SSH mit und ohne Keyfile gleichzeitig

[roli]

Hi,

ist es moeglich einen SSH Server so zu konfigurieren, das einzelne User sich mit einen Keyfile anmelden, und andere ganz herkoemmlich mit User und Passwort?

Danke

[ThorstenS]

ja


Die Benutzung eines keyfile ist in der Standardeinstellung des sshd nicht zwingend aber wenn es klappt, reicht es zur Anmeldung aus.

[roli]

Hi,

was muss ich denn dafuer in der Konfiguration machen? Wenn ich "PasswordAuthentication no" setze, dann komme ich ohne Key nicht mehr rein. D.h. wenn ich's auf yes setze, wird geprüft ob ein Key für diesen User vorhanden ist, und wenn nicht halt "normal" nach User und Passwort gefragt?

[Duff]

Du könntest auch noch sowas einbringen:

Code: Alles auswählen

AllowUsers user1
AllowGroups sshgroup

Damit dürfen sich nur bestimmte user oder noch besser bestimmte Gruppen am sshd anmelden.

Wie das allerdings mit dem keyfile für bestimmte User funktioniert, weiß ich leider auch nicht.

[roli]

Hi,

die Menge der User moechte ich nicht einschränken. Es geht halt drum das User x,y,z sich konventionell mit Username und Passwort anmelden und User g sich mittels Keyfile anmelden soll/kann.

[ThorstenS]

Zwischen soll und kann ist ein himmelweiter Unterschied.

Kann ist immer gegeben, soll ist schwieriger zu realisieren. Ich wüßte momentan nicht wie man das unterscheiden sollte ausser an PAM rumzudrehen.

[roli]

Zwischen soll und kann ist ein himmelweiter Unterschied.

Kann ist immer gegeben, soll ist schwieriger zu realisieren. Ich wüßte momentan nicht wie man das unterscheiden sollte ausser an PAM rumzudrehen.

Ok, beschränken wir uns mal auf das kann. Mir ist nicht wirklich klar wie ich das einstelle. Wenn ich PasswordAuthentication no setze, ist's doch Essig mit der konventionellen anmelderei, oder? Andersherum, wenn es auf yes steht, habe ich das was ich bislang darueber gelesen habe jedenfalls nicht so verstanden, das dann der Login mit KeyFile auch geht.

[dillo]

Hallo,

wenn PasswordAuthentication yes (bzw #PasswordAuthentication no) und PubkeyAuthentication yes gesetzt ist, geht Anmeldung mit Passwort und/oder mit Schlüssel. Es wird abgefragt ob ein passender Schlüssel vorhanden ist und wenn nicht nach dem Passwort gefragt.

mit

Code: Alles auswählen

ssh -vvv user@remotehost

kannst du das mitverfolgen.

Mit Schlüssel:

....
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey,password
debug1: Offering public key: /home/tomsax/.ssh/id_dsa
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
debug1: Server accepts key: pkalg ssh-dss blen 433
debug2: input_userauth_pk_ok: fp ...................
debug3: sign_and_send_pubkey
debug1: read PEM private key done: type DSA
debug1: Authentication succeeded (publickey).

Ohne Schlüssel:

....Authentications that can continue: publickey,password
debug1: Offering public key: /home/tomsax/.ssh/id_dsa
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey,password
debug2: we did not send a packet, disable method
debug3: authmethod_lookup password
debug3: remaining preferred: ,password
debug3: authmethod_is_enabled password
debug1: Next authentication method: password

Gruß, dillo

[Danielx]

Ja, genau!

Wenn bei der Ausgabe (von z.B. "ssh -v Server_Adresse") hinter "debug1: Authentications that can continue:" mindestens "publickey" und "password" steht, dann kann man sich auf dem Server mit Key oder, falls nicht vorhanden, mit Passwort anmelden.

Gruß,
Daniel

[nepos]

ssh geht beim Einloggen eine Reihe von Verfahren zur Authentisierung durch. Per Default ist es so, dass er zuerst publickey versucht, wenn das nicht klappt, den Fallback auf password macht.

[roli]

wenn PasswordAuthentication yes (bzw #PasswordAuthentication no) und PubkeyAuthentication yes gesetzt ist, geht Anmeldung mit Passwort und/oder mit Schlüssel. Es wird abgefragt ob ein passender Schlüssel vorhanden ist und wenn nicht nach dem Passwort gefragt.

Super, das war's

Vielen Dank