Ratkaistu: OpenSSH ubuntu-desktop // putty // "Server refused our key"

[jzse]

EDIT: Ubuntu 10.10, OpenSSH_5_.5pl // puttygen 2011-01-21:r9078 [0.60 ei suostunut käsittelemään id_rsa tiedosto]  , putty 0.60

Eli, kieltämättä 10h+ väännetty tän kanssa ja kaikkia (omasta mielestäni) vaihtoehtoja on koitettu.

- Kun olen generoinut avaimet "palvelimella" komennolla "ssh-keygen -t rsa"
- sen suoritin cp id_rsa.pub authorized_keys hakemistossa ~/.ssh
 jonka jälkeen tarkistin authorized_keys tiedoston sisällön oikeaksi
 siirsin id_rsa tiedoston puuceelle ja konvertoin sen muotoon id_rsa.ppk puttygenillä

sen jälkeen yhdistin palvelimelle puttyllä, mutta saan vastaukseksi vain "server refuced our key". Jos laitan password login, niin sillä kyllä pääsee loggaamaan sisään.

Mitä olen kokeillut:
chmod 700 /.ssh ja chmod 600 /.ssh/authorized_keys
generoida private ja public keyn puttygenillä (sama vastaus, siirsin public keyn puttygenin kohdasta "piblic key for pasting...")

koitin siirtää authorized_keys tiedoston etc/user/authorized_keys (annoin chmod 700 userille ja chmod 600 authorized_keys) ja tein muutoksen /etc/sshd_config tiedostoon kohtaan AuthorizedKeysFile   /etc/kayttaja/authorized_keys


-------------------------------------------------------------------------------------------------
sshd_config tiedoston sisältö:

# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port XXXX
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2

MaxAuthTries 3
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

#Who can connect
AllowUsers kayttaja

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes

RSAAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
#AuthorizedKeysFile   /etc/kayttaja/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
Banner /etc/ssh/banner

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

[retu]

- Kun olen generoinut avaimet "palvelimella" komennolla "ssh-keygen -t rsa"
- sen suoritin cp id_rsa.pub authorized_keys hakemistossa ~/.ssh
 jonka jälkeen tarkistin authorized_keys tiedoston sisällön oikeaksi
siirsin id_rsa tiedoston puuceelle ja konvertoin sen muotoon id_rsa.ppk puttygenillä

Kuulostaapa merkilliseltä. Tiedostossa id_rsa on avainparin yksityinen avain, jota ei yleensä kopioida yhtään minnekään.

Avaimet luodaan "työasemalla", josta julkinen avain id_rsa.pub kopioidaan "palvelimelle" ao. käyttäjän ~/.ssh/authorized_keys tiedostoon. En kyllä tiedä miten tuo menee puttyllä.

[jzse]

Käsittääkseni tarvitsen kuitenkin tuon id_rsa tiedoston, jotta voin käyttää sitä kirjautmiseen windows työasemalta puttylla (käännettynä .ppk puttygenillä).

Kuten kirjoitin aiemmin, olen myös tehnyt avaimet työasemalla puttygenillä ja siirtänyt public avaimen palvelimelle, mutta vastaus on sama.

Koitin nyt tehdä id_rsa ja id_rsa.pub toisella ubuntulla ja sieltä siirsin id_rsa.pub sisällön serverin authorized_keys tiedostoon, mutta vastaus on silti "Permission denied (publickey)."

[jekku]

Käsittääkseni tarvitsen kuitenkin tuon id_rsa tiedoston, jotta voin käyttää sitä kirjautmiseen windows työasemalta puttylla (käännettynä .ppk puttygenillä).

Kuten kirjoitin aiemmin, olen myös tehnyt avaimet työasemalla puttygenillä ja siirtänyt public avaimen palvelimelle, mutta vastaus on sama.

Koitin nyt tehdä id_rsa ja id_rsa.pub toisella ubuntulla ja sieltä siirsin id_rsa.pub sisällön serverin authorized_keys tiedostoon, mutta vastaus on silti "Permission denied (publickey)."

Jaa. Minä olen pärjännyt tuolla:
cat id_dsa.pub >> ~/.ssh/authorized_keys2
Kun olen ensin jollain konstilla kopioinut sen id_dsa.pub:n ao. palvelimelle
No, tuo perustuu aikasten vanhaan lunttilappuun, ihan viime kuukausina en ole kokeillut.
Enkä kokeillut windowsilla.

[sniveri]

Mulla ainakin on toiminut ihan niin että puttygenillä tehnyt ne avaimet ja kopioinut sinne authorizedkeys fileeseen. Ja puttygenin käyttäminen on ollut aina pakollista jos on meinannut windowsista kirjautua palvelimelle. Jossain välissähän tuo oli authorizedkeys2 noissa default asetuksissa, mutta näytti tuo konffi olevan sen kannalta kunnossa.

[jzse]

Jees, löysin ongelman. Eli tein uuden /etc/randomname kansion johon tein authorized_keys tiedoston ja laitoin puttylla tehdyn keyn sinne, sekä vaihdoin sshd_config osoittamaan tonne, niin lähti toimimaan.

Ongelma oli / on ilmeisesti noissa chmod 700 .ssh kansiolle ja chmod 600 authorized_keys tiedostolle, koska kun piruuttani varmistin että ongelma on noissa ja laitoin chmod 700 /etc/randomname, niin alkoi antaa taas "server refuced our key".

Luin jostain ssh oppaasta että noi chmod 700 ja 600 pitäis antaa, se on ilmeisesti sitten vanhentunut.

Eli ongelma paikallistettu ja nyt lukemaan chmod ohjetta. Kiitokset vastauksista.