Problème de connexion

[casanueva]

Bonjour,

voilà j'ai un soucis...l'environnement est 4 serveurs ESX montés en cluser (Red Hat / VMWare Infra) et un serveur d'administration.

Soit
serveur admin
serveurs ESX1
ESX2
ESX3
ESX4
serveur sauvegarde

Ces 6 serveurs sont sur le même LAN (sans firewall).

La connexion aux serveurs ESX se fait en SSH (port 22).

Je lance une connexion en ssh par le serveur admin, j'arrive à me connecter en root direct sur les 4 serveurs ESX.

Je lance la même connexion à partir du serveur de sauvegarde, j'arrive à me connecter direct en root sur 3 ESX et pas sur le dernier (ESX3).

Il me marque accés refusé (access denied) quand j'essai de me connecter en ssh direct sur le serveur ESX3 en root (alors que ça marche par le serveur admin direct).

J'ai un peu regardé dans les fichiers de conf du système (security, /etc/passwd) pour voir si le login ou la machine est interdite de connexion et je n'ai rien trouvé.

Je vous demande ça car mon serveur backup n'arrive plus à sauvegarder les VM que j'ai sur ce serveur (ESX3), la conf à changer visiblement et quoi je ne sais pas car on fait intervenir des consultants extérieurs qui touchent et on a pas de communication.

Pourriez-vous m'aider ?
Je pensais un problème dans le login (accès direct root) mais apparemment pas ça.
Je n'ai pas de fichiers .rhost (sur les 4 serveurs)...les fichiers host.allow et host.deny sont vides.


Merci d'avance.

[Alek-C]

Tu n'as rien dans ton fichier sshd_conifg ?

[casanueva]

Citation:

Envoyé par Alek-C

Tu n'as rien dans ton fichier sshd_conifg ?

ben j'ai ce qui suit mais c'est la même chose sur les autres serveurs, j'avais comparé

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
#       $OpenBSD: sshd_config,v 1.59 2002/09/25 11:17:16 markus Exp $
 
# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.
 
# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin
 
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.
 
#Port 22
Protocol 2
#ListenAddress 0.0.0.0
#ListenAddress ::
 
# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
 
# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 3600
#ServerKeyBits 768
 
# Logging
#obsoletes QuietMode and FascistLogging
SyslogFacility AUTH
LogLevel VERBOSE
 
# Authentication:
 
#LoginGraceTime 120
PermitRootLogin yes
#StrictModes yes
 
#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile     .ssh/authorized_keys
 
# rhosts authentication should not be used
#RhostsAuthentication no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
 
# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no
 
# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
 
# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
 
#AFSTokenPassing no
 
# Kerberos TGT Passing only works with the AFS kaserver
#KerberosTgtPassing no
 
# Set this to 'yes' to enable PAM keyboard-interactive authentication
# Warning: enabling this may bypass the setting of 'PasswordAuthentication'
#PAMAuthenticationViaKbdInt no
 
#X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#KeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression yes
 
#MaxStartups 10
# no default banner path
#Banner /some/path
#VerifyReverseMapping no
#ShowPatchLevel no
 
# override default of no subsystems
Subsystem       sftp    /usr/libexec/openssh/sftp-server
Ciphers aes256-cbc,aes128-cbc

[casanueva]

Citation:

Envoyé par Alek-C

Tu n'as rien dans ton fichier sshd_conifg ?

apparemment on m'aurai dit qu'il s'agirait d'un problème de certificat.

Je n'y connais rien dans cela. En effet, cet été ce serveur suite à une inondation a été changé (carte mère seulement)....

Du coup apparement ça serai le problème de certificats auto signés venant des serveurs. On doit révoquer l'ancien certificat ? Comment ?

Apparemment il n'y a donc pas d'autorité de certification.

Help me please

[Alek-C]

Je ne sais pas si par "certificat", on parle de la même chose, mais quand tu te connectes à un serveur, il stocke des infos dans un fichier (généralement, ~/.ssh/known_hosts). Peut-être que si le serveur a changé, il n'aime pas ?

Essaye soit de virer tout le fichier si ça ne pose pas de problème, soit de virer uniquement la ligne correspondant à ton serveur.

[olivera]

typiquement, c'est un problème lié à la configuration ssh sur le client (en l'occurence ton serveur de sauvegarde)
il te faut ajouter la clé publique ssh du serveur de sauvegarde dans le fichier /root/.ssh/known_hosts du serveur ESX3

en d'autre termes tu vas par exemple sur ton EXS2 sous /root/.ssh, ouvre le fichier known_hosts tu trouveras une ligne (clé ssh publique) finissant par par quelque chose comme root@serveursauvegarde.
celle-ci correspond à la clé publique du serveur de sauvegarde/compte root.
tu recopie cette ligne dans le fichier /root/.shh/known_hosts de ton serveur ESX3 et ce la devrait permettre l'authentification.


explications détaillées:
http://casteyde.christian.free.fr/sy....html#AEN10244