Ohne PW mit ESXi verbinden: Ich krieg's einfach nicht hin :(

[spyro]

Hallo zusammen,

ich habe jetzt bestimmt 6 Stunden mit dem Versuch verbracht, mich von einer anderen Linux-Maschine ohne Passwort mit ESXi 4.1 zu verbinden. Es gibt einige Tutorials zu dem Thema nur leider funktioniert es bei mir einfach nicht.

Folgendes habe ich bisher auf dem ESXi-Server gemacht:

1.) SSH-Zugriff freigeschaltet
2.) Das Verzeichnis /.ssh angelegt, CHMOD auf 0600
3.) Dort eine leere Datei mit dem Namen "authorized_keys" angelegt (CHMOD 600)
4.) Den Inhalt des Public RSA-Key der Client-Linux-Maschine (id_rsa.pub) in diese Datei kopiert

Wenn ich jetzt von der Linux-Maschine aus versuche mich per ssh root@192.168.X.X zu verbinden werde ich trotzdem nach dem Passwort gefragt. Cronjobs funktionieren also nicht.

Was mache ich denn falsch? Wenn ich den ESXi reboote dann verschwindet das Verzeichnis /.ssh bekanntlich einfach wieder also kann es daran ja nicht liegen?

Grüße,
spyro[/i]

[kastlr]

Hallo spyro,

und wenn du das hier mal ausprobierst?
Allowing SSH access to ESX hosts with public/private key authentication

Viel Erfolg
Ralf

[irix]

Besagter KB gilt nur fuer ESX und nicht ESXi. Bilde mir ein das auf vm-help.com eine Anleitung zufinden ist. Es sind mehrere Probleme zuloesen und supportet ist das natuerlich nicht.

Frage: Was soll eigentlich gemacht werden das man nicht die RCLi machen kann?

Gruss
Joerg

[spyro]

Es geht um ein Backup per GhettoVCB das von einem anderen Linux-Backup-Server aus auf dem ESXi angestoßen wird. Dieser loggt sich dazu per SSH auf ESXi ein und führt von dort das Skript aus das ebenfalls auf dem Backup-Server liegt.

Das ganze hat auch wunderbar funktioniert bis es in der vergangenen Woche zu einem Stromausfall bei eben diesem Linuxserver kam. Seitdem gelingt es mir einfach nicht mehr das Public-Key-Verfahren zu verwenden.

spyro

[Santa]

3.) Dort eine leere Datei mit dem Namen "authorized_keys" angelegt (CHMOD 600)

chmod 600 macht man eigentlich bei den privaten Keys, nicht bei den öffentlichen. Hier bietet sich eher 644 (und 755 beim Verzeichnis) an.

[Santa]

Wenn ich den ESXi reboote dann verschwindet das Verzeichnis /.ssh bekanntlich einfach wieder also kann es daran ja nicht liegen?

Sticky-Bit setzen (chmod +t authorized_keys), dann landet sie auch in der state.tgz

[spyro]

Ok, habe das mit den rechten abgeändert, vielen Dank auch für den Tipp mit dem Sticky-Bit. Allerdings löst das leider nicht das Problem mit der passwortlosen Verbindung. Soll ich jetzt den ESXi einfach mal neu booten?

Grüße,
spyro

[Santa]

War bei mir (ESXi 4.1U1) definitiv nicht nötig.

Code: Alles auswählen

ls -al /.ssh
drwxr-xr-x 1 root root .
drwxr-xr-x 1 root root ..
-rw------T 1 root root authorized_keys
-rw-r--r-- 1 root root known_hosts

Steht denn was von fehlgeschlagener Key-Auth im Log? Dann fragt er ganz normal nach dem Paßwort.

[rprengel]

Hallo zusammen,

ich habe jetzt bestimmt 6 Stunden mit dem Versuch verbracht, mich von einer anderen Linux-Maschine ohne Passwort mit ESXi 4.1 zu verbinden. Es gibt einige Tutorials zu dem Thema nur leider funktioniert es bei mir einfach nicht.

Folgendes habe ich bisher auf dem ESXi-Server gemacht:

1.) SSH-Zugriff freigeschaltet
2.) Das Verzeichnis /.ssh angelegt, CHMOD auf 0600
3.) Dort eine leere Datei mit dem Namen "authorized_keys" angelegt (CHMOD 600)
4.) Den Inhalt des Public RSA-Key der Client-Linux-Maschine (id_rsa.pub) in diese Datei kopiert

Wenn ich jetzt von der Linux-Maschine aus versuche mich per ssh root@192.168.X.X zu verbinden werde ich trotzdem nach dem Passwort gefragt. Cronjobs funktionieren also nicht.

Was mache ich denn falsch? Wenn ich den ESXi reboote dann verschwindet das Verzeichnis /.ssh bekanntlich einfach wieder also kann es daran ja nicht liegen?

Grüße,
spyro[/i]

Meine Konfiguration
Rechte auf Ordner .ssh
1312 4 drwxr-xr-x 1 root root 512 May 10 06:48 .ssh

Inhalt .ssh
/.ssh # ls -lisah
1312 4 drwxr-xr-x 1 root root 512 May 10 06:48 .
1 4 drwxr-xr-x 1 root root 512 May 11 13:49 ..
1316 4 -rw-r--r-- 1 root root 607 Nov 22 2010 authorized_keys
1315 4 -rw-r--r-- 1 root root 400 Jun 29 2010 id_rsa.pub
1314 4 -rw-r--r-- 1 root root 229 Jun 10 2010 known_hosts
1313 4 -rw------- 1 root root 427 Jun 10 2010 td_rsa.pub
/.ssh #

Inhalt authorized_keys
/.ssh # vi authorized_keys
xxxxxx(geht noch weiter)== name_mit_dem_du _dich_anmelden_willst@system_von_dem_du_kommsts
eigentlich ist das nur der öffentliche Schlüssel des Users auf dem system von dem du dich anmelden willst.


user@system/root/> ssh root@192.168.244.24
You have activated Tech Support Mode.
The time and date of this activation have been sent to the system logs.

VMware offers supported, powerful system administration tools. Please
see www.vmware.com/go/sysadmintools for details.

Tech Support Mode may be disabled by an administrative user.
Please consult the ESXi Configuration Guide for additional
important information.

~ #

Möglicherweise wirfst du Logins und Keys durcheinander.
In Kurzform
der öffentliche Schlüssel des !!! Users !!! mit dem du auf deinem Linux-System arbeitest muss auf das ESX-System in die authorized_keys.

Dann kannst du als user user@system/root/> ssh root@192.168.244.24 per root ohne Kennwort rüber sobald du einmal den Key bestätigt hast.
Funktioniert hier seit Jahren.

gruß

[spyro]

Steht denn was von fehlgeschlagener Key-Auth im Log? Dann fragt er ganz normal nach dem Paßwort.

Hallo Santa,

also unter /var/log/messages finde ich bei einem Verbindungsversuch nur den Eintrag

Jun 24 08:21:48 dropbear[1638008]: pam_per_user: create_subrequest_handle(): doing map lookup for user "root"
Jun 24 08:21:48 dropbear[1638008]: pam_per_user: create_subrequest_handle(): creating new subrequest (user="root", service="system-auth-generic")
Jun 24 08:21:48 dropbear[1638008]: PAM password auth succeeded for 'root' from 192.168.0.4:54111

Ganz so, als wäre erst gar kein RSA-Key übertragen worden...


spyro

[spyro]

Inhalt authorized_keys
/.ssh # vi authorized_keys
xxxxxx(geht noch weiter)== name_mit_dem_du _dich_anmelden_willst@system_von_dem_du_kommsts
eigentlich ist das nur der öffentliche Schlüssel des Users auf dem system von dem du dich anmelden willst.

Genauso habe ich es eigentlich auch gemacht. Der Inhalt meiner authorized keys:

ssh-rsa xyzabc...== admin@192.168.0.4

Möglicherweise wirfst du Logins und Keys durcheinander.
In Kurzform
der öffentliche Schlüssel des !!! Users !!! mit dem du auf deinem Linux-System arbeitest muss auf das ESX-System in die authorized_keys.

Genau das sollte auch der Fall sein. Es handelt sich bei dem Eintrag in die authorized keys um den kompletten Inhalt der Datei id_rsa.pub aus dem /root/.ssh-Verzeichnis des Clientsystems. Der Rechner, von dem aus der Zugriff aus erfolgen soll ist ein NAS von QNAP.

Dann kannst du als user user@system/root/> ssh root@192.168.244.24 per root ohne Kennwort rüber sobald du einmal den Key bestätigt hast.

Also bestätigen in dem Sinn muss ich nichts, ich werde halt immer wieder nach dem Passwort gefragt. Muss möglicherweise am Client noch irgendwas konfiguriert werden damit er den Key auch wirklich sendet?

Funktioniert hier seit Jahren.

Glaube ich dir natürlich, nützt mir hier aber nichts.
Bei mir hat das bis zuletzt auch wunderbar funktioniert, bis eben beide Systeme neu starten mussten wegen dem Stromausfall.

Grüße,
spyro