Как настроить SSH, чтобы не вводить пароль и не использовать открытый ключ?

Question 1

В этом случае одним из вариантов будет написание (или, лучше сказать, запись) сценария ожидания.

Каждая система индивидуальна, поэтому сценария не будет, но с помощью autoexpect очень легко записать сценарий для этой цели.

Answer

В этом случае одним из вариантов будет написание (или, лучше сказать, запись) сценария ожидания.

Каждая система индивидуальна, поэтому сценария не будет, но с помощью autoexpect очень легко записать сценарий для этой цели.

Question 2

Согласно собранной на данный момент информации, сервер sftp.pass.psu.eduподдерживает аутентификацию Kerberos 5 (GSSAPI) и находится в dce.psu.eduобласти.

Керберос - этооченьраспространено в сетях с большим количеством серверов и рабочих станций; многие крупные образовательные учреждения настраивают его. Одним из его преимуществ перед аутентификацией с открытым ключом является то, что один kinitавтоматически предоставляет учетные данные всем машинам в области Kerberos, без необходимости копировать открытые ключи на каждую. Другим преимуществом является поддержка протоколов — одни и те же учетные данные Kerberos можно использовать с более чем 30 протоколами (почта, файловые системы, базы данных...), а не только SSH.

^{(Что касается «невежественных администраторов, работающих только с Windows»: dce.psu.eduна самом деле эта область, по-видимому, основана на Active Directory и размещена на серверах Windows.)}

Попробуйте выполнить следующие действия:

Войдите в систему Kerberos. ( Инструменты kinitи klistмогут быть в пакете «krb5-user» или аналогичном, если они еще не включены в систему.)
```
кинитваш логин@dce.psu.edu
```
Если ошибок не отображается, вход в систему прошел успешно. klistДолжен отображаться krbtgt/dce.psu.edu@...элемент « ».
Теперь подключитесь к SSH-серверу с -vvпараметрами; если аутентификация прошла успешно, хорошо.

Если этого не произошло, вам, возможно, придется отредактировать /etc/krb5.confфайл. В [domain_realm]разделе добавьте следующее:
```
[domain_realm]
    .psu.edu = dce.psu.edu
```
При настройках Krb5 по умолчанию билет, полученный в #1, должен быть действителен в течение 10 часов и продлеваться до недели. Однако у меня нет возможности проверить настройки.

Если вы хотите сохранить пароль в файле, то простой способ kinit your_principal < password.txtдолжен подойти, хотя он и не совсем надежен.

С ktutilего помощью можно сделать"keytab"для использования вместо пароля.
```
$ ктутил
ktutil: addent -password -pваш_принципал-k 1 -e aes256-cts-hmac-sha1-96
Пароль дляваш_принципал: *********
ktutil: wktkeytab_file
ктутил:  CtrlD
```
и войдите в систему, используя:
```
$ kinit -ktkeytab_file ваш_принципал
```

Answer

Согласно собранной на данный момент информации, сервер sftp.pass.psu.eduподдерживает аутентификацию Kerberos 5 (GSSAPI) и находится в dce.psu.eduобласти.

Керберос - этооченьраспространено в сетях с большим количеством серверов и рабочих станций; многие крупные образовательные учреждения настраивают его. Одним из его преимуществ перед аутентификацией с открытым ключом является то, что один kinitавтоматически предоставляет учетные данные всем машинам в области Kerberos, без необходимости копировать открытые ключи на каждую. Другим преимуществом является поддержка протоколов — одни и те же учетные данные Kerberos можно использовать с более чем 30 протоколами (почта, файловые системы, базы данных...), а не только SSH.

^{(Что касается «невежественных администраторов, работающих только с Windows»: dce.psu.eduна самом деле эта область, по-видимому, основана на Active Directory и размещена на серверах Windows.)}

Попробуйте выполнить следующие действия:

Войдите в систему Kerberos. ( Инструменты kinitи klistмогут быть в пакете «krb5-user» или аналогичном, если они еще не включены в систему.)
```
кинитваш логин@dce.psu.edu
```
Если ошибок не отображается, вход в систему прошел успешно. klistДолжен отображаться krbtgt/dce.psu.edu@...элемент « ».
Теперь подключитесь к SSH-серверу с -vvпараметрами; если аутентификация прошла успешно, хорошо.

Если этого не произошло, вам, возможно, придется отредактировать /etc/krb5.confфайл. В [domain_realm]разделе добавьте следующее:
```
[domain_realm]
    .psu.edu = dce.psu.edu
```
При настройках Krb5 по умолчанию билет, полученный в #1, должен быть действителен в течение 10 часов и продлеваться до недели. Однако у меня нет возможности проверить настройки.

Если вы хотите сохранить пароль в файле, то простой способ kinit your_principal < password.txtдолжен подойти, хотя он и не совсем надежен.

С ktutilего помощью можно сделать"keytab"для использования вместо пароля.
```
$ ктутил
ktutil: addent -password -pваш_принципал-k 1 -e aes256-cts-hmac-sha1-96
Пароль дляваш_принципал: *********
ktutil: wktkeytab_file
ктутил:  CtrlD
```
и войдите в систему, используя:
```
$ kinit -ktkeytab_file ваш_принципал
```

Question 3

Я бы рассмотрел смешанное решение, где вы вводите пароль только один раз, а компьютер поддерживает сокет к удаленному SSH-серверу. Вы можете следоватьэти шагинастроить ControlMasterименно по этой причине.

Answer

Я бы рассмотрел смешанное решение, где вы вводите пароль только один раз, а компьютер поддерживает сокет к удаленному SSH-серверу. Вы можете следоватьэти шагинастроить ControlMasterименно по этой причине.

Как настроить SSH, чтобы не вводить пароль и не использовать открытый ключ?

решение1

решение2

решение3

Связанный контент