[SOLVED] 1 SSH-Keypair für mehrere Server?

[Simmel]

Hallo Leute,

seit langem habe ich mal wieder eine Frage bzw. ein Problem und ich hoffe das es auch gelöst werden kann.

Ich habe hier mehrere Rechner auf denen ich arbeite. Es sind so an die 30 Stück, 5 von diesen Rechnern sind "nach draussen" erreichbar, der Rest der Rechner ist nur über die anderen 5 zu erreichen.

Momentan ist es so, das mein Kollege und ich auf den 5 Rechnern Keys erstellt haben und dann die 5 Public-keys auf alle anderen Rechner verteilt haben. Wir wollten aber in Zukunft den sshd auf "Keys only" umstellen.

Das Problem das sich dann ergibt:

Ist man auf einem internen Rechner kann man einen anderen internen Rechner nicht mehr erreichen, sondern muss zurück auf einen der 5 Rechner, um von dort wieder auf einen anderen internen zu gelangen (Da sich auf den internen Systemen ja nur die Pubkeys der 5 Systeme befinden).

Was ich gerne erreichen würde ist, 1 KEYPAIR das auf ALLEN Rechner läuft, also sowas wie ein Gemeinschaftsschlüssel, damit ich wirklich von jedem Rechner auf jeden kommen kann, ohne den Umweg über die "5 Systeme" zu machen und ohne auf jedem System ein SSH-Keypair erstellen zu müssen und dann die riesige Kopierorgie zu starten.

Es werden bald noch mehr Systeme und es ist halt vom Aufwand her echt übel.

Jemand eine Idee oder vll. einen Link zu einer Anleitung? Kann ja nicht sein das ich der einzige bin mit so einem Problem?


Thx in advance for your help,
s1mmel

[syssi]

Was spricht denn dagegen, dass in deinem ".ssh" Ordner auf jedem Server die gleichen drei Dateien liegen: id_rsa, id_rsa.pub, authorized_keys

Wobei der Inhalt der authorized_keys mindestens id_rsa.pub entsprecht. Der goldene Weg waere vermutlich Kerberos mit Single Sign-on.

[Simmel]

Was spricht denn dagegen, dass in deinem ".ssh" Ordner auf jedem Server die gleichen drei Dateien liegen: id_rsa, id_rsa.pub, authorized_keys

Wobei der Inhalt der authorized_keys mindestens id_rsa.pub entsprecht. Der goldene Weg waere vermutlich Kerberos mit Single Sign-on.

Kerbereos ist leider keine Lösung, da wir verschiedene Distris und Versionen haben, das funzt leider nicht in der Form.


Das mit einem Schlüssel auf alle Systeme wäre schon super, das habe cih ansatzweise schon versucht bin aber leider nicht erfolgreich gewesen.

Wie genau müssten diese Schlüssel denn aussehen? Normalerweise stehen am Ende des Schlüssels doch immer die User@host Informationen. Muss ich das rausnehmen, oder aber immer wieder den gleichen Key in die Datei copy/pasten und hinten user@host abändern, bis ich alle durch habe?

Wäre super wenn du mir das sagen könntest..

Danke,
Jens

[hanta]

Hi,

das @host am ende ist eigentlich egal, zumindest hat es bei mir nie Probleme gemacht, Optisch ist es natuerlich schoener wenn man das @host raus nimmt.
Schau dir nach dem kopieren mal die Rechte von .ssh und der Dateien darin an, darueber stolpere ich regelmaessig, eigentlich sollte nur der Owner Rechte haben also 0600 bzw, 0700.

Du kannst auch nach dem kopieren einfach mal ein "tail -f /var/log/auth.log|grep sshd" auf dem client machen und dich dann per ssh ein zweites mal connecten, wenn es Probleme gibt sollten die da auftauchen.

vg

[Profbunny]

evtl über .ssh/.config

http://wiki.schokokeks.org/Key-Login_%2 ... 28Linux.29

[Simmel]

Hallo,

sry war recht busy, aber ich habe es jetzt hinbekommen! Das Problem war das Putty und Openssh out of the box nicht direkt funzen.

Ich habe nun auf unserem Adminserver unter Linux die keys erstellt --> id_rsa (privat) und id_rsa.pub... Den id_rsa.pub habe ich dann auch direkt auf authorized_keys kopiert und diese 3 Dateien in meine /home/<user>/.ssh gelegt. chmod 600 auf die Dateien bzw. 700 aufs dir und schon hat es funktioniert, klasse!


Danach habe ich mit puttygen.exe den privaten Key eingeladen und als putty-Key gespeichert und siehe da, klappt alles 100%

Danke für die Hilfe,
s1mmel