Cliente remoto SSH con autenticación de tarjeta inteligente

Navega tus respuestas
7

Quiero usar la autenticación con tarjeta inteligente para mis sesiones SSH. Ahora a veces quiero usar un cliente ssh dentro de una sesión ssh. Entonces esta situación:

Mi computadora de escritorio con tarjeta inteligente tiene una sesión ssh para shell.provider.com. Desde shell.provider.com tengo una sesión ssh para shell.provider2.com (A veces llamo a esta situación 'saltar sobre')

Mi tarjeta inteligente está insertada en la computadora de escritorio. ¿Es posible (de alguna manera) utilizar la autenticación con tarjeta inteligente para iniciar sesión en shell.provider2.com?

    
pregunta user3555835 10.06.2016 - 19:51
fuente

2 respuestas

2

Puede usar ssh-agent para agregar una tarjeta inteligente y luego reenviar el agente al otro host. Esto le permitirá autenticarse en el segundo host desde el primero utilizando su tarjeta inteligente local. En resumen: 

eval 'ssh-agent'               # if the agent is not running yet
ssh-add -s /path/to/pkcs11.so  # probably /usr/lib64/opensc-pkcs11.so
                   # or Ubuntu: /usr/lib/x86_64-linux-gnu/pkcs11/opensc-pkcs11.so
# enter your pin
ssh-add -l                     # should list your smartcard
ssh -A shell.provider.com      # should not prompt for pin
ssh shell.provider2.com        # from the shell.provider.com
    
respondido por el Jakuje 10.06.2016 - 21:05
fuente
0

editar: ya que ha declarado que ya tiene la tarjeta inteligente funcionando, no es necesario expandir el agente ssh.

las soluciones para una tarjeta inteligente pueden estar usando el reenvío de agentes o (con y sin sc) usando un comando proxy para ssh.

Puede usar una configuración dedicada para esto en ~ / .ssh / config usando una configuración para el host B, o usarla como un parámetro en una invocación ssh. 

Host B
  Hostname <the-real-hostname-for-B>
  User <user>
  Port 22
  ProxyCommand ssh -p 22 -q -W %h:%p <the-real-hostname-for-A>

una ventaja es que tendrá un alias para el host y también tendrá código completado (menos escritura) 

ssh <user>@B
    
respondido por el r0b4x 22.12.2017 - 22:04
fuente

Lea otras preguntas en las etiquetas

¿Por qué Microsoft usa un catálogo de firmas digitales en lugar de una firma en el ejecutable? ¿Hay algún uso en informar backscatter y, en caso afirmativo, dónde puedo hacerlo?