Jak przykleić blokadę SSH-Agent do logowania do systemu Windows?

8

Czy w jakiś sposób jest możliwe automatyczne odblokowanie moich kluczy prywatnych do uwierzytelnienia ssh przy logowaniu do systemu Windows i (odblokowanie) ich, gdy (odblokowanie) zablokuje moją sesję?

Obecnie używam ssh-agenta msys, ale mogę też użyć np. Charade jako opakowania do widowiska Putty, jeśli istnieje już lepsze rozwiązanie tego problemu.

windows-7 ssh login ssh-agent Tobias Kienzler
źródło
2
Po prostu mam klucz bez hasła zaszyfrowany za pomocą EFS, który jest przezroczysty ssh-agent, więc klucz można załadować automatycznie, zachowując bezpieczeństwo.
user1686,
@grawity: dzięki, to jeszcze łatwiejsze! jeśli opublikujesz to jako odpowiedź, zaakceptuję korektę edycji , nie mogę, ponieważ mój administrator nie skonfigurował poprawnie EFS :(
Tobias Kienzler
W domenie Active Directory? (Jeśli nie masz certyfikatu, cipher /knależy utworzyć nowy, choć będzie on samopodpisany.)
user1686
@grawity: dzięki. Próbowałem, ale nic się nie zmieniło. Zacząłem nowe pytanie dotyczące tego problemu: Nie można zaszyfrować plików (przy użyciu EFS) w domenie
Tobias Kienzler

Odpowiedzi:

1

Grawity ma po prostu klucz pozbawiony hasła zaszyfrowany za pomocą EFS, który jest przezroczysty dla ssh-agent, dzięki czemu klucz może zostać załadowany automatycznie przy zachowaniu bezpieczeństwa. Sugeruje również, aby dla Active Directory: Jeśli nie masz certyfikatu, cipher /knależy utworzyć nowy, chociaż będzie on samopodpisany.

Tom Wijsman
źródło
to w zasadzie dobry pomysł, ale jak wspomniano, szyfrowanie plików nie działa. cipher /kdziała dobrze, ale wciąż pojawia się komunikat „Reguła odzyskiwania skonfigurowana dla tego systemu zawiera niepoprawny certyfikat odzyskiwania”, ale naprawienie tego (patrz tutaj ) wymaga uprawnień administratora ... Chyba pozostanę przy hibernacji lub nieszyfrowanym kluczu bez hasła
Tobias Kienzler,
@Tobias: Co masz na myśli? Nie masz uprawnień administratora? Powinieneś ich użyć lub poprosić o to administratora systemu. Jeśli nie masz dostępu do konta administratora, spróbuj zainstalować ponownie, jeśli jest to osobisty system operacyjny lub przestań próbować, jeśli jest to system operacyjny dla przedsiębiorstw. Być może rozważ użycie rozwiązania opartego na systemie Windows, takiego jak Usługi terminalowe ...
Tamara Wijsman,
działa, a nasz administrator (który nie udzieli nikomu uprawnień administratora) jest wystarczająco zajęty utrzymywaniem naszego klastra w porównaniu do tego problemu dla wygody
Tobias Kienzler
1

Możesz być w stanie przywrócić stan odblokowanych kluczy prywatnych przez hibernację procesu w stanie, w którym klucze prywatne są odblokowane; następnie za każdym razem, gdy jest to potrzebne, możesz uruchomić stan hibernacji zarejestrowany za pierwszym razem. Technicznie może to działać ...

Jeśli nie, spróbuj skonfigurować skrypt ( być może oparty na AutoIt ), aby zrobić to, co robisz ręcznie.

Tamara Wijsman
źródło
Nie podoba mi się pomysł umieszczenia hasła w postaci czystego tekstu w skrypcie, wtedy wolałbym nieszyfrowany klucz bez hasła. Ale hibernacja to dobry pomysł, mógłbym po prostu hibernować okna zamiast wyłączać je, co powinno zatrzymać wystąpienie ssh-agent.exe
Tobias Kienzler
1
@Tobias: Chodzi o to, że to, o co pytasz, zasadniczo wiąże blokadę agenta SSH z loginem systemu Windows; jedynym sposobem, aby to zrobić, są skrypty Harmonogramu zadań dla zdarzeń logowania, blokady i wylogowania. Skrypt można odczytać tylko dla użytkownika skonfigurowanego w Menedżerze zadań, a hasło można przechowywać w sposób zaszyfrowany i odszyfrować w razie potrzeby. Pozostaje tylko ktoś, kto kradnie twój dysk twardy, ale właśnie dlatego wymyślono EFS i TrueCrypt. Albo podajesz hasło, albo robisz to automatycznie, przechowując je gdzieś ...
Tamara Wijsman,
1
to prawda. Przyjmuję odpowiedź EFS twojego / grawity, ponieważ to byłoby rozwiązanie, którego użyłbym, gdyby zadziałało. Właściwie rozważam po prostu użycie nieszyfrowanego pliku klucza (z wyłącznymi uprawnieniami), ponieważ każdy, kto ma dostęp do odpowiedniego dysku twardego, byłby w tym samym pokoju, co komputer, do którego ssh i tak: - / dziękuję za obie odpowiedzi!
Tobias Kienzler