
vom Laptop auf den Fixpc
vom Laptop auf den Laptop selber.

Nicht funktioniert:
vom Laptop auf ZID-GPL
vom Fixpc auf zid-gpl
vom Fixpc auf den Fixpc selber. (ssh localhost)
vom Fixpc auf Laptop

Hoffe es jetzt klarer gemacht zu haben. Danke auf jeden Fall für deine Mühe und deine schnelle Antwort.

lg krasnoj

Savar · Beitrag von **Savar** » 04.03.2007 01:16:25

wie sehen denn die authorized_keys der einzelnen Rechner aus?

Savar · Beitrag von **Savar** » 04.03.2007 01:19:57

sorry, bin fix und alle.. gehe erstmal ins Bett.. antworte aber morgen sicherlich.. nur das du nicht auf eine Antwort von mir wartest (vielleicht schreibt ja ein anderer)...

gn8

krasnoj · Beitrag von **krasnoj** » 04.03.2007 01:38:56

Savar hat geschrieben:wie sehen denn die authorized_keys der einzelnen Rechner aus?

http://nopaste.debianforum.de/5298 unter diesem Link habe ich dir sämtliche Dateien reingestellt.

Die Keys für amdsuicide habe ich frisch neu erstellt, damit ja sämtliche Experimente von mir (händisches ändern Hostnamen) rückgängig gemacht wurden.

Die Dateiberechtung für id_dsa ist -rw-------, sollte aber passen, da in keiner Fehlermeldung gemotzt wurde.

lg krasnoj

krasnoj · Beitrag von **krasnoj** » 04.03.2007 01:41:21

Savar hat geschrieben:sorry, bin fix und alle.. gehe erstmal ins Bett.. antworte aber morgen sicherlich.. nur das du nicht auf eine Antwort von mir wartest (vielleicht schreibt ja ein anderer)...

gn8

Danke für die Warnung. Kämpfe auch gegen den Schlaf. Werde auch schlafen gehen. Danke, dass dir so eine Mühe gibst, weil ich weiß langsam echt nciht mehr, woran das liegen könnte.

Dann wünsche ich dir eine gute Nacht.
gn8

Savar · Beitrag von **Savar** » 04.03.2007 08:55:08

Code: Alles auswählen

Mar 4 00:05:39 localhost sshd[13568]: debug1: trying public key file /home/krasnoj/.ssh/authorized_keys
Mar 4 00:05:39 localhost sshd[13568]: debug3: secure_filename: checking '/home/krasnoj/.ssh'
Mar 4 00:05:39 localhost sshd[13568]: debug3: secure_filename: checking '/home/krasnoj'
Mar 4 00:05:39 localhost sshd[13568]: debug3: secure_filename: terminating check at '/home/krasnoj'
Mar 4 00:05:39 localhost sshd[13568]: debug1: restore_uid: 0/0
Mar 4 00:05:39 localhost sshd[13568]: debug2: key not found
Mar 4 00:05:39 localhost sshd[13568]: debug1: temporarily_use_uid: 1000/1000 (e=0/0)
Mar 4 00:05:39 localhost sshd[13568]: debug1: trying public key file /home/krasnoj/.ssh/authorized_keys2
Mar 4 00:05:39 localhost sshd[13568]: debug1: restore_uid: 0/0
Mar 4 00:05:39 localhost sshd[13568]: debug3: mm_answer_keyallowed: key 0x80ac148 is disallowed
Mar 4 00:05:39 localhost sshd[13568]: debug3: mm_request_send entering: type 22
Mar 4 00:05:39 localhost sshd[13568]: debug3: mm_request_receive entering
Mar 4 00:05:39 localhost sshd[13568]: debug1: do_cleanup

Da liegt der Fehler... mach mal auf dem Server bitte folgendes (dem externen)

Code: Alles auswählen

ls -ld /home/krasnoj
ls -ld /home/krasnoj/.ssh
ls -l /home/krasnoj/.ssh/*

krasnoj · Beitrag von **krasnoj** » 04.03.2007 14:22:03

Savar hat geschrieben: [...]
Da liegt der Fehler... mach mal auf dem Server bitte folgendes (dem externen)
Code: Alles auswählen
ls -ld /home/krasnoj
ls -ld /home/krasnoj/.ssh
ls -l /home/krasnoj/.ssh/*

Gepostet unter: http://nopaste.debianforum.de/5301 und zwar für alle drei Rechner. Zu beachten: Auf dem externen Rechner (AFS Home) heißt der Benutzer CSAE8252.
Damit könntest recht haben. Ich habe jetzt auf dem Laptop chmod 700 /home/krasnoj eingegeben und ich kann mich auf den Laptop passwortfrei anmelden. Das selbe auf dem Fixpc und jetzt kann ich mich auch auf den Fixpc passwortfrei anmelden.

Was immer noch nicht geht:
vom Laptop auf zid-gpl
vom Fixpc auf zid-gpl

Danke für die Hilfe

lg krasnoj

krasnoj · Beitrag von **krasnoj** » 04.03.2007 15:23:36

Habe grad auf http://www.uibk.ac.at/zid/software/unix ... ickey.html folgenden Text gefunden:

Beachten Sie, dass die public key Authentifizierung nicht auf Servern funktioniert, auf denen Benutzer Ihre HOME Verzeichnisse auf AFS haben, was beispielsweise beim LPCCS (und speziell dem Server zid-gpl.uibk.ac.at) der Fall ist.

Scheint also leider überhaupt nicht zu gehen, sofern der Server AFS verwendet. Kann ich aber irgendwie nicht glauben, weil es Uni intern geht. (von Uni PCs auf den ZID-GPL). Auch haben mir andere schon erzählt, dass sie es von daheim aus schafften.

Trotzdem noch einmal vielen Dank für die Hilfe.

Schönen Sonntag noch
krasnoj

Savar · Beitrag von **Savar** » 05.03.2007 11:10:08

was gibt dir denn "ssh -vvv" wenn du dich auf den Server einloggen willst (ich denke nicht das du den sshd auf dem Server im Debug starten kannst, oder?)

krasnoj · Beitrag von **krasnoj** » 05.03.2007 16:47:31

Savar hat geschrieben:was gibt dir denn "ssh -vvv" wenn du dich auf den Server einloggen willst

http://nopaste.debianforum.de/5308

Savar hat geschrieben: (ich denke nicht das du den sshd auf dem Server im Debug starten kannst, oder?)

Leider richtig.

lg krasnoj

Savar · Beitrag von **Savar** » 05.03.2007 17:24:02

Ja tut mir Leid

ich seh da natürlich nix weil es am Server liegt.. wenn du alle Dateiberechtigungen auf dem Server geprüft hast, kann ich nicht mehr viel machen..

Einzige Idee noch.. mit welchen Rechten läuft der SSHD auf dem Server (ps ax | grep sshd) ? Vielleicht ist er ja nicht als root unterwegs und du müsstest die authorized_keys für irgendeine Gruppe lesbar machen..

krasnoj · Beitrag von **krasnoj** » 05.03.2007 19:00:56

Savar hat geschrieben:Ja tut mir Leid ich seh da natürlich nix weil es am Server liegt.. wenn du alle Dateiberechtigungen auf dem Server geprüft hast, kann ich nicht mehr viel machen..

Trotzdem Herzlichen Dank für deine bisherige Hilfe.

Savar hat geschrieben:Einzige Idee noch.. mit welchen Rechten läuft der SSHD auf dem Server (ps ax | grep sshd) ? Vielleicht ist er ja nicht als root unterwegs und du müsstest die authorized_keys für irgendeine Gruppe lesbar machen..

Er läuft als root, bzw. als mein eigener User, sobald ich eingelogt bin. AFS verwendet Kerberos IPSec Tokens. Das Problem ist: Nicht einmal root hat Lesezugriff auf das AFS Filesystem, bevor der Token erstellt wurde. Ev. funktioniert es, wenn ich schaffe, mir den Token irgendwie zu besorgen, und entweder das AFS Lokal zu mounten oder noch besser, den Token über SSH mitzuschicken.

Einfach zweimal gleichzeitig mit SSH einzuloggen ist mal definitiv zu wenig

lg krasnoj