Flux rss
Rechercher : dans
Par : Pertinence Date Nom d'utilisateur
Statut : Non résolu

[SSH] Authentification ssh par cetificat

Dglingo, le lundi 13 mars 2006 à 11:13:12
Bonjour,

Nous avons 5 serveurs sous Debian et nous y accédons en ssh avec un simple mot de passe. ( on a bien sur désactiver la connection du root en ssh).

Je voudrais mettre en place une authentification par certificat (X509) lorsque nous nous connectons sur le serveurs à distance par ssh.

Nous avons des certificats fournis par une autorité de certification.

J'ai cheché des infos mais j'ai trouvé rien de concret

Cela est-il posible?
Comment le met-on en place?

Merci pour tout renseignement

Dglingo
Configuration: Debian SARGE
Répondre à Dglingo  Signaler ce message aux modérateurs Aller au dernier message

1


  • 3    Ce message vous semble utile, votez !
  • Ce message ne vous semble pas utile, votez !
  • Signaler ce message aux modérateurs
kmf31, le lundi 13 mars 2006 à 13:54:55
C'est possible et ca doit etre fait par les utilisateurs individuellement. Si ce n 'est pas deja fait il faut d'abord creer sur chaque pc (client et serveur !!) un repertoire "~/.ssh" dans le home de l'utilisateur avec les bonnes permissions, seulement "rxw" pour l'utilisateur et RIEN pour le groupe et les autres: 
cd ~
mkdir .ssh
chmod 700 .ssh

).
Apres il faut creer sur le pc client une paire de cles privee-publique avec la commande: "ssh-keygen", peut-etre il faut y mettre les bonnes options, regarder soi meme avec "man ssh-keygen". Ce truc cree dans le dossier .ssh (sur le pc client !!) deux fichiers:
id_rsa => ca c'est la cle prive qui ne doit jamais quitter le pc client, et:
id_rsa.pub => ca c'est la cle publique qui va avec l'autre cle prive.

Apres il faut copier le fichier "id_rsa.pub" sur le pc serveur (on peut le faire par "scp" en mettant encore une fois le mot de pas) et sur le pc serveur il faut aller dans le dossier ~/.ssh et ajouter la ligne texte du fichier "id_rsa.pub" dans le fichier: "authorized_keys" avec: 
cat id_rsa.pub >> ~/.ssh/authorized_keys

(ceci revient a creer le fichier "authorized_keys" s'il n'existe pas deja, sinon ca y ajoute la ligne avec la nouvelle cle publique).
Une fois c'est fait on pourra faire depuis le pc client un "ssh <nom_pc_serveur>" (ou un "scp ...", "sft ...") sans etre oblige de taper le mot de pass. En principe il faut refaire cette manipe pour chaque pc client qu'on souhaite utiliser sans mot de pass.

A savoir: si le fichier de la cle publique (le "id_rsa.pub") est perdu, c.-a-d. "vole" ou "copie" par quelqu'un d'autre ce n'est pas grave. Ca permettrait theoriquement au voleur de donner un acces a l'utilisateur victime (du vol) au pc du voleur mais pas a l'inverse (le voleur n'aurait pas acces au pc serveur sur le compte de l'utilisateur victime, pour ca il lui manque la cle privee). Pour la securite il faut eviter de se faire voler la cle prive (le fichier "id_rsa" qui est reste sur le pc client). Si toute fois ca arrive il faut effacer la ligne de la cle publique dans le "authorized_keys" sur le serveur et refaire la manipe en recreant une nouvelle pair de cles.

En theorie on pourrait copier la cle prive creee sur un pc client vers d'autres pcs client pour utiliser la meme cle pour se connecter mais ce serait une mauvaise chose a faire car l'operation de copie (entre deux pcs) est potentiellement un risque. La bonne facon de faire est de creer pour chaque client une nouvelle paire de cle et faire en sorte que la cle prive ne quitte jamais le pc client et d'ajouter la cle publique au "authorized_keys" sur le serveur (qui contiendrait ainsi beaucoup des lignes pour differentes cles, une cle par client).
   
Répondre à kmf31

2


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
hermiote, le mercredi 13 septembre 2006 à 12:04:26
bonjour
je viens de mettre en place un serveur ssh sous debian et jai cree une paire de cle prive/public et ai mis la cle publique ds le repertoire $HOME/.ssh/authorized_keys de lutilisateur concerne. cependant quand jessaie de me connecter a mon serveur avec cet utilisateur il me redemande mon mdp???
merci de votre aide
   
Répondre à hermiote

4


  • 1    Ce message vous semble utile, votez !
  • Ce message ne vous semble pas utile, votez !
  • Signaler ce message aux modérateurs
lami20j, le mercredi 13 septembre 2006 à 12:10:39
Salut,

Dans le fichier de configuration sshd_config 
# interdire l'authentification par mot de passe
PasswordAuthentication no

# autoriser clé RSA
RSAAuthentication yes

# autoriser clé DSA
DSAAuthentication yes

PubkeyAuthentication yes 
AuthorizedKeysFile .ssh/authorized_keys


Connecte toi avec ssh -v user@server

-v c'est pour le mode verbeux

lami20j
   
Répondre à lami20j

6


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
hermiote, le mercredi 13 septembre 2006 à 17:42:24
salut a toi
tout dabord merci pour la rapidité de réponse.
en fait mon problème c'est que je veux proscrire la connexion a mon serveur ssh par login/mdp utilise normalement quand je me logue directement sur la machine serveur!!!
pour info : je fais des tests perso chez moi pour pouvoir par la suite mettre en application au boulot donc jai besoin dun max de fiabilite meme si 100% nexiste pas.
merci
ps : desole pour le double post ct une erreur de manip bien sur :)
   
Répondre à hermiote

7


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
lami20j, le mercredi 13 septembre 2006 à 18:35:19
Re,

c'est pas grave pour le doublon

J'ai écrit un tuto linux creation environnement openssh chroot
Ca pourra t'intéressé ;)

Avec ce que je t'ai donné chez moi la connexion par mot de passe et interidte.

lami20j
   
Répondre à lami20j

8


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
hermiote, le lundi 18 septembre 2006 à 15:28:41
merci encore une fois pour ta réactivité
j'essaie ta méthode et je te tiens au courant
pour ce qui est du chroot je réfléchis à la meilleure méthode à utiliser pour moi : ftp avec un chroot ds le prog genre proftpd ou passer la aussi par ssh et creer un veritable emplacement distinct en y copiant les commendes necessaires (ou accessibles) aux utilisateurs devant sy connecter.
a bientot
   
Répondre à hermiote

9


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
 lami20j, le lundi 18 septembre 2006 à 15:39:03
Avec ce que j'ai fait c'est suffisant pour pouvoir utiliser sftp.
A toi de voir.

lami20j
   
Répondre à lami20j

5


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
lami20j, le mercredi 13 septembre 2006 à 12:32:54
Re,

ne pose pas la question 2 fois
ici et obliger utilisation couple cle prive cle publ#2006 09 13%2012%3A30%3A55

j'avais l'impression que je me suis trompé de thread ;)
lami20j
   
Répondre à lami20j
Posez votre question Répondre

Résultats pour [SSH] Authentification ssh par cetificat

LDAP authentification et certificats SSH (Résolu) Bonjour, j'ai configure un annuaire LDAP qui permet a mes utilisateurs stockes dans l'annuaire de se logger sur les differentes machines du reseau. Je tente de faire une authentification par des cles priv/pub pour les connexion en SSH et... www.commentcamarche.net/forum/affich-3364346-ldap-authentification-et-certificats-ssh
[Mandriva] SSH : ssh-askpass ??? (Résolu) Bonjour, Après avoir exploité l'utilisation du passphrase (ssh) sur mes différentes distributions en appliquant à chaque fois la même procédure, j'ai quelque chose sur Mandriva (KDE) qui n'apparaît pas avec les autres distributions. Je... www.commentcamarche.net/forum/affich-5154355-mandriva-ssh-ssh-askpass
[Réseaux] Installation d'un serveur ssh sous Windows Cet article va vous expliquer comment installer et configurer un serveur ssh sous Windows. Sommaire Introduction Choix du logiciel OS nécessaire Outils utilisés Avant de commencer Note importante Note de l'auteur (sebsauvage) I -... www.commentcamarche.net/faq/sujet-2132-reseaux-installation-d-un-serveur-ssh-sous-windows

Résultats pour [SSH] Authentification ssh par cetificat

Se logguer à distance avec ssh ( Windows )( Pour ceux qui voudraient avoir un rappel sur ssh : http://www.commentcamarche.net/crypto/ssh.php3 ) Contrairement à la plupart des distributions Linux, Windows ne possède pas de client ssh en natif. Il faut donc en installer un. ... www.commentcamarche.net/faq/sujet-80-se-logguer-a-distance-avec-ssh-windows
Se logguer à distance avec ssh (Linux)(Pour ceux qui voudraient avoir un rappel sur SSH : http://www.commentcamarche.net/crypto/ssh.php3) Les commandes suivantes nécessitent d'avoir un compte sur la machine sur laquelle on veut se connecter et qu'un serveur SSH y soit installé. ... www.commentcamarche.net/faq/sujet-74-se-logguer-a-distance-avec-ssh-linux
Installer un serveur ssh sous UbuntuUn serveur ssh vous permet d'accéder à distance à votre machine. Vous aurez ainsi accès à la console distante (équivalente à telnet, mais sécurisée) et au transfer de fichiers (équivalent à FTP, mais sécurité également). Installation On ne peut... www.commentcamarche.net/faq/sujet-6658-installer-un-serveur-ssh-sous-ubuntu
1 2 3 Suivant

Résultats pour [SSH] Authentification ssh par cetificat

[ssh] pb de connexion serveur ssh, port 22 (Résolu)bonjours voila j'ai un serveur sous debian j'ai installer le packtage ssh malgrer un bonne configuration avec le fichier sshd_config et apres avoir fait et /etc/init.d/ssh start et /etc/init.d/ssh reload (a chaque fois que j'ai modifié... www.commentcamarche.net/forum/affich-1984286-ssh-pb-de-connexion-serveur-ssh-port-22
Monter un serveur ssh (Résolu)Bonjour, Je voudrais savoir comment faire pour monter un serveur ssh sous windows. J'ai trouvé plusieurs logiciels clients ssh, mais pas de serveur. Mon but est de pouvoir recevoir des fichiers de manière sécurisée, l'expéditeur utilisant un... www.commentcamarche.net/forum/affich-459625-monter-un-serveur-ssh
Clé d’authentification de world of warcraft (Résolu)Bonjour, il me faut ouvrir un compte pr jouer world of warcraft. mais pr l'ouvrir il me fait le clé d’authentification. aidez moi svp www.commentcamarche.net/forum/affich-6791875-cle-d-authentification-de-world-of-warcraft
1 2 3 Suivant

Résultats pour [SSH] Authentification ssh par cetificat

Télécharger SSH Secure ShellSSH secure shell for workstations est un client SSH flexible permettant de se connecter de façon sécurisée à des applications distantes. www.commentcamarche.net/telecharger/telecharger-71-ssh-secure-shell
Télécharger WinSCPWinSCP est un client SFTP/SCP, c'est à dire qu'il permet de se connecter aux serveurs SSH pour transférer des fichiers. Il possède une interface graphique (à la Norton Commander) pratique à utiliser, et possède un outils de synchronisation de... www.commentcamarche.net/telecharger/telecharger-251-winscp
Télécharger OpenSSHOpen SSH est un portage de l'implémentation Open Source de SSH sur les plates-formes Microsoft Windows www.commentcamarche.net/telecharger/telecharger-76-openssh
1 2 3 Suivant

Résultats pour [SSH] Authentification ssh par cetificat

RADIUSIntroduction au protocole RADIUS Le protocole RADIUS (Remote Authentication Dial-In User Service), mis au point initialement par Livingston, est un protocole d'authentification standard, défini par un certain nombre de RFC. Le fonctionnement de... www.commentcamarche.net/contents/authentification/radius.php3
CHAPCHAP Le protocole CHAP (Challenge Handshake Authentication Protocol), défini par la RFC 1994 est un protocole d'authentification basé sur la résolution d'un « défi » (en anglais « challenge »), c'est-à-dire une séquence à chiffrer avec une clé et... www.commentcamarche.net/contents/authentification/chap.php3
PAPPAP Le protocole PAP (Password Authentication Protocol) est, comme son nom l'indique, un protocole d'authentification par mot de passe. Le protocole PAP a été originalement utilisé dans le cadre du protocole PPP. Le principe du protocole PAP... www.commentcamarche.net/contents/authentification/pap.php3
1 2 3 Suivant