geist_der_foren Geschrieben 8. Januar 2004 Geschrieben 8. Januar 2004 Ich hab auf meiner Linux Kiste SSH2 so eingerichtet, dass jeder user der sich am System anmeldet möchte sich nur dann anmelden kann, wenn er ein User und einen dazugehörigen Key besitzt. Gibt es die möglichkeit, z.B. 3 User auszuschliesen, so dass sie sich auch ohne KEY anmelden können ? Wenn ja, wass muss ich wo ändern ? Danke schon mal im voraus. Zitieren
Terran Marine Geschrieben 8. Januar 2004 Geschrieben 8. Januar 2004 Nabend, afaik ist das nicht möglich. Du könntest zwei Instanzen von sshd mit den jeweiligen Konfigurationen laufen lassen. Gruß Terran Zitieren
geist_der_foren Geschrieben 8. Januar 2004 Autor Geschrieben 8. Januar 2004 Hm... Wie meinst du zwei Instanzen ? Zitieren
Terran Marine Geschrieben 8. Januar 2004 Geschrieben 8. Januar 2004 Original geschrieben von geist_der_foren Hm... Wie meinst du zwei Instanzen ? Zwei SSH-Daemons, einer mit Key - Authentifizierung, einer mit normaler Authentifizierung und einer speziellen Allowed-Users Config (die drei). Dies (leider) auf verschiedenen Ports. Zitieren
geist_der_foren Geschrieben 9. Januar 2004 Autor Geschrieben 9. Januar 2004 HI, danke für deine Hilfe ... Das ist eine idee ..., aber ist mir zu unsicher. Da muss ich mir was einfallen lassen Zitieren
Terran Marine Geschrieben 9. Januar 2004 Geschrieben 9. Januar 2004 Original geschrieben von geist_der_foren HI, danke für deine Hilfe ... Das ist eine idee ..., aber ist mir zu unsicher. Da muss ich mir was einfallen lassen Was ist denn daran unsicher ? Zitieren
geist_der_foren Geschrieben 9. Januar 2004 Autor Geschrieben 9. Januar 2004 Ja vieleicht war unsicher eher falsch ausgedrückt. Wir haben sehr viele Server da stehen und versuchen sie so einheitlich wie möglich zu halten, da käm das nicht so toll ... Also mein Problem ist folgender, ich hab 3 User, die rexec auführen müssen, da wir aber jetzt ssh2 eingeschaltet haben, geht das nicht mehr. Gibt es da eine Möglichkeit in der sshd_config was einzustellen ? Zitieren
geist_der_foren Geschrieben 9. Januar 2004 Autor Geschrieben 9. Januar 2004 Oh mann ich bin echt ein fisch ... Ich kann es doch einfach mit SSH machen Das ist ja eigentlich das gleiche (ein mal die Man Page gelesen) Ich hab aber dann nur noch ein Prob, ich verwende folgende Syntax: ssh -i [private-key-name] -l [user-name] [ip-adresse] [befehl] aber er promtet mich immer wieder auf das Phassphrase und auf das Passwort des Users ... Das Problem ist, dass es in ein skript laufen soll. Hat jemand eine idee ? Zitieren
Terran Marine Geschrieben 9. Januar 2004 Geschrieben 9. Januar 2004 Original geschrieben von geist_der_foren aber er promtet mich immer wieder auf das Phassphrase und auf das Passwort des Users ... Das Problem ist, dass es in ein skript laufen soll. Hat jemand eine idee ? Und der normale Login klappt mit den gleichen Einstellungen ? Also ohne Rückfrage der Passphrase. Gruß Terran Zitieren
geist_der_foren Geschrieben 9. Januar 2004 Autor Geschrieben 9. Januar 2004 Nein, er frägt immer nach einem Passphrase für den Private - Key und einmal das Passwort für den user ... Kann ich das Passwort im script hinterlegen ? Zitieren
Terran Marine Geschrieben 9. Januar 2004 Geschrieben 9. Januar 2004 Original geschrieben von geist_der_foren Nein, er frägt immer nach einem Passphrase für den Private - Key und einmal das Passwort für den user ... Kann ich das Passwort im script hinterlegen ? Ich kenne das nur so, das der Public Key auf dem Server im .ssh Verzeichnis des entsprechenden Users hinterlegt wird, bei mir z.b. in : /root/.ssh/known_hosts bzw. in /root/.ssh/known_hosts2 Dabei hat der private Key aber kein eigenes Passwort. Zitieren
geist_der_foren Geschrieben 9. Januar 2004 Autor Geschrieben 9. Januar 2004 Ja, ich hab das phassphrase für den Private key auch mal weggelsaen, dann promt er nur auf das Userpasswort. Kann ich es mit "ssh" nicht mit geben ? Also unter rexec geht das: rexec -l [username] -p [passwort] [iP-ADRESSE] Wenn ich mich nicht irre, kann man das auch über den skript mitgeben, oder ? Zitieren
Terran Marine Geschrieben 9. Januar 2004 Geschrieben 9. Januar 2004 Original geschrieben von geist_der_foren Wenn ich mich nicht irre, kann man das auch über den skript mitgeben, oder ? Habe ich jetzt in man ssh nicht finden können, dort wird auf die Parameter -f -n hingewiesen. Mit -n kannst du das stdin von /dev/null wegsetzen und so eventuell das Passwort pipen, kann ich hier aber mangels ssh Session nicht testen. Zitieren
geist_der_foren Geschrieben 9. Januar 2004 Autor Geschrieben 9. Januar 2004 Original geschrieben von Terran Marine Mit -n kannst du das stdin von /dev/null wegsetzen und so eventuell das Passwort pipen, kann ich hier aber mangels ssh Session nicht testen. Also ich hab in der man auch nicht gefunden ... Das mit der -n Option hab ich auch noch nicht so wirklich verstanden ?! Kannst du mir vielleich ein Beispiel Posten ? Zitieren
Terran Marine Geschrieben 9. Januar 2004 Geschrieben 9. Januar 2004 Hallo nochmal, sorry hatte mich geirrt, habs selbst noch rumprobiert, aber keine Lösung gefunden. Was ist denn gegen eine Key-Authentifizerung zu sagen ? Zitieren
SystemError Geschrieben 10. Januar 2004 Geschrieben 10. Januar 2004 Hallo oh GeistDerForen, verstehe ich Dich richtig dass Du aus einem Script per SSH auf entfernten Rechnern Kommandos (änhlich rexec) ausführen willst ? Und zwar nach Möglichkeit ohne dabei nach einem Passwort/PassPhrase gefragt zu werden ? (Ist ja in einem Script auch nicht sooo doll...) Da fallen mir 2 Möglichkeiten ein: a.) Die sichere + saubere Methode Du generierst ein Public/Private Schlüsselpärchen mit Passphrase. Wenn Du Dich an Deiner WorkStation anmeldest musst Du den Window/Desktop Manager Deiner Wahl dazu überreden den SSHKeyAgent zu laden, da wirst Du dann EINMAL nach Deinem PassPhrase gefragt. Ab diesem Zeitpunkt kannst Du dann OHNE Eingabe eines Passwortes/PassPhrases auf all die Rechner auf denen Dein PublicKey korrekt hinterlegt ist: Wenn Du dann z.B. ein XTerm aufmachst und aus diesem Dein Script das Dinge auf den entfernten Rechnern tun soll startest sollte folgende Syntax genügen: ssh user@host "DeinKommanDo" Diese Methode funktioniert aber nur wenn Du Dein Script aus einer Konsolen/DesktopSitzung aufrufst. Ist also ungeeignet wenn Dein Script z.B. per Cron ausgeführt werden soll. b.) Bequeme Methode Einfach einen Schlüssel OHNE PassPhrase generieren, sprich beim "ssh-keygen" Return drücken... Vorteil: Dein Script braucht jetzt keine laufende KeyAgentUmgebung mehr. (->läuft auch per Cron) NachTeil: Sobald es jemand schafft an Deinen SSHPrivateKey zu kommen war es das dann: Er kommt damit auf alle Rechner auf denen Dein PublicKey hinterlegt ist. *autsch* Bye SystemError Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.