Настройка туннеля ssh через несколько хостов и с разными пользователями

Question

У меня есть следующие соединения SSH:

    user1@local --> root@machine1 --> root@machine2 --> abc@machine3

Мне нужно, чтобы иметь возможность подключиться с локального непосредственно к машине3:

    [user1@local]$ ssh abc@machine3

На данный момент я в порядке, если мне нужно ввести пароли, хотя в идеале я хотел бы использовать ssh-ключи и никаких парольных соединений.

Я могу подключиться к machine1 и machine2 с помощью sudo, но подключение к machine3 не удается:

[user1@local]$ sudo ssh abc@machine3
root@machine1.com's password:
root@machine2.com's password:
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

Мой файл /root/.ssh/config содержит следующее:

    Host machine1
        HostName machine1.com
        User root
        IdentitiesOnly yes

    Host machine2
        HostName machine2.com
        User root
        ProxyCommand ssh -W %h:%p machine1
        IdentitiesOnly yes

    Host machine3
        HostName machine3.com
        User abc
        ProxyCommand ssh -W %h:%p machine2
        IdentitiesOnly yes

Я на OpenSSH_5.3p1 на локальной машине, поэтому не могу использовать ProxyJump. Также нет поддержки netcat на машинах 1,2 и 3.

Когда я ssh вручную, я могу только ssh на machine3 от machine2 как пользователь abc, и тогда пароль не требуется (author_keys на machine3 содержит открытый ключ от machine2). Подключение вручную, как и любого другого пользователя, к машине3 с машины2 приводит к той же ошибке отказа в доступе, что и выше.

Любая идея, как добиться желаемого соединения SSH с локальной машины? Это выполнимо? Когда туннель будет установлен, мне нужно будет создать несколько файлов на компьютере 3 и перезапустить сервисы - все из скрипта.

РЕДАКТИРОВАТЬ

Я попытался SSH с многословным и получил это:

    [user1@local]$ sudo ssh -v abc@machine3
    OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
    debug1: Reading configuration data /root/.ssh/config
    debug1: Applying options for machine3
    debug1: Reading configuration data /etc/ssh/ssh_config
    debug1: Applying options for *
    debug1: Executing proxy command: exec ssh -W machine3.com:22 machine2
    debug1: permanently_drop_suid: 0
    debug1: permanently_set_uid: 0/0
    debug1: identity file /root/.ssh/identity type -1
    debug1: identity file /root/.ssh/identity-cert type -1
    debug1: identity file /root/.ssh/id_rsa type -1
    debug1: identity file /root/.ssh/id_rsa-cert type -1
    debug1: identity file /root/.ssh/id_dsa type -1
    debug1: identity file /root/.ssh/id_dsa-cert type -1
    debug1: identity file /root/.ssh/id_ecdsa type -1
    debug1: identity file /root/.ssh/id_ecdsa-cert type -1
    root@machine1.com's password:
    root@machine2.com's password:
    debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3
    debug1: match: OpenSSH_5.3 pat OpenSSH*
    debug1: Enabling compatibility mode for protocol 2.0
    debug1: Local version string SSH-2.0-OpenSSH_5.3
    debug1: SSH2_MSG_KEXINIT sent
    debug1: SSH2_MSG_KEXINIT received
    debug1: kex: server->client aes128-ctr hmac-md5 none
    debug1: kex: client->server aes128-ctr hmac-md5 none
    debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
    debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
    debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
    debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
    debug1: Host 'machine3.com' is known and matches the RSA host key.
    debug1: Found key in /root/.ssh/known_hosts:4
    debug1: ssh_rsa_verify: signature correct
    debug1: SSH2_MSG_NEWKEYS sent
    debug1: expecting SSH2_MSG_NEWKEYS
    debug1: SSH2_MSG_NEWKEYS received
    debug1: SSH2_MSG_SERVICE_REQUEST sent
    debug1: SSH2_MSG_SERVICE_ACCEPT received
    debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic
    debug1: Next authentication method: publickey
    debug1: Trying private key: /root/.ssh/identity
    debug1: Trying private key: /root/.ssh/id_rsa
    debug1: Trying private key: /root/.ssh/id_dsa
    debug1: Trying private key: /root/.ssh/id_ecdsa
    debug1: No more authentication methods to try.
    Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

Единственный файл, который существует в каталоге .ssh на machine3 - это author_keys.

score 2 · Answer 1 · 2011-03-09T19:38:42

Тот факт, что вы можете использовать ssh с машины2 на машину3, означает, что на машине2 есть закрытый ключ, который может аутентифицировать вас на машине3.

Вы можете скопировать этот закрытый ключ на локальный компьютер и указать его путь в ~/.ssh/config:

Host machine3  
  IdentityFile /path/to/the/key

score 0 · Accepted Answer · 2011-03-09T19:38:42

Изучив существующий ответ в другом, связанном вопросе, я сделал следующее, и частично / полностью он решил мою проблему:

Скопированные закрытые и открытые ключи из machine1 и machine2 в локальные, с разными именами: /root/.ssh/id_rsa_machine1, /root/.ssh/id_rsa_machine1.pub и /root/.ssh/id_rsa_machine2, /root/.ssh/id_rsa_machine2. паб.
Сгенерированные ключи SSH в локальной системе.
Добавлен открытый ключ из локальной системы для author_keys на machine3.
Добавлен открытый ключ с локального на machine1.
Добавлен открытый ключ от machine1 к machine2 (machine3 уже имел открытый ключ от machine2 в авторизованных ключах).

Изменен файл /root/.ssh/config для локального файла, поэтому он выглядит следующим образом:

Host machine1
    HostName machine1.com
    User root
    IdentityFile /root/.ssh/id_rsa_machine1
    Port 22
    IdentitiesOnly yes

Host machine2
    HostName machine2.com
    User root
    IdentityFile /root/.ssh/id_rsa_machine2
    Port 22
    ProxyCommand ssh -W %h:%p machine1
    IdentitiesOnly yes
    ForwardAgent yes


Host machine3
    HostName machine3.com
    User abc
    ProxyCommand ssh -W %h:%p machine2
    IdentitiesOnly yes
    ForwardAgent yes

Указанные файлы идентификации должны существовать на локальном компьютере. Теперь я могу ssh напрямую с sudo с локального на machine3 без запроса пароля! :-)

Внесены дополнительные изменения для пользователя user1 на локальном компьютере ssh как пользователь user1 на machine3 напрямую без ввода пароля:

Скопировал закрытый и открытый ключи из machine1 и machine2 в каталог user1 .ssh на локальном компьютере со следующими именами: ~/.ssh/id_rsa_machine1, ~/.ssh/id_rsa_machine1.pub и ~/.ssh/id_rsa_machine2, ~/.ssh/id_rsa_machine2.pub.
Добавлен открытый ключ для user1 в локальной системе для author_keys на machine3.

В файл user1 ~/.ssh/config добавлено следующее:

    Host machine1
        HostName machine1.com
        User root
        IdentityFile ~/.ssh/id_rsa_machine1
        Port 22
        IdentitiesOnly yes

    Host machine2
        HostName machine2.com
        User root
        IdentityFile ~/.ssh/id_rsa_machine2
        Port 22
        ProxyCommand ssh -W %h:%p machine1
        IdentitiesOnly yes
        ForwardAgent yes


    Host machine3
        HostName machine3.com
        User abc
        ProxyCommand ssh -W %h:%p machine2
        IdentitiesOnly yes
        ForwardAgent yes

Сейчас выбран русский

Настройка туннеля ssh через несколько хостов и с разными пользователями

2 ответа2

Всё ещё ищете ответ? Посмотрите другие вопросы с метками linux ssh ssh-tunnel.

Настройка туннеля ssh через несколько хостов и с разными пользователями

2 ответа2

Всё ещё ищете ответ? Посмотрите другие вопросы с метками linux ssh ssh-tunnel.

Похожие