Ich versuche, ein Netzwerk von Centos 7-Maschinen mit SSHD einzurichten, die öffentliche Schlüssel gegenüber einem AWS Simple Directory Service-Verzeichnis authentifizieren.
Derzeit habe ich eine Reihe von Centos-Hosts, eine Instanz von Windows Server 2008 und ein Verzeichnis mit Amazon Web Service (AWS) Simple Directory Service. Die Windows-Box wird zur Verwaltung des Verzeichnisses verwendet und die Centos-Boxen verwenden das Verzeichnis zur Authentifizierung von SSH-Sitzungen. Alle Maschinen wurden dem Verzeichnis hinzugefügt.
Ich habe überprüft, dass ich mich mit SSH sowohl als lokaler als auch als Domänenbenutzer mit einfacher Kennwortauthentifizierung bei den Centos-Boxen anmelden kann. Ebenso kann ich mich mit RDP sowohl als lokaler als auch als Domänenbenutzer mit einfacher Kennwortauthentifizierung bei der Windows-Box anmelden.
Allerdings waren in dem von AWS in meinem Verzeichnis eingerichteten Schema sozusagen keine Klassen mit einem sshPublicKeyFeld out of the box enthalten.
Daher habe ich das Active Directory-Schema-Snap-In auf der Windows-Box verwendet, um meinem Schema das folgende Attribut hinzuzufügen:
Common Name: sshPublicKey
OOID: 1.3.6.1.4.1.24552.1.1.1.13
Syntax: IA5-String
Multi-valued: true
Ich habe dann die folgende Klasse erstellt:
Common Name: LDAP Public Key
OOID: 1.3.6.1.4.1.24552.500.1.1.2.0
Parent Class: top
Class Type: Auxiliary
Optional Attributes: sshPublicKey
Anschließend habe ich mithilfe des ADSI-Snap-Ins den Inhalt des öffentlichen Schlüssels eines Benutzers in das sshPublicKeyFeld seines Eintrags im Verzeichnis eingefügt.
Auf einer meiner Centos-Boxen habe ich die Kennwortauthentifizierung durch eine entsprechende Einstellung PasswordAuthentication noin der Konfigurationsdatei von sshd deaktiviert.
Dann habe ich versucht, mithilfe des Verzeichnisbenutzers mit dem sshPublicKeyfolgenden Attribut per SSH auf diese Centos-Box zuzugreifen:
$ ssh -l [email protected] -i ~/.ssh/path.to.key.pub centos.box -vvv;
OpenSSH_6.2p2, OSSLShim 0.9.8r 8 Dec 2011
debug1: Reading configuration data /Users/localuser/.ssh/config
debug1: Reading configuration data /etc/ssh_config
debug1: /etc/ssh_config line 20: Applying options for *
debug1: /etc/ssh_config line 53: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to centos.box [ip addy] port 22.
debug1: Connection established.
debug3: Incorrect RSA1 identifier
debug3: Could not load "~/.ssh/path.to.key.pub" as a RSA1 public key
debug1: identity file ~/.ssh/path.to.key.pub type 1
debug1: identity file ~/.ssh/path.to.key.pub type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.2
debug1: Remote protocol version 2.0, remote software version OpenSSH_6.6.1
debug1: match: OpenSSH_6.6.1 pat OpenSSH*
debug2: fd 3 setting O_NONBLOCK
debug3: load_hostkeys: loading entries for host "centos.box" from file "/Users/localuser/.ssh/known_hosts"
debug3: load_hostkeys: found key type RSA in file /Users/localuser/.ssh/known_hosts:someLineNumber
debug3: load_hostkeys: loaded 1 keys
debug3: order_hostkeyalgs: prefer hostkeyalgs: [email protected],[email protected],ssh-rsa
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: [email protected],[email protected],ssh-rsa,[email protected],[email protected],ssh-dss
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,[email protected],[email protected],aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,[email protected]
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,[email protected],[email protected],aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,[email protected]
debug2: kex_parse_kexinit: [email protected],[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],hmac-md5,hmac-sha1,[email protected],[email protected],hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,[email protected],hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: [email protected],[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],hmac-md5,hmac-sha1,[email protected],[email protected],hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,[email protected],hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,[email protected],zlib
debug2: kex_parse_kexinit: none,[email protected],zlib
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: kex_parse_kexinit: [email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ecdsa-sha2-nistp256
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,[email protected],[email protected],[email protected],aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,[email protected]
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,[email protected],[email protected],[email protected],aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,[email protected]
debug2: kex_parse_kexinit: [email protected],[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],hmac-md5,hmac-sha1,[email protected],[email protected],hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,[email protected],hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: [email protected],[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],[email protected],hmac-md5,hmac-sha1,[email protected],[email protected],hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,[email protected],hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,[email protected]
debug2: kex_parse_kexinit: none,[email protected]
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: mac_setup: found [email protected]
debug1: kex: server->client aes128-ctr [email protected] none
debug2: mac_setup: found [email protected]
debug1: kex: client->server aes128-ctr [email protected] none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug2: dh_gen_key: priv key bits set: 116/256
debug2: bits set: 535/1024
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Server host key: RSA blah
debug3: load_hostkeys: loading entries for host "centos.box" from file "/Users/localuser/.ssh/known_hosts"
debug3: load_hostkeys: found key type RSA in file /Users/localuser/.ssh/known_hosts:someLine
debug3: load_hostkeys: loaded 1 keys
debug1: Host 'centos.box' is known and matches the RSA host key.
debug1: Found key in /Users/localuser/.ssh/known_hosts:27
debug2: bits set: 509/1024
debug1: ssh_rsa_verify: signature correct
debug2: kex_derive_keys
debug2: set_newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug2: set_newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug2: key: /Users/localuser/.ssh/path.to.key.pub (0x7fb3cb600000), explicit
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic
debug3: start over, passed a different list publickey,gssapi-keyex,gssapi-with-mic
debug3: preferred publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Offering RSA public key: /Users/localuser/.ssh/path.to.key.pub
debug3: send_pubkey_test
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic
debug2: we did not send a packet, disable method
debug1: No more authentication methods to try.
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
$
Und auf der Centos-Box erhalten wir:
$ sudo journalctl -felu sshd
....
Some Date centos.box sshd[a number]: Connection closed by 1.2.3.4 [preauth]
Die Berechtigungen für den privaten Schlüssel sind 600; die Berechtigungen für den öffentlichen Schlüssel sind644
Ich bin nicht sicher, wie ich die Serverprotokolle auf dem Verzeichnisdiensthost überprüfen kann.
Irgendwelche Ideen, was ich falsch mache?
Antwort1
Um sicherzustellen, sshddass die Kommunikation mit sssdder Authentifizierung über den öffentlichen Schlüssel erfolgt, führen Sie auf dem sshdHost die folgenden Schritte aus:
Fügen Sie dem
[sssd]Abschnitt Ihrer/etc/sssd/sssd.confDatei die folgende Zeile hinzu:services = ssh, [ all the other services already listed there as well ]
Dies gibt an, sssdmit wem es kommunizieren soll sshd.
Wenn dort noch kein Abschnitt vorhanden ist , fügen Sie Ihrer Datei
[ssh]einen leeren Abschnitt hinzu :[ssh]/etc/sssd/sssd.conf[ssh]
Dies ist ein erforderlicher Konfigurationsabschnitt für alle Dienste, mit denen sssdkommuniziert wird.
Fügen Sie dem
[domain/directory.server]Abschnitt Ihrer/etc/sssd/sssd.confDatei die folgende Zeile hinzu, wobei „directory.serverder vollqualifizierte Domänenname Ihres Verzeichnisdiensthosts“ ist:ldap_user_ssh_public_key = sshPublicKey
Dies gibt an sssd, welches Attribut zum Suchen sshdder öffentlichen SSH-Schlüssel von Benutzern verwendet werden soll. (Das von verwendete Standardattribut sssdist ipaSshPubKey, das im Schema für die Klassen und zu finden ipaSshUserist ipaSshHost.)
Fügen Sie Ihrer Datei die folgenden Zeilen hinzu
/etc/sshd/sshd_config:AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys AuthorizedKeysCommandUser nobody
Dies weist an , die Datei als Benutzer sshdauszuführen . Ruft autorisierte Schlüssel für den Benutzer ab, der versucht, sich beim Host zu authentifizieren./usr/bin/sss_ssh_authorizedkeysnobody/usr/bin/sss_ssh_authorizedkeyssshd
Fügen Sie Ihrer Datei die folgenden Zeilen hinzu
/etc/sshd/ssh_config:GlobalKnownHostsFile /var/lib/sss/pubconf/known_hosts ProxyCommand /usr/bin/sss_ssh_knownhostsproxy -p %p %h
Dadurch sssdwerden der Name und die öffentlichen Schlüssel des Clients hinzugefügt /var/lib/sss/pubconf/known_hostsund für die Verbindung mit dem Client wird die gesamte Kommunikation über die Standard-E/A geleitet, wobei die ausführbare Datei verwendet wird /usr/bin/sss_ssh_knownhostsproxy.
Starten Sie beide Dienste neu:
$ sudo systemctl reload sshd; $ sudo systemctl restart sshd; $ sudo systemctl restart sssd;