Kommentar von Xenoid als Antwort posten:
Führen Sie ssh -v aus, und Sie erhalten eine vollständige Liste der geprüften Authentifizierungsprotokolle (das letzte ist das verwendete). - xenoid 2. Juli um 20:20 Uhr
HINWEIS: Gutschrift wegen Xenoid
Festlegen des Mechanismus für die Authentifizierung ohne SSH-Passwörter
522
Dave
Ich versuche zu verstehen, mit welchem Mechanismus ich die SSH-Authentifizierung ohne Kennwort erfolgreich durchführen kann. Obwohl die Authentifizierung mit öffentlichen Schlüsseln aktiviert ist, geschieht dies nicht . Ich habe meinen öffentlichen Schlüssel in meiner Berechtigungsschlüssel- Datei auskommentiert. Ich bin mir auch nicht sicher, ob die authorized_keys- Datei meines persönlichen Benutzers ins Spiel kommt, da wir die FreeIPA-LDAP-Implementierung für die Authentifizierung verwenden.
Die clientseitige SSH-Konfiguration lässt es so aussehen, als würde eine hostbasierte Authentifizierung verwendet. Bei der serverseitigen SSH-Konfiguration ist die hostbasierte Authentifizierung jedoch deaktiviert.
Im Folgenden stelle ich alle relevanten Konfigurationsinformationen vor.
Kann mir irgend jemand erklären, wie die Authentifizierung ohne Kennwort geschieht? Wenn nicht, welche zusätzlichen Informationen kann ich zur Verfügung stellen?
Danke im Voraus!
Softwareversionen
CentOS: 7.3.1611
ipa-client.x86_64 4.4.0-14.el7.centos.7
ipa-client-common.noarch 4.4.0-14.el7.centos.7
ipa-common.noarch 4.4.0-14.el7.centos.7
sssd-ipa.x86_64 1.14.0-43.el7_3.18
openssh.x86_64 6.6.1p1-35.el7_3
sssd.x86_64 1.14.0-43.el7_3.18
sssd-ad.x86_64 1.14.0-43.el7_3.18
sssd-client.x86_64 1.14.0-43.el7_3.18
sssd-common.x86_64 1.14.0-43 .el7_3.18
sssd-common-pac.x86_64 1.14.0-43.el7_3.18
sssd-ipa.x86_64 1.14.0-43.el7_3.18
sssd-krb5.x86_64 1.14.0-43.el7_3.18
sssd- krb5-common.x86_64 1.14.0-43.el7_3.18
sssd-ldap.x86_64 1.14.0-43.el7_3.18
sssd-proxy.x86_64 1.14.0-43.el7_3.18
SSH-Client-Konfiguration
PubkeyAuthentication yes
GlobalKnownHostsFile / var / lib / sss / pubconf / known_hosts
ProxyCommand / usr / bin / sss_ssh_knownhostsproxy -p% p% h
Host *
GSSAPIAuthentication ja
SSH-Server-Konfiguration
Im Folgenden stelle ich die sshd-Konfigurationsoptionen zur Verfügung, die ich für relevant halte. Bitte lassen Sie mich wissen, ob der Wert anderer Optionen erforderlich ist. Diese wurden durch Ausführen von sshd -T erhalten und nicht nur durch Kopieren und Einfügen aus / etc / ssh / sshd_config. Sie sollten also das sein, was wirklich in Kraft ist.
AllowTcpForwarding ja
AuthenticationMethods jede
authorizedkeyscommand / usr / bin / sss_ssh_authorizedkeys
AuthorizedKeysFile .ssh / authorized_keys
ChallengeResponseAuthentication ja
Gateway nein
GSSAPIAuthentication ja
gssapicleanupcredentials ja
gssapienablek5users keine
gssapikexalgorithms GSS-Gex-sha1-, GSS-group1-sha1-, GSS-Gruppe14-sha1-
gssapikeyexchange keine
gssapistorecredentialsonrekey kein
gssapistrictacceptorcheck ja
HostbasedAuthentication kein
hostbasedusesnamefrompacketonly keine
IgnoreUserKnownHosts kein
kbdinteractiveauthentication ja
KerberosAuthentication nein
kerberosorlocalpasswd ja
kerberosticketcleanup ja
kerberosusekuserok ja
PasswordAuthentication ja
permitopen jede
permittunnel keine
PermitUserEnvironment keine
PubkeyAuthentication ja
StrictModes ja
usedns keine
UseLogin ohne
UsePAM ja
Führen Sie `ssh -v ` aus, und Sie erhalten eine vollständige Liste der geprüften Authentifizierungsprotokolle (das letzte ist das verwendete).
xenoid vor 5 Jahren
3
Sie können sogar die Ausführlichkeit der Clients mithilfe von 'ssh -vvv user @ host' erhöhen.
tonioc vor 5 Jahren
0
debug1: Authentifizierung erfolgreich (gssapi-with-mic). Authentifiziert an (über Proxy). OK danke. Ich bin nicht mit gssapi-with-mic vertraut, aber jetzt weiß ich, was ich lesen und darüber lernen muss!
Dave vor 5 Jahren
0
So kannst du die Antwort annehmen :)
xenoid vor 5 Jahren
0
Ich denke, es muss als Antwort und nicht als Kommentar hinzugefügt werden. Ich werde annehmen, wenn ich kann! :)
Dave vor 5 Jahren
0
2 Antworten auf die Frage
0
Dave
0
Michael Ströder
Aus Ihrer Paketliste:
sssd-ipa.x86_64 1.14.0-43.el7_3.18
sssd-krb5.x86_64 1.14.0-43.el7_3.18
Von Ihrer SSH-Server-Konfiguration aus:
gssapiauthentication ja
Von Ihrer SSH-Client-Konfiguration aus:
GSSAPIAuthentication ja
Aufgrund Ihrer Informationen gehe ich davon aus, dass Sie Ihren Host als IPA-Client bei FreeIPA registriert haben und wahrscheinlich Kerberos-basierte Einzelanmeldung über GSSAPI verwenden .
Sie haben kinit user@REALM.EXAMPLE.COMvor dem SSH-Login hauptsächlich ein Kerberos-Ticket-Granting-Ticket (TGT) erhalten, das Sie klistzusammen mit den erhaltenen Service-Tickets zusammen mit dem Befehl auflisten können.
Um sicher zu sein, wäre es hilfreich, sich die Ausgaben von ssh -vanderen anzusehen, wie andere bereits geschrieben haben, und ob Sie hinzufügen, welche Dokumente / Anleitungen Sie beim Einrichten all dieser Anweisungen befolgt haben.
Verwandte Probleme
-
9
Was ist der Unterschied zwischen den Befehlen "su -s" und "sudo -s"?
-
4
Gutes freies Ubuntu Server-VMWare-Image benötigt
-
4
Was sind die Unterschiede zwischen den großen Linux-Distributionen? Werde ich es merken
-
2
Begrenzung der CPU-Auslastung für Flash in Firefox?
-
2
Wie kann ich mein Mikrofon unter Debian GNOME zum Laufen bringen?
-
2
Conky-Setups - Beispiele / Ideen?
-
3
Was sind die Unterschiede zwischen Linux Window Managern?
-
2
ThunderBird / Lichtsynchronisation mit SE k770i
-
4
Linux-Dateisystem
-
6
Vollbild-Flash langsam in KDE 4