20

Это руководство прекрасно объясняет, как ssh-agent работает в разных системах. Я бы хотел настроить переадресацию так, как это показано в последнем наборе диаграмм, но у меня возникают проблемы с отслеживанием шагов, необходимых для этого.

Для некоторых машин в моей сети я могу использовать SSH от A до B, затем от B до C, не вводя пароль. Другие машины, однако, выдают "Не удалось открыть соединение с вашим агентом аутентификации" (иногда!), А затем не пересылают мои данные аутентификации. SSHing от одного из этих компьютеров к другому блоку в сети снова запрашивает мой пароль закрытого ключа.

Я не собирал эти машины, но могу управлять некоторыми из них. Я не знаю наверняка, в чем разница между работающим boxen и тем, кто этого не делает - это может быть проблема с брандмауэром, конфигурация ssh/ssh-agent/sshd, что угодно, и я не вижу никаких шагов. пошаговые инструкции, специфичные для пересылки, плавающей вокруг сети. Мне просто нужно знать, с чего начать эту проблему.

2 ответа2

23

Пересылка агента Ssh должна быть разрешена на клиенте (опция ForwardAgent в ~/.ssh/config) и на сервере (опция AllowAgentForwarding в sshd_config). Скорее всего, ваши машины имеют разные настройки по умолчанию для одного или обоих этих параметров.

Если вы идете A-> B-> C, на шаге B-> C переадресация не требуется (если, конечно, вы не собираетесь идти C-> D).

Когда вы вошли в B, убедитесь, что переменная окружения SSH_AUTH_SOCK определена. Его значение в том, как ssh знает, как связаться с агентом.

Нет веских оснований запрещать переадресацию агентов на сервере, учитывая, что переадресация агентов делает клиента уязвимым для сервера, а не наоборот, и что вы в принципе можете настроить переадресацию агентов вручную (хотя в этом нет особого смысла, поскольку Сложность его настройки может нанести ущерб удобству пересылки агентов).

14

Хотя у вас уже есть правильный ответ @Gilles выше, я хотел бы отметить, что AllowAgentForwarding поддерживается только в OpenSSH 5.1 и выше.

Серверы OpenSSH до 5.1, как я видел в моем окне RHEL 4u5, разрешают пересылку агентов по умолчанию. Поэтому, если ваш сервер старше 5.1 и переадресация агента не работает, проблема, скорее всего, в клиенте ssh. Поскольку переадресация работает на некоторых машинах для вас, кажется, что /etc/ssh/ssh_config настроена нормально. Проверьте ~/.ssh/config чтобы увидеть, есть ли исключение, сделанное для отключения переадресации агента для затронутых блоков.

Ссылка: http://www.openssh.org/txt/release-5.1

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .