Rangy Posted August 24, 2004 Share Posted August 24, 2004 Някой правил ли е ssh с SSL машинни сертификати? Идеята е да не се въвежда име и парола при ssh-a, ами да се използват генерирани OpenSSL сертификати. Изчетох каквото намерих по темата, но понеже не съм го почнал още, реших дали мога да си спестя малко нерви Link to comment Share on other sites More sharing options...
Godfather Posted August 24, 2004 Share Posted August 24, 2004 Някой правил ли е ssh с SSL машинни сертификати? Идеята е да не се въвежда име и парола при ssh-a, ами да се използват генерирани OpenSSL сертификати.Изчетох каквото намерих по темата, но понеже не съм го почнал още, реших дали мога да си спестя малко нерви В конфигурацията на сървъра трябва да имаш следната конфигурация в /etc/ssh/sshd_config: RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys RhostsRSAAuthentication yes HostbasedAuthentication yes PasswordAuthentication no след което за всеки потребител, който трябва да се логва на този сървър правиш файла $HOME/.ssh/authorized_keys и в него въвеждаш публичния RSA ключ от генерираната двойка ключове с OpenSSL И още нещо важно - двойката RSA ключове на клиента по default се намират в: $HOME/.ssh/id_rsa $HOME/.ssh/id_rsa.pub Link to comment Share on other sites More sharing options...
Rangy Posted August 24, 2004 Author Share Posted August 24, 2004 В конфигурацията на сървъра трябва да имаш следната конфигурация ............ 10х за инфото. Вероятно и ти си чел това: http://hpc.me.utexas.edu/docs/help/tuts/ssh_agent.php Аз по-скоро се интересувах от това как същото нещо се прави с openssl, т.е. с X.509 сертификати (.pem или pkcs#12). То си е направо същото, но леките нюанси ми убягват, затова и питам. Link to comment Share on other sites More sharing options...
Godfather Posted August 24, 2004 Share Posted August 24, 2004 10х за инфото. Вероятно и ти си чел това: http://hpc.me.utexas.edu/docs/help/tuts/ssh_agent.php Аз по-скоро се интересувах от това как същото нещо се прави с openssl, т.е. с X.509 сертификати (.pem или pkcs#12). То си е направо същото, но леките нюанси ми убягват, затова и питам. Значи тука ситуацията е идентична на стария rhost login. С тази разлика, че се използва сигурната RSA автентикация, а не само идента по IP, което може изключително лесно да се spoof-ва. Това, за което питаш, ако съм разбрал правилно - безпаролно логване, обче с PKI/X.509 е нещо на този етап невъзможно с OpenSSH, поради липсата на поддръжка на цифрови сертификати. Link to comment Share on other sites More sharing options...
Rangy Posted August 25, 2004 Author Share Posted August 25, 2004 Това, за което питаш, ако съм разбрал правилно - безпаролно логване, обче с PKI/X.509 е нещо на този етап невъзможно с OpenSSH, поради липсата на поддръжка на цифрови сертификати. <{POST_SNAPBACK}> Ъ!? Можи бе! http://www.roumenpetrov.info/openssh/ Просто питах, дали някой го е правил.... Link to comment Share on other sites More sharing options...
Godfather Posted August 25, 2004 Share Posted August 25, 2004 Ъ!? Можи бе!http://www.roumenpetrov.info/openssh/ Просто питах, дали някой го е правил.... Това не съм го пробвал, все пак не е в "стандартното" изпълнение и може да крие подводни камъни, но е интересно и ако ми остане малко време ще го почовъркам Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.