Ssh- এজেন্ট ফরওয়ার্ডিংয়ের জন্য অতিরিক্ত কনফিগারেশন প্রয়োজন?


21

এই গাইডটি একাধিক সিস্টেমে কীভাবে ssh-এজেন্ট কাজ করে তা ব্যাখ্যা করে দুর্দান্ত কাজ করে। আমি ডায়াগ্রামের শেষ সেটের মতোই ফরোয়ার্ডিং সেট আপ করতে চাই, তবে এটি করার জন্য প্রয়োজনীয় পদক্ষেপগুলি সন্ধান করতে আমার সমস্যা হচ্ছে।

আমার নেটওয়ার্কের কয়েকটি মেশিনের জন্য , আমি কোনও শংসাপত্রের পাসওয়ার্ড না দিয়েই এ থেকে বি, তারপরে বি থেকে সি, পর্যন্ত এসএসএস করতে পারি। অন্যান্য মেশিনগুলি তবে "আপনার প্রমাণীকরণ এজেন্টের সাথে কোনও সংযোগ খুলতে পারেনি" দেয় (কখনও কখনও!), তারপরে আমার প্রমাণীকরণের তথ্য ফরোয়ার্ড করবে না। এই মেশিনগুলির মধ্যে একটি থেকে নেটওয়ার্কের অন্য বাক্সে এসএসএইচিং আমার ব্যক্তিগত-কী পাসওয়ার্ডটির জন্য আবার অনুরোধ করে।

আমি এই মেশিনগুলি তৈরি করি নি, তবে আমি তাদের কয়েকটি পরিচালনা করতে পারি। বক্সেন যে কাজ করে এবং যে কাজ করে না তার মধ্যে পার্থক্য কী তা আমি নিশ্চিতভাবে জানি না - ফায়ারওয়াল সমস্যা হতে পারে, এসএসএস / এসএসএল-এজেন্ট / এসএসডি কনফিগারেশন, কিছু, এবং আমি কোনও পদক্ষেপ- দেখতে পাচ্ছি না- 'নেট'র চারপাশে ভাসমান ফরোয়ার্ডিংয়ের জন্য নির্দিষ্ট পদক্ষেপ গাইড ides আমি কেবল এই সমস্যাটি নীচে অনুসরণ করা শুরু করতে হবে তা জানতে হবে।

উত্তর:


23

এসএইচ এজেন্ট ফরওয়ার্ডিং অবশ্যই ক্লায়েন্টে ( ForwardAgentঅপশন ইন ~/.ssh/config) এবং সার্ভারে ( AllowAgentForwardingবিকল্পের মধ্যে sshd_config) অনুমোদিত হতে হবে। আপনার মেশিনগুলির মধ্যে এই দুটি বা দুটি বিকল্পের জন্য পৃথক ডিফল্ট সেটিংস থাকার সম্ভাবনা রয়েছে।

আপনি যদি অ-> বি-> সি যাচ্ছেন, বি-> সি পদক্ষেপে ফরওয়ার্ডিং প্রয়োজন হয় না (যদি না আপনি সি-> ডি অবশ্যই যাচ্ছেন)।

আপনি বিতে লগ ইন করার পরে, পরিবেশের পরিবর্তনশীল SSH_AUTH_SOCKসংজ্ঞায়িত হয়েছে কিনা তা পরীক্ষা করুন । sshএজেন্টের সাথে কীভাবে যোগাযোগ করতে হয় তা তার মান ।

সার্ভারে এজেন্ট ফরোয়ার্ডিং নিষিদ্ধ করার কোনও ভাল কারণ নেই, প্রদত্ত এজেন্ট ফরোয়ার্ডিং ক্লায়েন্টকে সার্ভারের জন্য ঝুঁকিপূর্ণ করে তোলে এবং বিপরীতে নয় এবং আপনি নীতিগতভাবে এজেন্ট ফরওয়ার্ডিং নিজেই সেট আপ করতে পারেন (যদিও এরপরে এত কিছু হবে না এটি স্থাপনের অসুবিধা এজেন্ট ফরোয়ার্ডিংয়ের সুবিধার পয়েন্টকে পরাস্ত করবে)।


সুসংবাদ: সন্ধানের জন্য আমাকে সঠিক কীটির দিকে নির্দেশ করার জন্য ধন্যবাদ! খারাপ খবর: স্পষ্টতই এটি ওপেনশ-সার্ভারে একটি পরিচিত বাগ। এটি কোনও স্থানে স্থির হয়ে গেছে বলে মনে হয়, তবে আমি মনে করি না যে আমি একটি বর্তমান পর্যাপ্ত সংস্করণ চালাচ্ছি - যখন আমি এটি সক্ষম করার চেষ্টা করি তখন আমি "খারাপ কনফিগারেশন বিকল্প: AllowAgent ফরওয়ার্ডিং" পাই। দেখে মনে হচ্ছে এটি আমার সফ্টওয়্যার
লোডআউট

1
@ কোডার: যেহেতু এজেন্ট ফরোয়ার্ডিং ডিফল্ট থাকে, তাই কোনও AllowAgentForwardingলাইন অপসারণ করার জন্য এটি যথেষ্ট হওয়া উচিত sshd_config
গিলস 'তাই মন্দ হওয়া বন্ধ করুন'

@ গিলস যদি কোনও বিদ্যমান অধিবেশনের জন্য কেউ ম্যানুয়ালি এজেন্ট ফরোয়ার্ড সেট আপ করতে চান, তবে তারা কীভাবে তা চালিয়ে যাবেন? AllowAgentForwardingঅক্ষমদের সাথে আসা এএমআই এর মতো ইফেমেরাল মেশিনগুলির সাথে ব্যবস্থার স্ক্রিপ্টগুলি সরবরাহ করা এটি আসল প্রয়োজন ।
অ্যান্ড্রু ডি অ্যান্ড্রেড

@ অ্যান্ড্রুড্রেঅ্যান্ড্রয়েড একটি বিদ্যমান অধিবেশনের জন্য, আপনার কাজ শেষ হয়ে গেছে। আপনি যদি সার্ভারে এটি অক্ষম করেও এজেন্ট ফরোয়ার্ডিং সেট আপ করতে চান তবে আপনাকে টিসিপির মাধ্যমে একটি ইউনিক্স সকেট ফরোয়ার্ড করতে হবে; এটি উভয় পক্ষের নেটক্যাট বা সকেটের সাথে করণীয়যোগ্য হওয়া উচিত।
গিলস 'অসন্তুষ্ট হওয়া বন্ধ করুন'

@ গিলস এই সিদ্ধান্তে আমিও এসেছি। আমি জানতে পেরেছিলাম যে আপনি স্পিপডও ব্যবহার করতে পারেন যা আরও সুরক্ষিত তবে প্রতিসম কী কী এক্সচেঞ্জের প্রয়োজন তবে এটি পরে সহজ।
অ্যান্ড্রু ডি অ্যান্ড্রেড

14

আপনার কাছে ইতিমধ্যে উপরে @ গিলস দ্বারা সঠিক উত্তর থাকা অবস্থায়, আমি এটি উল্লেখ করতে চেয়েছিলাম যে AllowAgentForwardingকেবল ওপেনএসএইচএইচ 5.1 এর পরে সমর্থিত।

আমার RHEL 4u5 বাক্সে আমি যা দেখেছি সেখান থেকে 5.1 এর আগে ওপেনএসএইচ সার্ভারগুলিকে এজেন্টকে পূর্বনির্ধারিতভাবে ফরোয়ার্ড করার অনুমতি দেয় allow সুতরাং যদি আপনার সার্ভারটি 5.1 এর বেশি পুরানো হয় এবং এজেন্ট ফরোয়ার্ডিং কাজ না করে তবে সমস্যাটি সম্ভবত ssh ক্লায়েন্টে রয়েছে। যেহেতু ফরওয়ার্ডিং আপনার জন্য কিছু মেশিনের জন্য কাজ করছে বলে মনে /etc/ssh/ssh_configহচ্ছে, সেট আপ ঠিক আছে। ~/.ssh/configআক্রান্ত বাক্সগুলির জন্য এজেন্ট ফরওয়ার্ডিং অক্ষম করার জন্য কোনও ব্যতিক্রম হয়েছে কিনা তা পরীক্ষা করে দেখুন।

তথ্যসূত্র: http://www.openssh.org/txt/release-5.1


হাই সন্দীপ, আপনার এ সম্পর্কে কিছু ধারণা আছে? superuser.com/questions/958978/…
নিকস
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.