私は、たとえばパテを介したSSHトンネリングの設定に関するいくつかの基本を経験しました。1つの質問:2つのSSHエンドが証明書に基づいて相互に認証するようにするにはどうすればよいですか?たとえば、リモートVNCアクセスにSSHトンネリングを使用しています...
VNC == SSH (A) ===== SSH (B) === VNC
AとBがお互いを認証してほしい。VNCが保護のために独自のパスワードを持つことができるということは議論の余地があります。しかし、それはここでのポイントではありません。必ずしもusr/pwd保護を備えていない多くのアプリをAとBで実行することができます。
パテの設定を確認しましたが、証明書を使用するオプションがないようです。誰かがstunnelを提案していますが、SSHを直接使用して実行できるかどうかを確認したいと思います。提案をありがとう。
sshキーだけでなく、証明書を使用する必要がある特別な理由はありますか?私が知っている唯一の理由は、authorized_keysログインするユーザーが多いホスト上のファイルの複雑な構成を管理することから、ホスト管理者の負担を取り除くことです。
OpenSSHはバージョン5.4で証明書を導入したため、サーバー側で少なくともそのバージョンを実行していることを確認してください。クライアントはSSH証明書もサポートする必要がありますが、現時点では、パテがSSH証明書をサポートしているかどうかはわかりません。ただし、sshキーはサポートされています。特に証明書が必要な場合を除いて、必要なのはキーベースの認証だけです。
SSH証明書についての良い読み物は次のとおりです:http://blog.habets.pp.se/2011/07/OpenSSH-certificates
パスワードの入力を求められずにログインする方法が必要な場合は、sshキーを使用してください(これはとにかく証明書が使用するものです)。
あなたはこれを言います:
AとBがお互いを認証してほしい。
キーまたは証明書のどちらを使用する場合でも、これはsshプロトコル自体からすでに取得されています。クライアントがサーバーに接続すると、ホストキーをそのローカルknown_hostsファイルと比較します。そのサーバーにアクセスするのが初めての場合は、それを受け入れるかどうかを尋ねられます。ログイン後にサーバーのキーが変更された場合は、中間者警告が表示され、クライアントの構成に基づいて、続行してもよいか、続行できないかを尋ねられます。
これは、サーバーがクライアントに対して自身を認証するプロセスであり、クライアントがサーバーに対して認証を試みる前に行われます。