Требуется ли дополнительная настройка для пересылки ssh-agent?

39778
Coderer

Это руководство прекрасно объясняет, как ssh-agent работает в разных системах. Я бы хотел настроить переадресацию так, как это показано в последнем наборе диаграмм, но у меня возникают проблемы с отслеживанием шагов, необходимых для этого.

Для некоторых машин в моей сети я могу использовать SSH от A до B, затем от B до C, не вводя пароль. Другие машины, однако, выдают «Не удалось открыть соединение с вашим агентом аутентификации» (иногда!), А затем не пересылают мои данные аутентификации. SSHing от одного из этих компьютеров к другому блоку в сети снова запрашивает мой пароль закрытого ключа.

Я не собирал эти машины, но могу управлять некоторыми из них. Я не знаю наверняка, в чем разница между работающим boxen и тем, кто этого не делает - это может быть проблема с брандмауэром, конфигурация ssh / ssh-agent / sshd, что угодно, и я не вижу никаких шагов. пошаговые инструкции, специфичные для пересылки, плавающей вокруг сети. Мне просто нужно знать, с чего начать эту проблему.

20

2 ответа на вопрос

23
Gilles

Пересылка агента Ssh должна быть разрешена на клиенте ( ForwardAgentопция в ~/.ssh/config) и на сервере ( AllowAgentForwardingопция в sshd_config). Скорее всего, ваши машины имеют разные настройки по умолчанию для одного или обоих этих параметров.

Если вы идете A-> B-> C, на шаге B-> C переадресация не требуется (если, конечно, вы не собираетесь идти C-> D).

Когда вы вошли в B, убедитесь, что переменная окружения SSH_AUTH_SOCKопределена. Его ценность в том, как sshзнать, как связаться с агентом.

Нет веских оснований запрещать переадресацию агентов на сервере, учитывая, что переадресация агентов делает клиента уязвимым для сервера, а не наоборот, и что вы в принципе можете настроить переадресацию агентов вручную (хотя в этом нет особого смысла, поскольку Сложность его настройки может нанести ущерб удобству пересылки агентов).

The good news: thanks for pointing me toward the right key to look for! The bad news: [Apparently](http://www.mail-archive.com/debian-ssh@lists.debian.org/msg04896.html) this is a known bug in openssh-server. It appears to have been fixed, at some point, but I don't think I'm running a current-enough version -- I get "Bad configuration option: AllowAgentForwarding" when I try to enable it. Looks like it's off to update my software loadout (again...) Coderer 14 лет назад 0
@Coderer: Поскольку по умолчанию переадресация агента включена, этого должно быть достаточно, чтобы удалить любую строку `AllowAgentForwarding` из` sshd_config`. Gilles 14 лет назад 0
@Gilles Если кто-то хочет вручную настроить переадресацию агента для существующего сеанса, как он будет это делать? Это реальная потребность в сценариях инициализации, используемых на временных машинах, таких как AMI, которые поставляются с отключенным `AllowAgentForwarding`. Andrew De Andrade 10 лет назад 0
@AndrewDeAndrade Для существующего сеанса у вас вырезана работа. Если вы хотели настроить переадресацию агента, даже если он отключен на сервере, вам нужно переслать сокет unix через TCP; это должно быть выполнимо с netcat или socat с обеих сторон. Gilles 10 лет назад 0
@ Жиль, к такому выводу я тоже пришел. Я обнаружил, что вы также можете использовать spiped, который более безопасен, но требует симметричного обмена ключами, но после этого становится проще. Andrew De Andrade 10 лет назад 0
Ответ был довольно стар, и ответ находится в противоречии с комментариями. Можем ли мы получить обновленный ответ, пожалуйста? Задавая тот же вопрос снова в http://superuser.com/questions/922003/ssh-agent-forwarding-is-not-working. Спасибо xpt 9 лет назад 0
14
Sandip Bhattacharya

While you already have the right answer by @Gilles above, I wanted to point out that AllowAgentForwarding is only supported in OpenSSH 5.1 onwards.

OpenSSH servers before 5.1, from what I have seen in my RHEL 4u5 box, allow agent forwarding by default. So if your server is older than 5.1 and agent forwarding is not working, the problem is likely in the ssh client. Since forwarding seems to be working for some machines for you, it seems that /etc/ssh/ssh_config is setup fine. Check ~/.ssh/config to see if there is any exception made to disable agent forwarding for the affected boxes.

Ref: http://www.openssh.org/txt/release-5.1

привет Sandip, у тебя есть идеи по этому поводу? http://superuser.com/questions/958978/libssh2-agent-forwarding-not-working?noredirect=1#comment1310009_958978 Niks 9 лет назад 0

Похожие вопросы