Главная

Как посмотреть, какие методы аутентификации поддерживает конкретный SSH-сервер?

Втр, 2010.02.09 - 23:00 — Ivan_Mironov

Можно указать ssh опцию "PreferredAuthentications" с заведомо несуществующим методом. Примерно так:

  1. $ ssh -o 'PreferredAuthentications abyrwalg' linux.org.ru
  2. Warning: Permanently added 'linux.org.ru' (RSA) to the list of known hosts.
  3. Permission denied (publickey,gssapi-with-mic,password).
  4.  
  5. $ ssh -o 'PreferredAuthentications abyrwalg' freebsd.org
  6. Warning: Permanently added 'freebsd.org' (RSA) to the list of known hosts.
  7. Permission denied (publickey,keyboard-interactive).

В скобочках после "Permission denied" выдаётся список поддерживаемых методов. В данном случае:

  • password - Обычная аутентификация по паролю. Настройка в sshd_conf - "PasswordAuthentication".
  • keyboard-interactive - Интерактивная аутентификация, при которой сервер что-то спрашивает, а пользователь отвечает. Часто внешне ничем не отличается от "password", но в принципе с помощью "keyboard-interactive" можно наворотить что угодно, протокол это позволяет. Если в настройках sshd включен PAM, то он будет спрашивать пароль именно с помощью этого типа аутентификации. Настройка в sshd_conf - "ChallengeResponseAuthentication".
  • publickey - С помощью открытого и закрытого ключа. Настройка в sshd_conf - "PubkeyAuthentication".

Что такое "gssapi-with-mic" - хз =).

Комментарии

Пт, 2010.02.12 - 14:08 — ilu

Гугль говорит, что

The Generic Security Service Application Programming Interface provides security services to calling applications. It allows a communicating application to authenticate the user associated with another application, to delegate rights to another application, and to apply security services such as confidentiality and integrity on a per-message basis.
http://www.gnu.org/software/gss/manual/html_node/GSS_002dAPI-Overview.html

Using GSSAPI key exchange allows you to leverage an existing key management infrastructure such as Kerberos or GSI, instead of having to distribute ssh host keys throughout your organisation. With GSSAPI key exchange servers do not need ssh host keys when being accessed by clients with valid credentials.
http://www.sxw.org.uk/computing/patches/openssh.html

Типа, работает поверх другого протокола аутентификации, и ключ не нужно распространять по всем хостам? Что-то отдалённо напоминающее OpenID? Я просто даже с Kerberos никогда не сталкивался, знаю понаслышке только)

Пт, 2010.02.12 - 14:41 — Ivan_Mironov

Похоже это что-то очень

Похоже это что-то очень Ънтерпрайзное =).