Como posso priorizar um agente encaminhado ssh em um arquivo de identidade?

2

Já consegui me conectar ao meu servidor com o encaminhamento de agente ssh:

ssh -A my.server

E a partir daí, conecte-se a outro host na rede do servidor que tenha minha chave pública no arquivo authorized_keys :

server:~# ssh another.host

Isso funcionou bem até que eu criei um par de chaves pública / privada no servidor, ~/.ssh/id_rsa e ~/.ssh/id_rsa.pub

Agora, quando tento conectar, recebo: Permission denied (publickey).

Acredito que o que está acontecendo é que a chave do servidor ~/.ssh/id_rsa está sendo tentada e falhando antes que a chave do agente encaminhado seja tentada.

Provavelmente, há uma maneira de aumentar o número de tentativas permitidas em my.server , mas eu esperava que houvesse outra opção de configuração para priorizar a tentativa da chave que é encaminhada do agente - semelhante a como IdentitiesOnly IdentityFile pode ser usado para controlar quais chaves são tentadas para um determinado servidor - ou uma opção para desabilitar a chave ~/.ssh/id_rsa padrão de um host em particular - sem precisar renomeá-lo e especificá-lo para todos os outros hosts (permitindo que ele permaneça um padrão real)

Além disso, não quero adicionar a chave pública de my.server a another.host - só quero que essa conexão aconteça quando eu estiver conectado ao my.server com o encaminhamento de agentes.

    
por cwd 04.04.2017 / 17:56

1 resposta

2

É um pouco mais complicado do que isso. O cliente oferece todas as chaves que estão disponíveis e depois que várias delas falham, ele falha completamente.

Você pode ver isso no log detalhado se adicionar -vvv à linha de comando. Usar -o IdentitiesOnly=yes pode ajudar.

Além disso, pode ajudar a reduzir a quantidade de chaves que você tem no seu local ssh-agent .

A última coisa que posso pensar é mover esse id_rsa do local padrão (o cliente está sempre lendo os arquivos no local padrão e não pode ser desativado) e configure em ~/.ssh/config que ele será usado nos hosts onde você precisa apenas.

    
por 04.04.2017 / 18:12