Autenticazione Smartcard Client remoto SSH

Naviga le tue risposte
7

Voglio usare l'autenticazione con smartcard per le mie sessioni SSH. Ora a volte voglio usare un client ssh all'interno di una sessione ssh. Quindi questa situazione:

Il mio computer desktop con smartcard ha una sessione ssh su shell.provider.com. Da shell.provider.com ho una sessione ssh su shell.provider2.com (A volte chiamo questa situazione 'saltando su')

La mia smartcard è stata inserita nel computer desktop. È (in alcun modo) possibile utilizzare l'autenticazione con smartcard per accedere a shell.provider2.com?

    
posta user3555835 10.06.2016 - 19:51
fonte

2 risposte

2

È possibile utilizzare ssh-agent per aggiungere una smart card e quindi inoltrare l'agente all'altro host. Questo ti permetterà di autenticarti sul secondo host dal primo utilizzando la tua smartcard locale. In breve: 

eval 'ssh-agent'               # if the agent is not running yet
ssh-add -s /path/to/pkcs11.so  # probably /usr/lib64/opensc-pkcs11.so
                   # or Ubuntu: /usr/lib/x86_64-linux-gnu/pkcs11/opensc-pkcs11.so
# enter your pin
ssh-add -l                     # should list your smartcard
ssh -A shell.provider.com      # should not prompt for pin
ssh shell.provider2.com        # from the shell.provider.com
    
risposta data 10.06.2016 - 21:05
fonte
0

modifica: dato che hai affermato di avere già la smartcard in funzione, non c'è bisogno di espandersi su ssh-agent.

Le soluzioni per una smartcard possono utilizzare l'inoltro di agenti o (con e senza sc) usando un comando proxy per ssh.

Potresti usare una configurazione dedicata per questo in ~ / .ssh / config usando una configurazione per l'host B, o usarla come parametro in una chiamata ssh. 

Host B
  Hostname <the-real-hostname-for-B>
  User <user>
  Port 22
  ProxyCommand ssh -p 22 -q -W %h:%p <the-real-hostname-for-A>

un vantaggio è che avrai un alias per l'host e avrai anche il completamento del codice (meno digitando) 

ssh <user>@B
    
risposta data 22.12.2017 - 22:04
fonte

Leggi altre domande sui tag

Thunderbolt è ancora insicuro? Perché Microsoft utilizza un catalogo di firma digitale invece di una firma nell'eseguibile?