Στη δουλειά συνδέομαι σε διάφορους υπολογιστές μέσω ssh με χρήση smart card, το PIN της, και στη συνέχεια τον κωδικό μου. Όλα καλά, κανένα πρόβλημα. Μπορώ να κάνω το ίδιο και σε απομακρυσμένους υπολογιστές; Αυτό που εννοώ είναι το εξής:
Υπολογιστής δουλειάς (windows 10) συνδέεται με SSH (via Cygwin και χρήση smart card) στον υπολογιστή Α (Linux). Μπορώ από τον Α να συνδεθώ με SSH στον Β, επίσης Linux, με τη smart card που έχω στον υπολογιστή της δουλειάς μου;
Δοκίμασα αυτό: http://juanjose.garciaripoll.com/blo...ent-on-windows αλλά στο βήμα 3 παίρνω access denied, πιθανότατα γιατί δεν είμαι administrator.
Ευχαριστώ.
Εμφάνιση 1-15 από 15
-
22-03-19, 22:18 Απομακρυσμένη χρήση smart card #1
-
22-03-19, 22:35 Απάντηση: Απομακρυσμένη χρήση smart card #2
Αν το κάνεις ενα script στην δικιά σου επιφάνεια εργασίας δεν σε αφήνει μετά να το τρέξεις;
-
22-03-19, 23:48 Απάντηση: Απομακρυσμένη χρήση smart card #3
Αυτό από το βήμα 3 του λινκ; Όχι.
-
23-03-19, 01:24 Απάντηση: Απομακρυσμένη χρήση smart card #4
-
23-03-19, 01:54 Απάντηση: Απομακρυσμένη χρήση smart card #5
Πολύ αργά τώρα, θα πρέπει να το δω τη Δευτέρα στη δουλειά.
-
23-03-19, 12:15 Απάντηση: Απομακρυσμένη χρήση smart card #6
Ίσως να μην κατάλαβα ακριβώς τι θέλεις να κάνεις αλλά για αυτή τη δουλειά δεν έχει υλοποιηθεί το agent forwarding;
Στα windows τρέχεις κανονικά τον ssh-agent (αν κατάλαβα καλά βέβαια εδώ έχεις πρόβλημα) και κάνεις "ssh -A" στον υπολογιστή Α. Η παράμετρος -A ενεργοποιεί το agent forwarding (αρκεί βέβαια να το επιτρέπει ο sshd) οπότε οπουδήποτε προσπαθήσεις να συνδεθείς από τον υπολογιατή Α, το ssh θα μιλήσει με τον agent που τρέχει στα windows οπότε θα δουλέψει με την smartcard."I like offending people, because I think people who get offended should be offended" - Linus Torvalds
"Παλιά είχαμε φτωχούς οι οποίοι ζούσανε σε φτωχογειτονιές. Τώρα, η οικονομικά δυσπραγούσα τάξη
κατέχει στέγες υποδεέστερης ποιότητας σε υποβαθμισμένα αστικά κέντρα" - George Carlin
Γα.... την πολιτική ορθότητα.
-
23-03-19, 18:49 Απάντηση: Απομακρυσμένη χρήση smart card #7
-
23-03-19, 19:44 Απάντηση: Απομακρυσμένη χρήση smart card #8
-
23-03-19, 20:09 Απάντηση: Απομακρυσμένη χρήση smart card #9
Εδώ κολλάει:
Κώδικας:OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013 debug1: Reading configuration data /home/ΧΧΧΧΧ/.ssh/config debug1: Reading configuration data /etc/ssh/ssh_config debug1: Applying options for * debug1: Connecting to ΧΧΧΧΧ [ΧΧΧ.ΧΧΧ.ΧΧΧ.ΧΧΧ] port 22. debug1: Connection established. debug1: identity file /home/ΧΧΧΧΧ/.ssh/identity type -1 debug1: identity file /home/ΧΧΧΧΧ/.ssh/identity-cert type -1 debug1: identity file /home/ΧΧΧΧΧ/.ssh/id_rsa type 1 debug1: identity file /home/ΧΧΧΧΧ/.ssh/id_rsa-cert type -1 debug1: identity file /home/ΧΧΧΧΧ/.ssh/id_dsa type -1 debug1: identity file /home/ΧΧΧΧΧ/.ssh/id_dsa-cert type -1 debug1: identity file /home/ΧΧΧΧΧ/.ssh/id_ecdsa type -1 debug1: identity file /home/ΧΧΧΧΧ/.ssh/id_ecdsa-cert type -1
-
23-03-19, 20:34 Απάντηση: Απομακρυσμένη χρήση smart card #10
Πάλι θα πω χαζομάρα αλλά τι έκδοση έχει το ssh-agent / ssh στα windows; Αυτό το 5.3p1 είναι στον υπολογιστή Α; Μήπως παίζει κάποια ασυμβατότητα με τους αλγορίθμους των κλειδιών;
Το openssh εννοείται ότι φροντίζει να έχει συμβατότητα προς τα πίσω αλλά ίσως σε συνδυασμό με την smartcard να γίνεται κάποια βλακεία. Το 5.3p1 πρέπει να είναι πάρα πολύ παλιό αν σκεφτούμε ότι τώρα είμαστε στο 7.9.
Εγώ χρησιμοποιώ συνέχεια την smartcard αλλά όχι σε windows (ssh 7.9p1 και gnupg 2.2.14)."I like offending people, because I think people who get offended should be offended" - Linus Torvalds
"Παλιά είχαμε φτωχούς οι οποίοι ζούσανε σε φτωχογειτονιές. Τώρα, η οικονομικά δυσπραγούσα τάξη
κατέχει στέγες υποδεέστερης ποιότητας σε υποβαθμισμένα αστικά κέντρα" - George Carlin
Γα.... την πολιτική ορθότητα.
-
23-03-19, 21:02 Απάντηση: Απομακρυσμένη χρήση smart card #11
-
23-03-19, 21:46 Απάντηση: Απομακρυσμένη χρήση smart card #12
Αν θέλεις να κάνεις δοκιμές, το δικό μου setup είναι το εξής (την smartcard την δουλεύει το gnupg οπότε ουσιαστικά κάνω forwarding το gpg-agent και όχι το ssh-agent. έχει το σκέτο ssh υποστήριξη για smartcard; ) :
Επαλήθευσα μόλις τώρα ότι δουλεύει.
Στον υπολογιστή που είναι τα δικά σου "windows" έχω τα εξής:
Έχω μια καταχώρηση στο .ssh/config με τον "υπολογιστή Α"
Κώδικας:Host compA Hostname τάδε User τάδε # RemoteUserDir LocalUserDir RemoteForward /run/user/1031/gnupg/S.gpg-agent /run/user/1031/gnupg/S.gpg-agent.extra RemoteForward /run/user/1031/gnupg/S.gpg-agent.ssh /run/user/1031/gnupg/S.gpg-agent.ssh
Edit: Ξέχασα να αναφέρω ότι όλα αυτά γίνονται μόνο με gnupg > 2.1. Αν το centos τρέχει τίποτα gpg 1.X ή έστω 2.0, τότε δεν χρειάζεται να προσπαθήσεις καν.
Ανάλογα με το πως είναι ρυθμισμένη η διανομή και τι έκδοση gnupg έχεις, μπορεί να έχεις διαφορετικά paths σε local και remote. Το /run/user είναι σχετικά νέα σύμβαση και παλαιότερα τα sockets ήταν στο $HOME/.gnupg. Τρέχεις το παρακάτω σε local και remote και βλέπεις τι πρέπει να βάλεις. Όπως βλέπεις, το local socket είναι το extra το οποίο γίνεται forward σαν κεντρικό socket στον remote.
Κώδικας:% gpgconf --list-dirs agent-extra-socket
Κώδικας:export SSH_AUTH_SOCK="/run/user/${UID}/gnupg/S.gpg-agent.ssh" export GPG_TTY=$(tty)
Spoiler:
Ελπίζω να βοήθησα και να μη σε μπέρδεψα περισσότερο. Περίμενε αν θέλεις μήπως απαντήσει κάποιος που έχει περισσότερες γνώσεις από windows και σκέτο ssh."I like offending people, because I think people who get offended should be offended" - Linus Torvalds
"Παλιά είχαμε φτωχούς οι οποίοι ζούσανε σε φτωχογειτονιές. Τώρα, η οικονομικά δυσπραγούσα τάξη
κατέχει στέγες υποδεέστερης ποιότητας σε υποβαθμισμένα αστικά κέντρα" - George Carlin
Γα.... την πολιτική ορθότητα.
-
23-03-19, 23:17 Απάντηση: Απομακρυσμένη χρήση smart card #13
-
24-03-19, 00:22 Απάντηση: Απομακρυσμένη χρήση smart card #14
Φυσικά και είναι σουρωτήρι, αλλά δεν μπορώ να κάνω τίποτα εγώ, δεν εξαρτάται από μένα. Ο υπολογιστής είναι σε εσωτερικό δίκτυο και προστατεύεται από παρανοϊκό firewall, καθώς ανήκει σε μεγάλο οργανισμό, οπότε μάλλον γι' αυτό δεν ανησυχούν ιδιαίτερα. Τέλος πάντων. Η λύση να συνδεθώ μέσω άλλου server είναι άσχετη, θέλω να πηγαινοέρχομαι ανάμεσα σε αυτούς τους δύο υπολογιστές, οπότε δεν μπορώ να παρακάμψω έναν από τους δύο. Μπορώ να κάνω το Β->Α τώρα, γιατί η διαπίστευση με smart card δεν χρειάζεται προς αυτή την κατεύθυνση, το Α->Β παλεύω.
@imitheos ευχαριστώ, αλλά:
gpgconf (GnuPG) 2.0.14
-
24-03-19, 17:16 Απάντηση: Απομακρυσμένη χρήση smart card #15
Bookmarks