як налаштувати ssh для RSAAuthentication

[vanessa]

запускаю
$ ssh-keygen -t rsa
у теці ~/.ssh отримую два файли
id_rsa
id_rsa.pub

вміст файлу  id_rsa.pub записав на сервер в ~/.ssh/autorized_keys власне створив новий файл бо там його небуло. З'єднуюсь із сервером а він, гад, пароль запитує.
В причепі конфігураційні файли sshd_config - відповідно сервера та ssh_config клієнта.

[Praporshic]

Перевірте права на authorized_keys та саму .ssh. А ще для копіювання ключів зручно користуватись ssh-copy-id

[vanessa]

права на
~/,ssh  0700
~/.ssh/authorized-keys 0600
а які вони повинні бути ? про це я щось у манах нічого не читав.
видалив authorized_keys на сервері, а потім на клієнті зробив
$ ssh-copy-id server
він запитав пароль, увів його, дивлюсь - створився файл на сервері ~/.ssh/authorized-keys із правами 0600. але сервер всерівно пароль питає....

[vanessa]

мабуть я не те мав наувазі коли придумав темі назву. Я мав наувазі аутентифікацю по публічному ключу.

[vanessa]

Блін. От халепа.... На свойому ноутбуку під кубунту 7.10 налантував ssh на аутентифікацію по публічному ключу. Скопіював конфігураційні файли на сервер, перезапустив демон ssh понову скопіював на сервер публічний ключ - не можу підключитись із ноута до сервера без пароля. А от навпаки - працює.... Де собака порилась ?

[noddeat]

authorized_keys2 файл має називатися
ось докладна інструкція:
http://linux.org.ua/cgi-bin/yabb/YaBB.pl?num=1179744550
якщо не буде працювати, перевірте конфігурацію ssh-сервера на віддаленій машині, чи там взагалі таку автентифікацію дозволено.

[Praporshic]

В мене на усіх хостах де використовую авторизацію за ключем зроблено так:
-rw-------+ 1 sergey sergey  1975 чер 29  2007 authorized_keys
-rw-------+ 1 sergey sergey  1675 тра 20  2007 id_rsa
-rw-r--r--+ 1 sergey sergey   395 тра 20  2007 id_rsa.pub

Клієнт має не сприймати секретний ключ, якщо доступ до файлу відмінний від 600

[vanessa]

а дітька лисого. уважно перевірив права і на клієнті і на сервері. все так, як і повинно бути. читав що пан noddeat писав - не допомага. Я розумію, що чудес не буває але воно не працює....

[noddeat]

а дітька лисого. уважно перевірив права і на клієнті і на сервері. все так, як і повинно бути. читав що пан noddeat писав - не допомага. Я розумію, що чудес не буває але воно не працює....

а читали наступне повідомлення anatoliyd? :

Тре додати шо в /etc/ssh/sshd_config оця "хрєнь" має бути закоментована як мінімум (або вказаний інший перелік файлів), інакше public key authentication не відбудеться:

#AuthorizedKeysFile     .ssh/authorized_keys

я подивився, у вас якраз воно розкоментоване — закоментуйте.

Директива, яка визначає приорітети доступних методів автентифікації:
PreferredAuthentications public-key, password, pam

[vanessa]

а читали наступне повідомлення anatoliyd? :

Тре додати шо в /etc/ssh/sshd_config оця "хрєнь" має бути закоментована як мінімум (або вказаний інший перелік файлів), інакше public key authentication не відбудеться:

#AuthorizedKeysFile     .ssh/authorized_keys

я подивився, у вас якраз воно розкоментоване — закоментуйте.

Ато я не пробував. і файл у authorized_keys2 перейменовував - не допомага

доречі, якщо це може нуштовхнути на якісь думки

Код: [Вибрати]

$ ssh -v rabitsa.org.ua
OpenSSH_4.6p1 Debian-5ubuntu0.1, OpenSSL 0.9.8e 23 Feb 2007
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to rabitsa.org.ua [77.242.166.134] port 22.
debug1: Connection established.
debug1: identity file /home/vanessa/.ssh/id_rsa type 1
debug1: identity file /home/vanessa/.ssh/id_dsa type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_4.7p1 Debian-2
debug1: match: OpenSSH_4.7p1 Debian-2 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.6p1 Debian-5ubuntu0.1
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host 'rabitsa.org.ua' is known and matches the RSA host key.
debug1: Found key in /home/vanessa/.ssh/known_hosts:1
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Offering public key: /home/vanessa/.ssh/id_rsa
debug1: Authentications that can continue: publickey,password
debug1: Trying private key: /home/vanessa/.ssh/id_dsa
debug1: Next authentication method: password
vanessa@rabitsa.org.ua's password:
це із ноута на сервер. А ось - навпаки, із сервера на ноут

Код: [Вибрати]

$ ssh -v miniaquasd.dyndns.org
OpenSSH_4.7p1 Debian-2, OpenSSL 0.9.8c 05 Sep 2006
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to miniaquasd.dyndns.org [92.112.74.137] port 22.
debug1: Connection established.
debug1: identity file /home/vanessa/.ssh/identity type -1
debug1: identity file /home/vanessa/.ssh/id_rsa type 1
debug1: identity file /home/vanessa/.ssh/id_dsa type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_4.6p1 Debian-5ubuntu0.1
debug1: match: OpenSSH_4.6p1 Debian-5ubuntu0.1 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.7p1 Debian-2
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host 'miniaquasd.dyndns.org' is known and matches the RSA host key.
debug1: Found key in /home/vanessa/.ssh/known_hosts:1
Warning: Permanently added the RSA host key for IP address '92.112.74.137' to the list of known hosts.
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Trying private key: /home/vanessa/.ssh/identity
debug1: Offering public key: /home/vanessa/.ssh/id_rsa
debug1: Server accepts key: pkalg ssh-rsa blen 277
debug1: read PEM private key done: type RSA
debug1: Authentication succeeded (publickey).
debug1: channel 0: new [client-session]
debug1: Entering interactive session.
debug1: Sending environment.
debug1: Sending env LANG = uk_UA.UTF-8
Linux celeris 2.6.23.9-my3 #1 PREEMPT Fri Jan 4 13:07:59 EET 2008 i686

The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.
You have new mail.
Last login: Fri Feb 22 23:53:35 2008 from localhost
vanessa@celeris:~$

і конфігі і ключі на ноуті і на сервері однакові і з однаковими правами.

[Praporshic]

Приберіть або закоментуйте строку "IdentityFile ~/.ssh/id_rsa" у ssh_config - то є налаштування клієнта.
В мене у тому файлі лише таке:

   SendEnv LANG LC_*
    HashKnownHosts yes
    GSSAPIAuthentication yes
    GSSAPIDelegateCredentials no

[vanessa]

прибрав і закоментарив - не допомага.

[noddeat]

хмм...закладаємо, що sshd_config та ssh_config, а також ключі у вас абсолютно однакові на обох машинах, але працює лише в одну сторону. може, проблема в тому, що ключі однакові?

[Praporshic]

може, проблема в тому, що ключі однакові?

Це не проблема. В мене на кількох хостах однакові ключі, але проблем не спостерігаю.

[vanessa]

У теці /etc/ssh ще є файли ключів. хто їх генерує і для чого вони потрібні ? Чи не може у них бути причина у тому що я неможу налаштувати?

Я вже звантажив сирцевий пакунок openssh-server для Lenny і перезібрав та встановиви його - не допомогло.

А OpenSSL тут із якого боку? Це може якось завадити ?