Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

WIKI:

HOTLINE:

Büros / Office Rooms

  • Einsteinstraße 62, Raum 105
  • Fliednerstraße 21, Raum 21b
  • Horstmarer Landweg 62, Raum U2

IVV5

public:zugriff_via_ssh

Zugriff auf Rechner der IVV5 mit ssh

Authentifizierungsformen bei Nutzung von ssh

Mit Hilfe eines ssh-Clients kann auf andere UNIX-Rechner zugegriffen werden. Dieser Zugriff kann genutzt werden, um Programme auf anderen Rechnern zu starten. Zur Authentifizierung gegenüber dem Zielrechner gibt es verschiedene Methoden:

  1. Authentifizierung mit einem Passwort: Beim Aufbau der Verbindung zum Zielrechner muss das Password eingegeben werden.
  2. Authentifizierung mit einem SSH-Key: Hierbei erfolgt die Authentifizierung durch ein Publickey-Verfahren. Nach der Konfiguration durch den Benutzer ist eine Anmeldung auf dem Zielrechner ohne Eingabe des Passwords möglich, wenn der ssh-agent benutzt wird.

Konfiguration für Authentifizerung mit einem SSH-Key

Zur Konfiguration sind die folgenden Schritte durchzuführen:

  1. Schlüssel generieren:
     
    [beckelu@garbage] ~ $ ssh-keygen -t dsa
    Generating public/private dsa key pair.
    Enter file in which to save the key (/u/beckelu/.ssh/id_dsa): 
    Created directory '/u/beckelu/.ssh'.
    Enter passphrase (empty for no passphrase): 
    Enter same passphrase again: 
    Your identification has been saved in /u/beckelu/.ssh/id_dsa.
    Your public key has been saved in /u/beckelu/.ssh/id_dsa.pub.
    The key fingerprint is:
    ...
     
    [beckelu@garbage] ~ $ ssh-keygen -t rsa
    Generating public/private rsa key pair.
    Enter file in which to save the key (/u/beckelu/.ssh/id_rsa): 
    Enter passphrase (empty for no passphrase): 
    Enter same passphrase again: 
    Your identification has been saved in /u/beckelu/.ssh/id_rsa.
    Your public key has been saved in /u/beckelu/.ssh/id_rsa.pub.
    The key fingerprint is:
    ... 

    Hierbei sollte der vorgeschlagene Dateiname für die Schlüssel übernommen und eine sichere Passphrase (Passwort) angeben werden.

  2. Öffentliche Schlüssel in die Datei .ssh/authorized_keys übernehmen, z. B. durch das folgende Kommando:
    [beckelu@garbage] ~ $ cat .ssh/id_*.pub > .ssh/authorized_keys
  3. Die authorized_keys Datei muss nun auf den Zielrechner kopiert werden (i. d. R. wieder in das Verzeichnis ~/.ssh). Auf UNIX-Rechnern, auf denen Ihr Homeverzeichnis, in dem die Schlüssel erzeugt wurden, automatisch zur Verfügung steht, entfällt dieser Schritt.
  4. Auf dem Zielrechner die Zugriffsrechte für die authorized_keys Datei setzen:
    [beckelu@garbage] ~ $ chmod 655 .ssh/authorized_keys

Nutzung des ssh-agent

Der ssh-agent sorgt dafür, dass der Login auf dem Zielrechner unter der Benutzung der erzeugten Keys ohne Eingabe des Passwords funktioniert. Um dies zu erreichen, können Sie folgendermaßen vorgehen:

  1. Unter Kontrolle des ssh-agent ein neues Fenster starten:
    [beckelu@garbage] ~ $ ssh-agent $SHELL -ls

    Dieser Schritt ist nicht erforderlich, wenn Sie an einem Linux-Rechner unter einer grafischen Benutzungsoberfläche angemeldet sind , da die gesamte Sitzung unter Kontrolle des ssh-agent abläuft.

  2. Dem ssh-agent Zugriff auf die erzeugten Schlüssel gewähren:
    [beckelu@garbage] ~ $ ssh-add .ssh/id_dsa .ssh/id_rsa
    Enter passphrase for .ssh/id_dsa: 
    Identity added: .ssh/id_dsa (.ssh/id_dsa)
    Identity added: .ssh/id_rsa (.ssh/id_rsa)

    Hierbei werden Sie nach der Passphrase (Passwort) gefragt, die Sie bei Erzeugung der Schlüssel angegeben haben.

Nutzung des ssh-agent unter Wndows

  1. ssh auf einem Rechner starten.
  2. Den ssh-agent für das Fenster starten:
    [laizer@psyfb002] ~ $ ssh-agent $SHELL
  3. Dem ssh-agent Zugriff auf die erzeugten Schlüssel gewähren:
    [laizer@psyfb002] ~ $ ssh-add
    Enter passphrase for .ssh/id_dsa:
    Identity added: .ssh/id_dsa (.ssh/id_dsa)
    Identity added: .ssh/id_rsa (.ssh/id_rsa)
    Identity added: .ssh/identity (laizer@psyfb002)

    Hierbei werden Sie nach der Passphrase (Passwort) gefragt, die Sie bei Erzeugung der Schlüssel angegeben haben.

  4. Alternativ kann man anstatt
    [laizer@psyfb002] ~ $ ssh-agent $SHELL

    auch

    [laizer@psyfb002] ~ $ eval `ssh-agent`

    angeben. Dann wird der Agent in dem laufenden Fenster gestartet und kein neues aufgemacht.

public/zugriff_via_ssh.txt · Zuletzt geändert: 2010/12/17 09:49 von p_jaqu01