Kulcspáros autentikáció Windows XP-re n00boknak

Most pedig leírom, hogyan kell eljárnunk, ha Windows XP alatt szeretnénk kulcspáros autentikációt egy szerverre.

Mi kell ehhez? Egy szerver, ami kulccsal autentikál minket. Kliens oldalon kulcspár, illetve olyan program, amit használni akarunk. Én SSH kliensnek javaslom a Putty-ot, SFTP kliensnek pedig a Filezillát, mert a Total Commander SFTP pluginje az istennek nem akart összejönni (ilyen kék hátterű installer-para az egész.) A Filezilla open source szoftver.

  1. Menjünk el a Putty oldalára
  2. Töltsük le a “putty.exe”, “puttygen.exe” és a “pageant.exe” programokat egy üres könyvtárba.
  3. Először a puttygen-t indítsuk el.
  4. Felül a menüben “Key”, “Generate key pair” (minden opció maradjon default-on).
  5. Mozgassuk az egerünket, amíg a kék csík végig nem megy. Ezután a program legyártja az egyedi kulcspárunkat.
  6. A passphrase ablakokat szerintem ne töltsük ki. (Aki nagyon parás, kitöltheti, bár egyszerűbbnek tűnik laptop lopás esetén újat generáltatni.)
  7. Az elkészült ablak alsó részén lesz két gomb. Először kattintsunk a “Save public key”-re.
  8. Mentsük el a kulcsot (apró szövegfile) abba a folderbe, ahova a három .exe-t előzetesen tettük.
  9. Ezután mentsük el a privát kulcsot is (“Save private key”) ugyanoda. Ennek más a kiterjesztése, de ne is törődjünk vele.
  10. Emailben küldjük el a publikus kulcsot a rendszergazdának (mivel publikus kulcs, nem kell félnünk, a párja nélkül lófaszt nem ér).
  11. Indíthatjuk a pageant.exe-t. Ez egy kis tray-be épülő program, ami segíti az autentikációt.
  12. Kattintsunk az “Add key” gombon.
  13. Adjuk be neki a privát kulcsunkat.
  14. “Close”
  15. Telepítsük fel a Filezilla FTP kliensprogramot. (Tetszőleges más SFTP-t tudó kliensprogram is megteszi, de ez az ingyenes.)
  16. Indítsuk el. A bal felső ikonra kattintsunk az első kapcsolódáskor.
  17. Host, port: értelemszerűen a rendszergazdától kapjuk.
  18. Server type: “SFTP over SSH2”
  19. Logon type: “normal”
  20. User: ezt is kapjuk.
  21. Password: üresen marad!
  22. “Connect”
  23. Voilá!

SSH konnekció ugyanígy megy, csak éppen ott a “putty.exe” programot kell majd elindítanunk. Győzödjünk meg róla, hogy fut a pageant és a key be van addolva. Azt gyanítom, hogy reboot után is benn lesz.

Mac-en némileg egyszerűbb a dolog. Elég a terminálon egy “ssh-keygen -t rsa” parancsot kiadni, majd a “pbcopy < ~/.ssh/id_rsa.pub" paranccsal a vágólapra helyezni a publikus kulcsunkat (pbcopy teszi a vágólapra). Ezt utána egy új mailbe bepastelni, majd elküldeni a rendszergazdának. Ha megvagyunk, akkor az "ssh szerver" paranccsal máris benn lehetünk a szerver konzolon. SFTP programnak jó pl a Transmit is, ott egyszerűen válasszuk ki az SFTP protokollt és usernek írjuk be a felhasználó nevünket. A jelszó mezőt hagyjuk üresen, majd connect. Tök egyszerű.

24 hozzászólás

tamas

latom, holnap mar a teafozes for dummies lesz a tema. vagy hogy hogyan kell egy doboz tejet venni a boltban.

fater

11-14 felesleg (putty>connetcion>ssh>auth), filezilla helyett meg winspc

Jano

“10. Emailben küldjük el a publikus kulcsot a rendszergazdának (mivel publikus kulcs, nem kell félnünk, a párja nélkül lófaszt nem ér).”

Ez igy reszben igaz. A dolog ott tamadhato, hogy ha egy harmadik fel a koztetek levo csatornan mondjuk le kapja a leveledet, belerakja a sajat maga altal generalt publikus kulcsot es azt kuldi a te nevedben a rendszergazdanak. (ha nem irtad ala a levelt es csak ugy nyiltan kuldted) Ha a rendszergazda nem fog gyanut es berakja, akkor mindaddig amig a rendszergazdat nem kezded el anyazni telefonon, hogy miert nincs meg bent a kulcs es igy nem derul ki a bibi, a tamadonak elerese lehet szerverre.

fater

mindemelett a winspc szamos hasznos dolgot tud pl sync, ami a regebbi verizoban ugye nem volt es szetszopta magat az ember (Transmitben gondolom van ilyen is)

fater

ez egyébként feltételezi azt, hogy MINDIG van nálad egy memóriakártya, amin rajta van a private key? vagy laptoppal jársz még szarni is? 😀

rudo

azzal jár! volt is már pár poszt, ami érintette a dolgot 🙂

Adi

Miért jobb az e-mailben elküldött jelszó a szerverre SCP-vel fölmásoltnál? Első körben lehet még jelszóval autentikálni, utána a kulcs miatt nem kell. Röviden, a kulcsgenerálás után:

host1$ scp .ssh/id_dsa.pub host2:
host1$ ssh host2
Password:
host2$ cat id_dsa.pub >> .ssh/authorized_keys
host2$ rm id_dsa.pub
host2$ exit
logout
Connection to host2 closed.
host1$ ssh host2
host2$

alpi

A WinSCP zsirály, install nélkül is megy, felmásolod a flash fütyire és helló

Atti

Azt eddig is tudtam, de ennyire? 🙂

off

Józsi, teniszben tudsz nekem pár tipped adni majd? mailban kereshetlek?

on

g/za

machez is van ssh agent, ugy hivjak sshagent. Nagyon okos, mert a privatkulcsolt a user walletjaban vagy mi tartja, szal azzal, hogy belepsz, rogton nyitod. Ha akarod…

Windowson meg azt szoktam, hogy a pageant ikonjat bevagom a Startmenu>programs>startup/inditopult/miafene helyre, es utana properties, es akkor beleirom a parancssorba a kulcs nevet (\..\..\..pageant.exe \…\…\..\mykey). Es akkor windows indulaskor betolti a kulcsot, es egybol a passphrase-t kerdezi (nem kell open key, es odalepkedni).

Tovabba jobb klikk a tray-en, es a putty profilok ott vannak, kivalaszt, maris nyilik a putty oda. Nem kell puttyot inditani kulon.
G/za