>>можно, вопрос лишь в том ЧТО
>>и КАК хочется
>>сделать:
>>
>>1) работа через ssh-agent подразумевает занесение
>>
>>в память приватных ключей для последующей
>>
>>авторизации через rsa-public без дополнительных
>>телодвижений Это потребует ввода интерактива
>>пользователя со стороны workstation на сеанс
>>
>>
>>man ssh-agent
>>man ssh-add
>>man ssh-askpass
>>
>>2) если подразумевается автономная работа без
>>
>>какого либо интерактива, без hosts.equiv и
>>
>>.rhosts(.shosts) не обойтись
>>
>>man sshd
>>
>
>мне нужно так, что бы user2
>- 1 вариант, а вот
>user1 - вторрой, т.е. полная
>автономность. а маны я читал,
>читал, но как я понял,
>настроить сервер можно или на
>первый вариант или на второй,
>а так что б по
>юзверям разные варианты не получиться
>?
и на тот и на другой. пока на лицо непонимание
как в ssh работает авторизация.
В ssh используются ВСЕ имеющиеся и позволенные
виды авторизации.
Подсказки:
workstation (моя рабочая машина) - unix1.jinr.ru
все остальные на которых запущен sshd для unix1
- сервера sshd
чтобы мне сидя на своей телеге заходить на любой
отслеживаемый сервер, будь то Институт или ISP,
или co-location сервера:
1) генерю ключи rsa (ssh1 на всякий случай для
старых версий sshd, где проблематично установить
openssh), rsa-2, dsa
2) публичные ключи:
rsa-1 - indentity.pub
rsa-2 - id_rsa.pub
dsa - id_dsa.pub
кладу на удаленных серверах в root/.ssh/authorized_keys (rsa1)
root/.ssh/authorized_keys2 (rsa2,dsa - SSH2)
3) по-скольку на личной телеге я работаю только
в X11, то запускаю их через ssh-agent - вот тут
первый и единственный интерактив, ввод passphrase
- надеюсь понятно почему
Все, теперь я могу на все управляемые мной
удаленные сервера входить одним движением без
интерактива, или удаленно выполнять все что
вздумается
не обязательно через ssh-agent запускать X'ы,
можно и из text-mode, принцип прозрачен, будет
время и настроение, я вставлю примеры в
руководство на http://unix1.jinr.ru/~lavr/
(хотя прочитавшие, могли бы изредка присылать
и свои наработки, чтобы меньше было геморра)
Для верхнего варианта не нужна авторизация
подобная .rhosts, значит unix1 ни в каких
hosts.equiv на удаленных телегах не значится и
никаких .shosts(.rhosts) и может открывать
сокеты на портах > 1024
Если же мне нужно иметь автомат, например по крону
то придется разрешить авторизацию .shosts и
добавить unix1 в /etc/hosts.equiv на удаленных
телегах, если есть firewall - то разрешить в
нем unix1 и соответствующие номера портов,
сделать необходимые изменения в /etc/inetd.conf
(понятно для чего) и если есть tcpwrappers,
внести изменения в hosts.allow/hosts.deny
Данный метод не есть Good, но в сумме с firewall
и tcpwrapper он имеет право на существование и
работу только с разрешенных клиентов(хостов).
Кстати, если посмотреть sources свежих openssh,
то можно обнаружить вещи о которых не упомянуто
в man'ах, faq'ах и порой даже в maillist
девелоперов.
Вобщем, все что можно и как это сделать, есть
на http://unix1.jinr.ru/~lavr/ и если внимательно
и творчески прочитать, будут ответы на все
вопросы. Невозможно написать ответы на ВСЕ
вопросы и продемонстрировать ВСЕОБЪЕМЛЮЩИЕ примеры
Тем более что выдумывать самому - лень, а чтобы
кто-то прислал "я сделал так-то и так-то", можете
вставить в руководство, вдруг кому-то пригодится
- не-е-е, фик вам. :)
Так с 97'г ни одного подобного письма небыло,
были и есть письма благодарности, как впрочем и
письма с ругательствами и посыланием на ... :)))
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
on
05-Янв-02, 21:21 (MSK)
