Discussion :

[nixmind]

Bonsoir,

Je cherche depuis des heures, et je me demande si je n'ai pas compris quelque chose.

Je sais très bien comment marche l'authentification par clé public de ssh, mais il y un mode de configuration que je n'ai pas compris et n'arrive pas à réaliser.

En fait je suis sur un serveur ssh où il y a un seul fichier authorizedkeys sous /root/.ssh/ où toutes les clés publiques sont ajoutées.

Dans le fichier /etc/ssh/sshd_config la directive AuthorizedKeysFIle est commentée, ce qui veut dire que sshd va par défaut regarder les clés dans ~.ssh et de ce fait il n'y aura que root qui pourra se connecter d'après moi, vu que les autres users du système n'ont pas de .ssh dans leur home.
Alors en root j'arrive bien à m'y connecter quand j'ajoute ma clés public dans /root/.ssh/authorzedkeys.

Cependant il y a d'autres clés public dont je n'ai pas la clé privée, et notamment des users qui se connectent avec leur login en utilisant des clés privées donc la clé public est enregistrée sur le serveur.

Je n'arrive pas moi à créé un user qui pourra se connecter avec sa clé privé et son username (sans être root).

Quand j'utilise un autre user que le root, l'authentification par clé échoue et il me demande le mot de passe. Si je crée sur le serveur un .ssh/ dans mon home avec un authorizedkeys contenant ma clé public, ça va marcher, mais ce n'est pas ce que je cherche à réaliser/comprendre.

J'aimerais donc savoir si :

- cela est possible
- comment ça marche? Quelque chose à voir avec le module PAM?

Je ne sais pas si j'ai été clair, en gros je veux pouvoir me connecter avec ma clé privée et que sshd puisse m'authentifier sans savoir à aller lire un fichier [B]authorizedkkeys[/B] dans mon ~/.ssh/

Merci de bien vouloir me dire si j'ai manqué quelque chose.

Merci beaucoup

[BufferBob]

salut,

Dans le fichier /etc/ssh/sshd_config la directive AuthorizedKeysFIle est commentée, ce qui veut dire que sshd va par défaut regarder les clés dans ~.ssh et de ce fait il n'y aura que root qui pourra se connecter d'après moi

non il me semble d'ailleurs que la directive est commentée par défaut, auquel cas si la directive n'est pas explicitement définie sa valeur par défaut est prise %h/.ssh/authorized_keys, en clair si la directive est commentée ça utilise quand même le fichier, mieux encore, si le fichier n'existe pas il tente d'utiliser le fichier %h/.ssh/authorized_keys2 (quand on prend un serveur dédié chez X ou Y par exemple c'est souvent le cas on a un fichier authorized_keys vide pour notre utilisation classique et un fichier authorized_keys2 pré-rempli avec la clé pour permettre à la maintenance de prendre la main sur le serveur si besoin)

en gros je veux pouvoir me connecter avec ma clé privée et que sshd puisse m'authentifier sans savoir à aller lire un fichier [B]authorizedkkeys/B] dans mon ~/.ssh/

Merci de bien vouloir me dire si j'ai manqué quelque chose.

le fait que sshd a besoin de connaitre ta clé publique et donc de la trouver quelque part pour pouvoir authentifier ta clé privée.

après comme dit la valeur de AuthorizedKeysFile est en général %h/.ssh/authorized_keys pour permettre l'accès à n'importe quel utilisateur qui remplira son propre fichier dans son homedir, mais rien n'empêche par exemple de forcer un dépôt central pour les clés autorisées du genre AuthorizedKeysFile /etc/ssh/authorized_keys_global ou AuthorizedKeysFile /etc/ssh/authorized_keys/for_user_%u

à noter que la directive PermitRootLogin without-password permet d'autoriser la connexion directement en compte root mais uniquement par clé, tandis que les directives AllowUsers et AllowGroups permettent de restreindre l'accès aux comptes spécifiés
des fois que ça puisse servir...

[nixmind]

Bonjour,

Merci pour ta réponse, on en est au même point toi et moi. Ce que j'imagine n'est donc simplement pas possible sous ssh, c'est ce que je voulais savoir.

Et tout ce que tu as décrit relève vraiment du classique pour pour moi, c'est ce cas précis d'utilisation qui m'échappait.

Merci


Cordialement..

[nixmind]

Bonjour,

En fait ma question n'avait pas lieu d'être, car aucun mystère sous ssh. Le user dont je parlais avait bien un authorized_keys, mais son home n'était pas souos "/home/user/". Et j'ai cru un instant que toutes les clés étaient sous "/root/.ssh/authorized_keys" et que ce user (non root) parvenait à se connecter sans un authorized_keys propre à lui, et je voulais comprendre.

Mais non tout est bien fait comme sshd le prévoit, et il n'y avait rien d'étrange.

Merci.

Cordialement.

[BufferBob]

tout est bien fait comme sshd le prévoit

je dirais même que c'est le cas le plus fréquent