Putty + PKI + Pageant nie działa na vSphere nie działa

0

Próbuję użyć PKI do łączenia się z wieloma VMWare vSphere system operacyjny gościa, który został zainstalowany OpenSSH 5.6 ponad SSH2, używając Kit i Korowód .
Stworzyłem klucze i skonfigurowałem Putty, ale jakoś nie ma wymiany kluczy (które widzę), gdy próbuję się z nimi połączyć. Jednak gdy użyłem dokładnie tego samego procesu na fizycznym serwerze Xenial, działał on bez zarzutu. Mogę poprawnie zalogować się przy użyciu uwierzytelniania opartego na hasłach, ale nie poprzez PKI.
Czy ktoś może mi powiedzieć, czego tu brakuje?
Z poważaniem!

vmware putty Fernando Pérez
źródło
1
Nie ma tu wystarczająco dużo szczegółów, aby określić, na czym polega problem, i wygląda na to, że jest to błąd sieciowy lub konfiguracyjny, a nie problem bezpieczeństwa informacji. Na przykład, czy możesz pingować maszyny wirtualne od klienta, na którym działa Putty? Czy możesz zalogować się za pomocą hasła? Jeśli skanujesz komputery, czy widzisz port 22 nasłuchujący?
Ok dzięki. Wyedytuję szczegóły mojego pytania. Tak, mogę pingować i tak, mogę się zalogować za pomocą uwierzytelniania hasłem. Jedynym problemem jest używanie kluczy Private-Public. Konfiguracja OpenSSH wygląda dobrze, a kit z pewnością działa na innych hostach innych niż vSphere.
Fernando Pérez
(1) sprawdź ~/.ssh/authorized_keys (lub inna lokalizacja, jeśli niestandardowa konfiguracja) na „złym” serwerze istnieje, zarówno katalog, jak i plik będący własnością użytkownika i możliwy do odczytania przez „użytkownika” (dir 5xx lub 7xx, plik zwykle 4xx lub 6xx) i nie do zapisania przez „grupa” lub „ inne ”i zawiera linię, której pierwsze dwa pola (lub pierwsze dwa po opcjach) pasują dokładnie wartości wyświetlane przez puttygen (lub wartości w dobrym pliku serwera) (2) sprawdzają dziennik serwera w momencie nieudanej próby (3) włączają rejestrację PuTTY dla „pakietów SSH” przed próbą połączenia i sprawdzają ten plik , a jeśli nadal nie jest jasne, dodaj go do swojego Q.
dave_thompson_085
PS: Klucze publiczne SSH korzystają z kryptografii klucza publicznego (PKC), ale nie z infrastruktury klucza publicznego (PKI) - z wyjątkiem trochę rzadko używanych i bardzo idiosynkratycznych certyfikatów OpenSSH, które nie są w ogóle obsługiwane przez PuTTY.
dave_thompson_085
Wydaje się, że na wirtualnym hoście, sshd_config miał RSAAuthentication Ustawić NIE i AuthorizedKeysFile był ustawiony na /etc/ssh/keys-%u/authorized_keys zamiast domyślnego %h/.ssh/authorized_keys. Kto wie dlaczego. Dostosuję się do tego. Dziękuję za Twój wkład i wgląd @ dave_thompson_085!
Fernando Pérez

Odpowiedzi:

1

- Dlaczego problem:

Wbudowany serwer OpenSSH ESXi , która jest domyślnie wyłączona, ma inną konfigurację ( / etc / ssh / sshd_config ) niż typowy OpenSSH oparty na Linuksie / Ubuntu. Główna różnica polega na ścieżce akceptowanych autoryzowanych kluczy:

- Konfiguracja:

Typowy plik konfiguracyjny OpenSSH Ubuntu (Xenial): 

#Authentication:
PermitRootLogin prohibit-password
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys

Plik konfiguracyjny hosta ESXi vSphere OpenSSH: 

# Authentication:
PermitRootLogin yes
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,3des-cbc
PasswordAuthentication no
RSAAuthentication yes
AuthorizedKeysFile /etc/ssh/keys-%u/authorized_keys

- Rozwiązanie:

  • Przesuń authorized_keys plik do / etc / ssh / keys- (user) / authorized_keys.

    LUB:

  • Zmień linię w / etc / ssh / sshd_config który ma AuthorizedKeysFile wskazać lokalizację pliku authorized_keys.

Fernando Pérez
źródło