Benutzer-Werkzeuge

Webseiten-Werkzeuge


ssh_key_aos_r6
no way to compare when less than two revisions

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.


ssh_key_aos_r6 [2014/06/18 20:03] (aktuell) – angelegt benny
Zeile 1: Zeile 1:
 +====== Anmeldung mit SSH Private/Public-Key am OmniSwitch ======
 +
 +Damit man sich am OmniSwitch mit AOS Release 6 per "SSH Private/Public-Key" anmelden kann, braucht man natürlich erst einmal einen passenden Schlüssel.
 +
 +**Private/Public-Key für AOS R6 Anmeldung erzeugen:**
 +<code>
 +Benny$ ssh-keygen -t dsa -C sshuser
 +Generating public/private dsa key pair.
 +Enter file in which to save the key (/Users/Benny/.ssh/id_dsa): sshuser
 +Enter passphrase (empty for no passphrase): 
 +Enter same passphrase again: 
 +Your identification has been saved in sshuser.
 +Your public key has been saved in sshuser.pub.
 +The key fingerprint is:
 +ae:7f:0f:a9:f6:e4:70:93:9e:95:59:96:d5:56:01:01 sshuser
 +The key's randomart image is:
 ++--[ DSA 1024]----+
 +|           E.oo.o|
 +|                o|
 +|                +|
 +|               + |
 +|        S      |
 +|         o =   |
 +|        o B +    |
 +|       ..B.=     |
 +|      .ooo=..    |
 ++-----------------+
 +Benny$ ls
 +sshuser.pub
 +sshuser
 +</code>
 +
 +<WRAP center round important 60%>
 +Der "Private-Key" muss mit einem starken Passwort geschützt werden und darf unter keinen Umständen auf dem Switch abgelegt werden.
 +</WRAP>
 +
 +**Damit die Anmeldung funktioniert, muss es einen passenden Benutzer auf dem Switch geben:**
 +<code>
 +OmniSwitch-> user sshuser read-write all password verysecret123
 +OmniSwitch-> show user
 +...
 +User name = sshuser,
 +  Password expiration     = None,
 +  Password allow to be modified date     = None,
 +  Account lockout     = None,
 +  Password bad attempts     = 0,
 +  Read Only for domains   = None,
 +  Read/Write for domains  = All ,
 +  Snmp allowed     = NO,
 +  Console-Only    = Disabled
 +</code>
 +<WRAP center round tip 60%>
 +**Kleine Gemeinheit:**
 +Der Switch sucht später nach "sshuser**_dsa**.pub" im Verzeichnis ///flash/network/pub//! Beachtet man dies nicht, sehen wir uns mit folgender Fehlermeldung konfrontiert.
 +</WRAP>
 +
 +<code>
 +Benny$ ssh -i sshuser sshuser@192.168.2.106
 +Received disconnect from 192.168.2.106: 2: Only Public Key authentication is allowed.
 +</code>
 +
 +**Hier ein Auszug aus der Analyse:**
 +<code>
 +SUN DEC 31 01:59:31 2000            SSH  debug1 [SSH 16] userauth-request for user sshuser service ssh-connection method publick
 +SUN DEC 31 01:59:31 2000            SSH  debug1 [Count.]ey
 +SUN DEC 31 01:59:31 2000            SSH  debug1 [SSH 16] attempt 1 failures 1
 +SUN DEC 31 01:59:31 2000            SSH  debug1 [SSH 16] authmethod_lookup, (0) name: publickey
 +SUN DEC 31 01:59:31 2000            SSH  debug1 [SSH 16] authmethod_lookup,   auth method: none, len: 4
 +SUN DEC 31 01:59:31 2000            SSH  debug1 [SSH 16] authmethod_lookup, (1) name: publickey
 +SUN DEC 31 01:59:31 2000            SSH  debug1 [SSH 16] authmethod_lookup,   auth method: publickey, len: 9
 +SUN DEC 31 01:59:31 2000            SSH  debug2 [SSH 16] input_userauth_request: try method publickey
 +SUN DEC 31 01:59:31 2000            SSH  debug2 [SSH 16] userauth_pubkey(): user=sshuser
 +SUN DEC 31 01:59:31 2000            SSH  debug1 [SSH 16] test whether pkalg/pkblob are acceptable
 +SUN DEC 31 01:59:31 2000            SSH  debug1 [SSH 16] user_key_allowed: PubKey file = "/flash/network/pub/sshuser_dsa.pub"
 +SUN DEC 31 01:59:31 2000            SSH  debug1 [SSH 16] user_key_allowed: can not find file "/flash/network/pub/sshuser_dsa.pub
 +</code>
 +
 +**Einspielen des SSH Public-Key per FTP (ASCII):**
 +<code>
 +Benny$ ftp 192.168.2.106
 +Connected to 192.168.2.106.
 +220 FTP server ready
 +Name (192.168.2.106:Benny): admin
 +331 Password required
 +Password: 
 +230-
 +  
 +Welcome to the Alcatel-Lucent OmniSwitch 6450
 +Software Version 6.6.3.451.R01 Service Release, December 20, 2012. 
 +
 +Copyright(c), 1994-2012 Alcatel-Lucent. All Rights reserved.
 +
 +OmniSwitch(TM) is a trademark of Alcatel-Lucent registered
 +in the United States Patent and Trademark Office.
 +  
 +230 
 +ftp> cd ..
 +250 Changed directory to "/flash"
 +ftp> cd network/pub
 +250 Changed directory to "/flash/network/pub"
 +ftp> put sshuser.pub sshuser_dsa.pub
 +local: sshuser.pub remote: sshuser_dsa.pub
 +229 Entering Extended Passive Mode (|||1125|)
 +150 Opening ASCII mode data connection
 +100% |**************************************************************************************|   598        6.00 MiB/s    --:-- ETA
 +226 Transfer complete
 +598 bytes sent in 00:00 (51.42 KiB/s)
 +ftp> bye
 +221 Bye...see you later
 +</code>
 +
 +**Im folgenden Beispiel wird der "Private Key" explizit mit -i referenziert. Der Benutzername für die Anmeldung wird vor dem @-Zeichen übergeben:**
 +<code>
 +Benny$ ssh -i sshuser sshuser@192.168.2.106
 +  
 +Welcome to the Alcatel-Lucent OmniSwitch 6450
 +Software Version 6.6.3.451.R01 Service Release, December 20, 2012. 
 +
 +Copyright(c), 1994-2012 Alcatel-Lucent. All Rights reserved.
 +
 +OmniSwitch(TM) is a trademark of Alcatel-Lucent registered
 +in the United States Patent and Trademark Office.
 +  
 +OmniSwitch-> 
 +</code>
 +
 +<WRAP center round tip 60%>
 +Wenn für den Benutzer ein Public-Key auf dem Switch vorgesehen ist, hat dieser Vorrang vor einer Radius-Anmeldung! Soll heissen für den Benutzer "sshuser" wird nicht beim Radius angefragt sondern direkt authentifiziert.
 +</WRAP>
  
ssh_key_aos_r6.txt · Zuletzt geändert: 2014/06/18 20:03 von benny

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki