Single Sign On mit SSH-Schlüssel

20/07/2011 - 02:49 von Christian H. Kuhn | Report spam
Hallo zusammen,

Ubuntu 11.04

Ich habe einen SSH-Schlüssel(RSA, ~/.ssh/id_rsa), dessen Passwort von meinem
Account-Passwort verschieden ist. Ziel: Ich möchte beim login (GDM, Konsole)
das SSH-Schlüssel-Passwort eingeben und mich danach auch ohne weitere
Passworteingabe per ssh, scp, mit meinem Server verbinden können. Der
passende öffentliche Schlüssel ist auf dem Server in ~/.ssh/authorized_keys
eingetragen. Die Verbindung funktioniert mit manueller Passworteingabe.

/usr/share/doc/libpam-ssh/README.Debian stellt zur Lösung dieses Problems
verschiedene Möglichkeiten vor. Ich erstelle also zuerst ~/.ssh/login-keys.d
und darin einen Softlink auf id_rsa.

Die erste Variante in README.Debian reicht das Login-Passwort an den
Schlüssel weiter. Funktioniert vermutlich wunderpràchtig, wenn Login- und
SSH-Schlüssel-Passwort gleich sind. Ist hier nicht der Fall, daher erfolgt
hier mit der Eingabe des Login-Passworts ein Login, aber keine Entsperrung
des SSH-Schlüssels. So gehts also schon mal nicht.

Die vierte und letzte Variante könnte vielleicht funktionieren, erzwingt
aber, dass jeder User einen SSH-Schlüssel haben muss. Das passt hier nicht,
geht also auch nicht.

Die zweite und dritte Variante sind in praktischer Hinsicht fast gleich. Die
zweite ist etwas unsicherer, weil sie bei existierenden Nutzern ohne SSH-
Schlüssel andere Fehlermeldungen ausgibt als bei existierenden Nutzern mit
SSH-Schlüssel oder nicht existierenden Nutzern. Kann mir zwar relativ egal
sein, aber ich wills ja richtig lernen. Die dritte Variante hinterlàsst
einen log-Eintrag beim Login per SSH, der das unmittelbar vorangegangene
gescheiterte Login (SSH-Schlüssel-Passwort passt halt nicht als Login-
Passwort) protokolliert. Ok, damit kann ich leben. So mach ichs.

Auf der Konsole funktioniert es. Zuerst wird das Login-Passwort abgefragt,
aber wenn man das falsch oder leer eingibt, kommt anschließend die Abfrage
des SSH-Passworts. Bei korrekter Eingabe erfolgt Login; ssh-add -L zeigt den
Schlüssel als geladen; und bei ssh mein.server wird auch keine Passphrase
mehr abgefragt, sondern die Verbindung sofort hergestellt.

Unter gdm klappts leider nicht. Hier wird explizit das Login-Passwort
abgefragt. Allerdings wird auch die Eingabe der SSH-Passphrase akzeptiert.
Der Schlüssel wird dann auch per ssh-add -L gelistet. Nach ssh mein.server
erscheint allerdings ein Fenster (woher?), in dem die SSH-Passphrase nochmal
abgefragt wird.

Wie kann ich die letzte Abfrage vermeiden?

mfg+TIA
QNo
 

Lesen sie die antworten

#1 Fredl
21/07/2011 - 11:50 | Warnen spam
Am 2011-07-20 02:49, schrieb Christian H. Kuhn:
Unter gdm klappts leider nicht.



Hi,
Ich hab's nicht selbst probiert, aber das sollte mit dem gnome-keyring-daemon gehen.
http://live.gnome.org/GnomeKeyring/Ssh
Allerdings streikt der, wenn schon der ssh-agent làuft.

HTH, Fredl.

Ähnliche fragen