Wymagana jest dodatkowa konfiguracja do przekazywania dalej agenta ssh?

Ten przewodnik świetnie się spisuje wyjaśniając, jak działa ssh-agent w wielu systemach. Chciałbym skonfigurować przekazywanie tak, jak jest to w ostatnim zestawie diagramów, ale mam problem ze śledzeniem kroków wymaganych do tego.

W przypadku niektórych komputerów w mojej sieci mogę ssh od A do B, a następnie od B do C, bez wprowadzania hasła certyfikatu. Inne komputery jednak podają komunikat „Nie można otworzyć połączenia z agentem uwierzytelniającym” (czasami!), A następnie nie przekazują moich informacji uwierzytelniających. SSHing z jednego z tych komputerów do innego urządzenia w sieci ponownie monituje o podanie mojego klucza prywatnego.

Nie zbudowałem tych maszyn, ale mogę zarządzać niektórymi z nich. Nie wiem na pewno, jaka jest różnica między Boxen, które działają, a tymi, które nie działają - może to być problem z zaporą ogniową, konfiguracja ssh / ssh-agent / sshd, cokolwiek, i nie widzę żadnego kroku - szczegółowe instrukcje dotyczące przekazywania unoszące się wokół sieci. Muszę tylko wiedzieć, od czego zacząć ściganie tego problemu.

Przekazywanie agenta SSH musi być dozwolone na kliencie ( ForwardAgentopcja w ~/.ssh/config) i na serwerze ( AllowAgentForwardingopcja w sshd_config). Możliwe, że twoje maszyny mają różne ustawienia domyślne dla jednej lub obu tych opcji.

Jeśli wybierasz A-> B-> C, przekazywanie nie jest konieczne na etapie B-> C (chyba że wybierzesz C-> D, oczywiście).

Po zalogowaniu się do B sprawdź, czy zmienna środowiskowa SSH_AUTH_SOCKjest zdefiniowana. Jego wartość polega na tym, jak sshumie się skontaktować z agentem.

Nie ma żadnego powodu, aby zabraniać przekazywania agentów na serwerze, ponieważ przekazywanie agentów powoduje, że klient jest podatny na działanie serwera, a nie na odwrót, i że w zasadzie można było skonfigurować przekazywanie agentów ręcznie (chociaż od tego nie byłoby sensu trudność jego skonfigurowania pokonałaby wygodę przekazywania agentów).

Chociaż masz już poprawną odpowiedź @Gilles powyżej, chciałem zauważyć, że AllowAgentForwardingjest obsługiwany tylko w OpenSSH 5.1 i nowszych .

Serwery OpenSSH przed 5.1, z tego, co widziałem w moim pudełku RHEL 4u5, domyślnie zezwalają na przekazywanie agentów. Jeśli więc serwer jest starszy niż 5.1 i przekazywanie agentów nie działa, problem prawdopodobnie występuje w kliencie ssh. Ponieważ wydaje się, że przekazywanie działa dla niektórych maszyn, wydaje się, że /etc/ssh/ssh_configkonfiguracja jest w porządku. Sprawdź, ~/.ssh/configczy jest jakiś wyjątek, aby wyłączyć przekazywanie agentów dla dotkniętych skrzynek.

Patrz: http://www.openssh.org/txt/release-5.1