OpenSSH 4.2 Zugriff unterschiedlicher Benutzer mit PublicKey

Dieses Thema im Forum "Anwendungen" wurde erstellt von Just Matt, 21.05.2009.

  1. #1 Just Matt, 21.05.2009
    Just Matt

    Just Matt Eroberer

    Dabei seit:
    16.09.2007
    Beiträge:
    64
    Zustimmungen:
    0
    Ort:
    München
    Hallo zusammen,

    auf meinem Server läuft OpenSSH mit PublicKey-Authentifizierung. In der sshd_config habe ich PermitRootLogin auf "no" gesetzt, und als Benutzer meinen Account "matthias".

    Jetzt soll ein neuer Account dazukommen. Also habe ich in der Zeile AllowUsers den Account "peter" durch einen Leerschritt getrennt dazugefügt. Der AuthorizedKeysFile /home/matthias/.ssh/authorized_keys wurde um den öffentlichen Schlüssel ergänzt (nachdem %H/.ssh/authorized_keys mit der entsprechenden Datei im /home/peter/.ssh/ auch keinen Erfolg hatte). Aber unter dem neuen Benutzer klappt die Anmeldung nicht: "Permission denied". Diverse Stunden und etliche rcsshd-Starts später funktioniert es nicht.

    Hat von Euch jemand noch einen Tipp?


    Die sshd_config sieht bei mir folgendermaßen aus:

    Viele Grüße

    Matthias
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 HeadCrash, 22.05.2009
    Zuletzt bearbeitet: 22.05.2009
    HeadCrash

    HeadCrash Routinier

    Dabei seit:
    16.05.2009
    Beiträge:
    482
    Zustimmungen:
    1
    Ort:
    Bayern
    Morgen,

    hast du einmal versucht die Usernamen mit einem Komma zu trennen.
    Hier widerspricht sich man sshd_conf und man ssh_conf.

    sshd_conf (getrennt durch Leerzeichen) und für mehr infos was Muster angeht ssh_conf anschaun.
    In der ssh_conf steht, dass solche Listen durch Kommas getrennt sind.

    Wie siehts alternativ mit dem Einsatz von AllowGroup aus?
    Rechte der authorized_keys und des keyfiles stimmen auch?
    Der zweite User hat ne gültige shell in /etc/passwd eingetragen?
     
  4. #3 Just Matt, 22.05.2009
    Just Matt

    Just Matt Eroberer

    Dabei seit:
    16.09.2007
    Beiträge:
    64
    Zustimmungen:
    0
    Ort:
    München
    Nabend,

    Ja, das hab ich gleich ausprobiert. Leider hat das nichts an dem Zugangs-Problem geändert.
    Dafür muß man doch bestimmt den privaten Schlüssel nebst Passwort an die Gruppenmitglieder verteilen?! Wenn AllowUser nicht funktioniert wäre das dann die letzte Variante.
    Beide Dateien stehen auf 600.
    Jupp, habe ich gecheckt: Testhalber Login via SSH-Verbindung und dem regulären System-Passwort funktioniert aller erste Sahne.

    Ein Unterschied ist mir heute noch aufgefallen: Wenn ich mich von meinem separaten Laptop mittels SSH auf dem Server einlogge, dann erscheinen da Hinweise bezgl. des Fingerprints und ob ich mich wirklich verbinden möchte (Are you sure youwant to continue connecting?...). Bei meinem Hauptrechner kommen solche Meldungen überhaupt nicht. Stattdessen kommt der gleich zur Sache "Enter passphrase...". Vielleicht liegt da der Hund begraben?
     
  5. #4 Gast1, 23.05.2009
    Zuletzt von einem Moderator bearbeitet: 23.05.2009
    Gast1

    Gast1 Guest

    Nein, mit an Sicherheit grenzender Wahrscheinlichkeit nicht.

    Führe doch mal spasseshalber vom Laptop das selbe noch mal aus, die Meldung ist zu > 99% "verschwunden" (sofern die Kiste unter Linux läuft und man einmal die genannte Frage mit Ja beantwortet hat).

    //Edit:

    So in etwa

    Code:
     ssh localhost -pZZZZZ
    The authenticity of host '[localhost]:ZZZZ ([127.0.0.1]:ZZZZZZ)' can't be established.
    RSA key fingerprint is AA:BB:CC:DD:EE:FF:11:22:
    Are you sure you want to continue connecting (yes/no)? yes
    Warning: Permanently added '[localhost]:ZZZZZ' (RSA) to the list of known hosts.
    Enter passphrase for key '/home/XXXX/.ssh/id_rsa': 
    Last login: Sat May 23 05:24:15 2009 from console
    Have a lot of fun...
    
    XXXX@YYYY:~> exit
    logout
    Connection to localhost closed.
    Und jetzt das Ganze noch mal:

    Code:
    ssh localhost -pZZZZZZ
    Enter passphrase for key '/home/XXXX/.ssh/id_rsa': 
    Last login: Sat May 23 11:47:46 2009 from localhost
    Have a lot of fun...
     
  6. #5 HeadCrash, 23.05.2009
    Zuletzt bearbeitet: 23.05.2009
    HeadCrash

    HeadCrash Routinier

    Dabei seit:
    16.05.2009
    Beiträge:
    482
    Zustimmungen:
    1
    Ort:
    Bayern
    Erzählen die Logfiles irgendwas?

    Werd die Konfig jetzt mal zum Spaß hier einmal einspielen.

    ===EDIT===

    hat bei mir wunderbar funktioniert.
    Habe nur die Konfiguration für die Keyfiles und die AllowedUser geändert.
    Code:
    AuthorizedKeysFile /%h/.ssh/authorized_keys
     
  7. #6 Just Matt, 23.05.2009
    Zuletzt bearbeitet: 23.05.2009
    Just Matt

    Just Matt Eroberer

    Dabei seit:
    16.09.2007
    Beiträge:
    64
    Zustimmungen:
    0
    Ort:
    München
    Jo, hat sich gerade aufgeklärt. Habe die Berechtigungen falsch gesetzt. Somit konnte OpenSSH nicht in das Verzeichnis schreiben. War aber generell einiges aufzuräumen: Die Zugriffsrechte von ~/.ssh/config habe ich abgeändert, so dass nur der Besitzer Lese- und Schreibrechte hat, alle anderen wird der Zugriff jetzt vollständig verwehrt.

    Kurzum jetzt konnte auch die known_hosts geschrieben werden und ja Du hast Recht, es gibt jetzt nur noch die Rückfrage wegen dem Passwort und zack bin ich drauf :D
    .
    .
    .
    EDIT (autom. Beitragszusammenführung) :
    .

    Die SSH-Einträge in den Logfiles auf dem Server sind leider nicht sehr umfangreich. Erfolgreiche SSH-Anmeldungen lassen sich nachvollziehen. Genauso wenn derjenige zum Superuser gewechselt ist (su). Weitere Einträge konnte ich nicht finden.
    Nach meinen CHMOD, CHOWN und CHGRP-Änderungen habe ich die Server-Config auch noch mal auf %h geändert. Anschließend ein beherztes Löschen aller Dateien im .ssh-Verzeichnis des Clients und dann auf ein Neues.

    Jetzt funktioniert's :D

    Vermutlich liegt's an der Kombination aus dem %h bei AuthorizedKeysFile und der dadurch konsequenten Trennung per Benutzer. Find ich auch die elegantere (Wunsch-) Lösung, denn sollte der Benutzer hinfällig werden, brauche ich nur sein Home-Verzeichnis zu löschen und fertig ist der Lack.

    Auf jedenfall kann ich meinen privaten Schlüssel jetzt weiterhin für mich allein behalten :D

    Vielen Dank Euch allen für Eure Hilfe!!!
     
  8. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
Thema:

OpenSSH 4.2 Zugriff unterschiedlicher Benutzer mit PublicKey

Die Seite wird geladen...

OpenSSH 4.2 Zugriff unterschiedlicher Benutzer mit PublicKey - Ähnliche Themen

  1. OpenSSH verrät geheime Schlüssel

    OpenSSH verrät geheime Schlüssel: Eine nicht zu Ende implementierte und standardmäßig eingeschaltete Funktion des freien OpenSSH-Clients, führt dazu, dass manipulierte Server den...
  2. Microsoft portiert OpenSSH auf Windows

    Microsoft portiert OpenSSH auf Windows: Microsoft hat eine frühe Windows-Version von OpenSSH freigegeben und den Quellcode auf GitHub eingestellt. Der Konzern aus Redmond hatte bereits...
  3. OpenSSH 7.0 korrigiert Fehler

    OpenSSH 7.0 korrigiert Fehler: Die Entwickler von OpenSSH haben die Version 7.0 ihres Programmpakets für Secure Shell veröffentlicht, die sich gegenüber dem Vorgänger...
  4. OpenSSH 6.8 erschienen

    OpenSSH 6.8 erschienen: Mit Version 6.8 haben die OpenSSH-Entwickler eine neue Version der freien SSH-Implementierung veröffentlicht. Mit der Veröffentlichung der neuen...
  5. OpenSSH 6.6 freigegeben

    OpenSSH 6.6 freigegeben: Mit Version 6.6 haben die OpenSSH-Entwickler eine neue Version der freien SSH-Implementierung veröffentlicht, die neben Korrekturen auch diverse...