Hallo!
Ich möchte auf einem Centos7 den Login-Prompt über ssh abschalten und habe deshalb einen rsa-key auf den Server kopiert und die sshd_config bearbeitet und den Dienst neu gestartet:
PubkeyAuthentication yes AuthorizedKeyFile .ssh/authorized_keys PasswordAuthentication no ChallengeResponseAuthentication no
Ich erhalte aber ein Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
ssh -i .ssh/mein_rsa ich@server.de hingegen funktioniert.
Nach dem Studium mehrerer Howtos, die mehr oder weniger alle das gleiche Vorgehen beschreiben, weis ich nicht weiter.
Was habe ich übersehen?
Grüße
Andreas
Am 18.11.2017 um 17:31 schrieb Andreas Meyer:
Hallo!
Ich möchte auf einem Centos7 den Login-Prompt über ssh abschalten und habe deshalb einen rsa-key auf den Server kopiert und die sshd_config bearbeitet und den Dienst neu gestartet:
PubkeyAuthentication yes AuthorizedKeyFile .ssh/authorized_keys PasswordAuthentication no ChallengeResponseAuthentication no
Ich erhalte aber ein Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
ssh -i .ssh/mein_rsa ich@server.de hingegen funktioniert.
Nach dem Studium mehrerer Howtos, die mehr oder weniger alle das gleiche Vorgehen beschreiben, weis ich nicht weiter.
Was habe ich übersehen?
Falscher Besitzer oder falsche Rechte der Datei? Falsche Datei kopiert? Was sagt das Log?
Hallo!
Alex JOST jost+lists@dimejo.at schrieb am 18.11.17 um 17:34:08 Uhr:
Ich möchte auf einem Centos7 den Login-Prompt über ssh abschalten und habe deshalb einen rsa-key auf den Server kopiert und die sshd_config bearbeitet und den Dienst neu gestartet:
PubkeyAuthentication yes AuthorizedKeyFile .ssh/authorized_keys PasswordAuthentication no ChallengeResponseAuthentication no
Ich erhalte aber ein Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
ssh -i .ssh/mein_rsa ich@server.de hingegen funktioniert.
Nach dem Studium mehrerer Howtos, die mehr oder weniger alle das gleiche Vorgehen beschreiben, weis ich nicht weiter.
Was habe ich übersehen?
Falscher Besitzer oder falsche Rechte der Datei? Falsche Datei kopiert? Was sagt das Log?
Ich sehe folgendes:
debug1: SSH2_MSG_SERVICE_REQUEST sent debug1: SSH2_MSG_SERVICE_ACCEPT received debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic debug1: Next authentication method: publickey debug1: Offering RSA public key: /home/andreas/.ssh/id_rsa debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic debug1: Trying private key: /home/andreas/.ssh/id_dsa debug1: Trying private key: /home/andreas/.ssh/id_ecdsa debug1: Trying private key: /home/andreas/.ssh/id_ed25519 debug1: No more authentication methods to try. Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
Mit debug1: Offering RSA public key: /home/andreas/.ssh/id_rsa wird offenbar key id_rsa angeboten, was aber für den spezifischen Server der mein_rsa key sein sollte, oder sehe ich das verkehrt?
Wie wird der richtige key ausgewählt?
Andreas
Am 18.11.2017 um 18:00 schrieb Andreas Meyer:
Hallo!
Alex JOST jost+lists@dimejo.at schrieb am 18.11.17 um 17:34:08 Uhr:
Ich möchte auf einem Centos7 den Login-Prompt über ssh abschalten und habe deshalb einen rsa-key auf den Server kopiert und die sshd_config bearbeitet und den Dienst neu gestartet:
PubkeyAuthentication yes AuthorizedKeyFile .ssh/authorized_keys PasswordAuthentication no ChallengeResponseAuthentication no
Ich erhalte aber ein Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
ssh -i .ssh/mein_rsa ich@server.de hingegen funktioniert.
Nach dem Studium mehrerer Howtos, die mehr oder weniger alle das gleiche Vorgehen beschreiben, weis ich nicht weiter.
Was habe ich übersehen?
Falscher Besitzer oder falsche Rechte der Datei? Falsche Datei kopiert? Was sagt das Log?
Ich sehe folgendes:
debug1: SSH2_MSG_SERVICE_REQUEST sent debug1: SSH2_MSG_SERVICE_ACCEPT received debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic debug1: Next authentication method: publickey debug1: Offering RSA public key: /home/andreas/.ssh/id_rsa debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic debug1: Trying private key: /home/andreas/.ssh/id_dsa debug1: Trying private key: /home/andreas/.ssh/id_ecdsa debug1: Trying private key: /home/andreas/.ssh/id_ed25519 debug1: No more authentication methods to try. Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
Mit debug1: Offering RSA public key: /home/andreas/.ssh/id_rsa wird offenbar key id_rsa angeboten, was aber für den spezifischen Server der mein_rsa key sein sollte, oder sehe ich das verkehrt?
Wie wird der richtige key ausgewählt?
Ich bin mir nicht sicher, ob ich Dich richtig verstehe. Ist der richtige Schlüssel jetzt in id_rsa oder mein_rsa?
Hallo,
sollte so gehen :
~/.ssh/config
host server.de IdentityFile ~/.ssh/mein_rsa
Ralph
----- Am 18. Nov 2017 um 18:00 schrieb Andreas Meyer a.meyer@nimmini.de:
Hallo!
Alex JOST jost+lists@dimejo.at schrieb am 18.11.17 um 17:34:08 Uhr:
Ich möchte auf einem Centos7 den Login-Prompt über ssh abschalten und habe deshalb einen rsa-key auf den Server kopiert und die sshd_config bearbeitet und den Dienst neu gestartet:
PubkeyAuthentication yes AuthorizedKeyFile .ssh/authorized_keys PasswordAuthentication no ChallengeResponseAuthentication no
Ich erhalte aber ein Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
ssh -i .ssh/mein_rsa ich@server.de hingegen funktioniert.
Nach dem Studium mehrerer Howtos, die mehr oder weniger alle das gleiche Vorgehen beschreiben, weis ich nicht weiter.
Was habe ich übersehen?
Falscher Besitzer oder falsche Rechte der Datei? Falsche Datei kopiert? Was sagt das Log?
Ich sehe folgendes:
debug1: SSH2_MSG_SERVICE_REQUEST sent debug1: SSH2_MSG_SERVICE_ACCEPT received debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic debug1: Next authentication method: publickey debug1: Offering RSA public key: /home/andreas/.ssh/id_rsa debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic debug1: Trying private key: /home/andreas/.ssh/id_dsa debug1: Trying private key: /home/andreas/.ssh/id_ecdsa debug1: Trying private key: /home/andreas/.ssh/id_ed25519 debug1: No more authentication methods to try. Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
Mit debug1: Offering RSA public key: /home/andreas/.ssh/id_rsa wird offenbar key id_rsa angeboten, was aber für den spezifischen Server der mein_rsa key sein sollte, oder sehe ich das verkehrt?
Wie wird der richtige key ausgewählt?
Andreas
PGP-Fingerprint: D392 5D21 0299 63D7 5BAE 4562 1E56 B2EA 81A2 59F1
-- _______________________________________________ CentOS-de mailing list CentOS-de@centos.org https://lists.centos.org/mailman/listinfo/centos-de
Hallo!
Ralph Meyer ralph@schosemail.de schrieb am 18.11.17 um 18:26:01 Uhr:
sollte so gehen :
~/.ssh/config
host server.de IdentityFile ~/.ssh/mein_rsa
Es ist offenbar so, dass bei mehreren *_rsa keys immer der jeweilige mit der Option -i eigens gewählt werden muss. Ich war wohl irrtümlicherweise der Meinung, dass die Auswahl des richtigen keys abhängig von der Domain automatisch geschehen würde.
Muss also heißen: ssh -i mein_rsa server.de um den jeweiligen Server mit richtigem key anzusprechen.
Grüße und Danke!
Andreas
Oder ,wie ich beschrieben habe, schreibst du das pro Host in deine ~/.ssh/config
Ralph
----- Am 18. Nov 2017 um 18:51 schrieb Andreas Meyer a.meyer@nimmini.de:
Hallo!
Ralph Meyer ralph@schosemail.de schrieb am 18.11.17 um 18:26:01 Uhr:
sollte so gehen :
~/.ssh/config
host server.de IdentityFile ~/.ssh/mein_rsa
Es ist offenbar so, dass bei mehreren *_rsa keys immer der jeweilige mit der Option -i eigens gewählt werden muss. Ich war wohl irrtümlicherweise der Meinung, dass die Auswahl des richtigen keys abhängig von der Domain automatisch geschehen würde.
Muss also heißen: ssh -i mein_rsa server.de um den jeweiligen Server mit richtigem key anzusprechen.
Grüße und Danke!
Andreas
-- _______________________________________________ CentOS-de mailing list CentOS-de@centos.org https://lists.centos.org/mailman/listinfo/centos-de
Ralph Meyer ralph@schosemail.de schrieb am 18.11.17 um 18:55:03 Uhr:
Oder ,wie ich beschrieben habe, schreibst du das pro Host in deine ~/.ssh/config
Ralph
----- Am 18. Nov 2017 um 18:51 schrieb Andreas Meyer a.meyer@nimmini.de:
Hallo!
Ralph Meyer ralph@schosemail.de schrieb am 18.11.17 um 18:26:01 Uhr:
sollte so gehen :
~/.ssh/config
host server.de IdentityFile ~/.ssh/mein_rsa
Achso, jetzt verstehe ich. Das geht in eine Zeile in eine Datei namens config, die ich noch anlegen muss. Das erleichtert natürlich den login-Ablauf.
Grüße
Andreas
Ralph Meyer ralph@schosemail.de schrieb am 18.11.17 um 18:55:03 Uhr:
Oder ,wie ich beschrieben habe, schreibst du das pro Host in deine ~/.ssh/config
Ralph
----- Am 18. Nov 2017 um 18:51 schrieb Andreas Meyer a.meyer@nimmini.de:
Hallo!
Ralph Meyer ralph@schosemail.de schrieb am 18.11.17 um 18:26:01 Uhr:
sollte so gehen :
~/.ssh/config
host server.de IdentityFile ~/.ssh/mein_rsa
Nein, klappt nicht.
cat config: host domain1.de IdentityFile ~/.ssh/domain1_rsa host domain2.de IdentityFile ~/.ssh/domain2_rsa
ssh domain1.de funktioniert, wogegen ich bei ssh domain2.de den bekannten Fehler bekomme:
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
und debug1: Offering RSA public key: /home/andreas/.ssh/id_rsa
Andreas
Andreas Meyer a.meyer@nimmini.de schrieb am 18.11.17 um 19:34:58 Uhr:
~/.ssh/config
host server.de IdentityFile ~/.ssh/mein_rsa
Nein, klappt nicht.
cat config: host domain1.de IdentityFile ~/.ssh/domain1_rsa host domain2.de IdentityFile ~/.ssh/domain2_rsa
ssh domain1.de funktioniert, wogegen ich bei ssh domain2.de den bekannten Fehler bekomme:
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
Es klappt, wenn man das nicht in eine Zeile schreibt, sondern wie Ralph geschrieben hat, das im dem Format macht:
host domain1.de IdentityFile ~/.ssh/domain1_rsa host domain2.de IdentityFile ~/.ssh/domain2_rsa
Grüße
Andreas
HI!
Am 18.11.2017 um 19:34 schrieb Andreas Meyer:
Nein, klappt nicht.
cat config: host domain1.de IdentityFile ~/.ssh/domain1_rsa host domain2.de IdentityFile ~/.ssh/domain2_rsa
ssh domain1.de funktioniert, wogegen ich bei ssh domain2.de den bekannten Fehler bekomme:
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
und debug1: Offering RSA public key: /home/andreas/.ssh/id_rsa
Also , wie unterscheiden sich denn die Zielsysteme? Unterschiedliche Distributionen, ssh-Pakete und Konfig /etc/ssh/sshd_config. BTW, würde ich die Client Konfigurationsdatei auch anders strukturieren, z.B.[2]
Mit der Option -v, -vv und -vvv bekommst Du ausführlich angezeigt, was der SSH-client mit dem daemon gerade macht[1], also z. B. in Deinem Fall: ssh -vvv domain2.de
Wie man seinen Client konfiguriert findest Du z.B. auch hier[3].
ttyl Django
[1] : https://dokuwiki.nausch.org/doku.php/centos:ssh_c7#fehlersuche [2] : https://dokuwiki.nausch.org/doku.php/centos:ssh_c7#ssh_proxycommand_-_transp... [3] : https://dokuwiki.nausch.org/doku.php/centos:ssh_c7#client_konfiguration
HI Andreas,
Am 18.11.2017 um 18:51 schrieb Andreas Meyer:
Es ist offenbar so, dass bei mehreren *_rsa keys immer der jeweilige mit der Option -i eigens gewählt werden muss.
Na ja, wenn Du keinen Schlüssel explizit angibst, "wirft" der Client eben seinen kompletten Schlüsselbund über die Ladentheke, wenn man das mal so plakativ beschreiben wollte. Besser ist es daher immer, explizit mit anzugeben, welchen der geladenen Schlüssel denn verwendet werden soll.
Ich war wohl irrtümlicherweise der Meinung, dass die Auswahl des richtigen keys abhängig von der Domain automatisch geschehen würde.
Tut es auch i.d.R.; klappt aber nicht, wenn wen z.B. fünf Schlüssel geladen hast, der Zielserver aber mit der Option MaxAuthTries die Authorisierungsversuche auf zwei begrenzt hat. Dann klappt das natürlich nicht mehr.
ttyl Django
-
Alex JOST -
Andreas Meyer -
Django [BOfH] -
Ralph Meyer