Рейтинг:0

Как указать личность при использовании агента SSH?

флаг in

У меня немного необычный вариант использования...

Я использую SSH через сертификаты (где механизм аутентификации - это не только подпись из закрытого ключа, но и представление подписанного сертификата).

У меня много конечных точек/серверов и разных сред, к которым я обращаюсь в одном и том же сеансе, поэтому мой ssh-агент "загружен" многими личностями одновременно.

я использую ssh-агент поскольку он обеспечивает ряд тонкостей, таких как пересылка.

Проблема, с которой я сталкиваюсь, заключается в том, что все конечные точки моих виртуальных машин имеют sshd_config с MaxAuthTries установить низкое значение. Это не может быть изменено. Что я заметил, так это то, что когда к агенту добавлено много идентификаторов (сертификатов/ключей), и я пытаюсь подключиться к данной конечной точке, агент, кажется, перебирает все добавленные идентификаторы, пробуя каждый по очереди, что иногда запуск MaxAuthTries правило, в результате чего Слишком много ошибок аутентификации.

Итак, мой вопрос заключается в том, что при использовании ssh-агент есть ли способ указать, какой идентификатор он получил, что он должен использовать?

Я хочу использовать ssh-агент но не хочу, чтобы он циклически перебирал каждую личность, пытаясь каждую.

Я думал об использовании файла конфигурации хоста, но это будет ручная работа, учитывая количество обслуживаемых блейдов.

я пробовал флаг, но это, похоже, не смотрит на загруженные идентификаторы в агенте, а вместо этого пытается найти их «локально» — где локально находится текущий контекст SSH.

Спасибо за прочтение...

Рейтинг:0
флаг bo

Можете ли вы сделать различие на основе имени хоста? Если это так, вы можете попробовать добавить следующее в ~/.ssh/config.

Хост *.domain1.com
Пользователь <ваше_имя_пользователя>
IdentityFile <сертификат>

Хост *.domain2.com
Пользователь <ваше_имя_пользователя>
IdentityFile <сертификат>

Это решение, как указано в комментарии от OP, работает только в том случае, если в именах хостов есть какая-то логика. Под этим я подразумеваю возможность определить используемый ключ по имени хоста, имени домена и т. д. того, к чему вы подключаетесь.

Woodstock avatar
флаг in
да, но, как я уже упоминал в вопросе, это слишком ручное управление, у меня сотни хостов...

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.