SSH ForwardAgent несколько прыжков

Последние два часа я безуспешно искал решение следующей проблемы.

Разработка:

Я использую аутентификацию publickey для подключения к своим серверам. Я использую переадресацию ssh-agent, чтобы не управлять открытыми / приватными ключами.

Допустим, у меня есть серверы A, B and C.

Это работает очень хорошо, если я подключусь с LOCAL ---> A ---> B.

Это также работает очень хорошо, если я делаю LOCAL ---> A ---> C.

Теперь, если я попытаюсь LOCAL ---> A ---> B ---> C, SSH не может подключиться с B to C.

Стоит отметить: я подключаюсь к серверу A в качестве ликвидности, тогда как я подключаюсь к серверу B как root. Подключение к серверу B, поскольку ликвидность решает проблему, но это не вариант для меня.

По рекомендации пользователя я использую ssh -Aкаждый раз, чтобы убедиться, что переадресация агента включена.

Я нашел один подобный вопрос, без ответа здесь: возможно ли связать пересылку ssh-agent через несколько переходов?

Согласно @Zoredache здесь: /server//a/561576/45671 Мне просто нужно настроить конфигурацию клиента в каждой промежуточной системе. Что я считаю, что я сделал.

linux ssh ssh-keys ssh-agent ликвидность
источник

Подумайте об использовании ProxyCommandскачкообразной перестройки (как описано здесь ) вместо пересылки агента SSH. Для вашего подхода вам придется доверять всем машинам в цепочке, потому что они могут (ab) использовать ваши личные ключи. Мне также нравится подход ProxyCommand намного лучше, потому что известная проверка хостов выполняется локально, и, кроме того, вы можете настроить цепочку в вашей конфигурации SSH, чтобы вы могли использовать одну команду для подключения к C.

gertvdijk

Я, к сожалению, не могу использовать proxyCommand. Несмотря на соображения безопасности, мне действительно нужно использовать forwardAgent.

ликвидность

@liquidity могу я спросить тебя, почему ты не хочешь использовать proxyCommand? У меня та же проблема, и, как я понимаю, proxyCommand более безопасен. Так что я думаю, какой из них использовать ..

grep

Ответы:

Чтобы переадресация агента работала через несколько переходов, вам просто нужно настроить конфигурацию клиента в каждой промежуточной системе, чтобы переадресация агента.

Это может быть так же просто, как убедиться, что /etc/ssh/ssh_configэто настроено. Но если у вас есть ~/.ssh/configнастройки для каждого клиента, вам, возможно, придется изменить эти настройки.

Host *
    ForwardAgent yes

Вы можете увидеть, произошла ли переадресация агента или произошла ошибка, если вы просто добавили эту -vопцию.

$ ssh -v issc@server1
OpenSSH_5.9p1 Debian-5ubuntu1.1, OpenSSL 1.0.1 14 Mar 2012
debug1: Reading configuration data /home/zoredache/.ssh/config
...
debug1: Requesting authentication agent forwarding.
debug1: Sending environment.
Linux server1 3.11-0.bpo.2-amd64 #1 SMP Debian 3.11.8-1~bpo70+1 (2013-11-21) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Sun Dec 15 20:39:44 2013 from 10.2.4.243
issc@server1:~$

Также убедитесь, что у вас есть допустимый набор переменных среды.

issc@server1:~$ export | grep SSH_AUTH
declare -x SSH_AUTH_SOCK="/tmp/ssh-7VejOmKtNv/agent.57943"

Zoredache
источник

Стоит упомянуть флаг -A для ssh как быструю и грязную альтернативу опции ssh_config или ~ .ssh / config. -A [e] включает переадресацию соединения агента аутентификации.

dmourati

На каждом шаге вы можете использовать ssh-add -lсписок ключей, которые ssh считает, что может получить их через вашего агента. Убедитесь, что вы пересылаете его на каждое соединение!

MikeyB

Благодарность! Также обратите внимание, что если все сделано правильно, вам не придется вручную запускать ssh-agent на последнем сервере. Он начнется автоматически, если вы увидите строку Requesting authentication agent forwarding.в вашем отладочном выводе. Если вы попытались через .bash_profilessh запустить агент, удалите его оттуда, иначе ваш агент запустится снова без каких-либо идентификаторов.

2upmedia