OpenSSH kasutamine ID-kaardil oleva võtmega
OpenSSH taustinfo
Selleks, et kasutada OpenSSH kiipkaardi tuge, peab Sinu OpenSSH olema konfigureeritud toetama OpenSC-d. Taas on võimalik seda teha ühe lihtsa käsuga. Kes aga valmis pakke kasutada ei saa, peab endale ise tõmbama OpenSSH portable koodi ja selle ise konfigureerima-kompileerima:
# ./configure --prefix=/usr --with-opensc=/usr # make # make install
ssh-agent ja võtmed
Et ID-kaarti ja SSH-d omavahel ilusti läbi saama panna, on vaja kasutada ssh-agent programmi. Seda sellepärast, et OpenSSH ei oska muul moel küsida kaardi PIN koodi, kui ainult ssh-add käsuga kaardisessiooni avades. ssh-agent olemusest ja erinevatest kasutumeetoditest saab lugeda viidetest. Samuti tuleb hoolt kanda, et ssh serverid masinates, millega tahad ühendust saada, oleks konfigureeritud kasutama avaliku võtmega autoriseerimist (RSAAuthentication ja PubkeyAuthentication? konfiguratsioonivõtmed). Paljudel desktop-konfiguratsioonidel on ssh-agent X sessiooni puhul juba käivitatud. Seda saab kontrollida käsuga echo $SSH_AGENT_PID - kui tulemuseks näed terminalil numbreid, siis ssh-agent juba töötab ( Kuid juhul, kui Sa just installeerisid ID-kaardi toega SSH, pead korraks välja logima, et käivitataks uus, vajaliku toega ssh-agent).
Võtmete importimine
Käivitame ssh-agent abiga shelli ...
# ssh-agent bash
... Või käivitame ssh-agent programmi taustal
# eval `ssh-agent`
Lisame ID-kaardi kaardi ssh-agent-i haldusesse (number on Su kaardilugeja number, nende nimekirja saad opensc-tool -l käsuga). Küsitav passphrase on Su PIN1 kood.
# ssh-add -s 0
Loeme autentimise sertifikaadi kaardilt (kus 0 on jällegi kaardilugeja number, ja 1 on sertifikaadi number)
# ssh-keygen -D 0:1 > id_rsa.pub
Lisa nüüd see fail soovitud masinates soovitud konto ssh autoriseeritud võtmete nimekirja
# cat id_rsa.pub >> ~/.ssh/authorized_keys
Kui käivitad ssh-agent programmi kohe enda kasutajasessiooni alguses, saad ühekordse PIN koodi sisestamisega turvaliselt ja mugavalt kogu sessiooni vältel teistesse masinatesse logida (ja Sinu privaatõti on koguaeg turvaliselt kaardil hoiul!)
ssh martin@paljak.pri.ee