Authentification SSH par clés

Keskiveu · le 30 janvier 2007

Bonjour

Décidement, c'est la série ... Après samba, c'est ssh qui me fait un caca nerveux.

Je voudrais utiliser rsync à travers ssh, en utilisant l'authentification par clés uniquement. J'ai donc créé une paire de clés avec la commande : "ssh-keygen -t dsa -b 1024 -f toto.key". Ensuite, un "cat toto.key.pub >>~/.ssh/authorized_keys", récupération de la clé privée sur une clé usb, et "vi /etc/ssh/sshd_config" pour configurer le serveur. Voici son contenu :

#Port 22
#Protocol 2,1
Protocol 2
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

# HostKey for protocol version 1
HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 768

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
PermitRootLogin no
#StrictModes yes
#MaxAuthTries 6

#RSAAuthentication yes
#PubkeyAuthentication yes
AuthorizedKeysFile	  ~/.ssh/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
#PermitEmptyPasswords no

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes

#UsePAM no

#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10
#PermitTunnel no

# no default banner path
#Banner /some/path

# override default of no subsystems
Subsystem	   sftp	/usr/lib/ssh/sftp-server

Je relance ensuite le serveur (/etc/init.d/sshd restart), et je me connecte depuis le client : "ssh -l toto -i /chemin/vers/la/clé/privée/de/toto monserveur.mondomaine.com". La passphrase de la clé m'est demandée, je la renseigne, et la session s'ouvre sans problème sur le serveur. Du moins, s'ouvrait, jusqu'à aujourd'hui, parce que maintenant je me fais jeter à tous les coups via l'authentification par clés. Par contre, l'authentification par mot de passe fonctionne toujours sans problèmes. Voici ce que me dit ssh client quand je le lance avec l'option "-v" :

toto@toto:~$ ssh -v -i /home/toto/.ssh/bureau_toto.key toto@192.168.0.253
OpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to 192.168.0.253 [192.168.0.253] port 22.
debug1: Connection established.
debug1: identity file /home/toto/.ssh/bureau_toto.key type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_4.5
debug1: match: OpenSSH_4.5 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.3
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '192.168.0.253' is known and matches the RSA host key.
debug1: Found key in /home/toto/.ssh/known_hosts:1
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Trying private key: /home/toto/.ssh/bureau_toto.key
debug1: PEM_read_PrivateKey failed
debug1: read PEM private key done: type <unknown>
Enter passphrase for key '/home/toto/.ssh/bureau_toto.key':
debug1: read PEM private key done: type DSA
debug1: Authentications that can continue: publickey,keyboard-interactive
debug1: Next authentication method: keyboard-interactive
debug1: Authentications that can continue: publickey,keyboard-interactive
debug1: No more authentication methods to try.
Permission denied (publickey,keyboard-interactive).

Apparement la clé privée est bien déchiffrée et reconnue, mais je me prends quand même un "permissin denied" dans les dents. Coté serveur, pas la moindre trace de transaction dans "/var/log/message" ni dans "/var/log/syslog". On dirait que c'est côté clients que ça coince (clients au pluriel, j'ai essayé depuis plusieurs machine différentes).

Je précise que je ne me rappelle pas avoir modifié la config de sshd, ni installé ou désinstallé quoi que ce soit depuis que ça ne fonctionne plus; ni côté serveur, ni côté clients. J'ai aussi essayé de recréer de nouvelles clés, mais ça ne change rien.

Un peu d'aide serait bienvenue

Connexion

Pas encore inscrit ?

Authentification SSH par clés

Messages recommandés

Keskiveu

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer