On Fri, 8 Mar 2002 jeanmarie.aries@groupe-ips.com wrote:
Bonjour à tous,
J'ai besoin de stopper/redémarrer un service sur une machine distante.
Pour cela, je pense utiliser SSH. Un problème se pose :
Le serveur distant demande systématiquement le mot de passe de
l'utilisateur, or le traitement est effectué depuis un shell script :o(
Peut on utilisé un compte sans mot de passe ?
Oui. En utilisant une paire de clé publique/privée. Je vais essayer d'etre
clair parce qu'on m'a expliqué pas plus tard qu'hier. Les noms des
fichiers que j'utilise sont relatifs à ssh2 avec openssh.
- générer une paire de clé pour l'utilisateur --> se logger comme
l'utilisateur X et taper :
ssh-keygen -t dsa -b 1024
Ceci génère deux fichiers : id_dsa (clé privée) et id_dsa.pub (clé
publique). Lors de la commande, il est demandé un passwd pour encrypter
la clé
privée : il ne faut pas mettre de passwd sinon ce passwd sera demandé a
chaque connexion pour décrypter la clé privée ce qui est le contraire de
ce qu'on cherche.
Normalement ces fichiers sont mis dans ~/.ssh.
Il faut vérifier les permissions du répertoire et des fichiers : jamais en
écritu
re pour le groupe et le reste du monde sinon ca va coincer.
- sur la machine à atteindre, aller dans le répertoire de l'utilisateur et
dans le répertoire .ssh de celui-ci, copier la clé publique générée sur
l'autre machine id_dsa.pub dans authorized_keys2.
Normalement c'est tout ce qu'il y a faire. Je suis sur une RH72 et j'ai
laissé les paramètres par défaut dans /etc/ssh/sshd_config. Lors d'une
connexion sur la machine distante, cette derniere envoie un challenge
encodé avec la clé publique trouvée dans authorized_keys2. Normalement,
seul
l'utilisateur à l'origine de la commande peut décoder avec sa clé privée
le challenge. Si c'est le
cas, l'authentification est ok. Dans le cas contraire, le serveur utilise
alors un autre moyen d'authentification et on retombe sur une demande de
mot de passe. Tu peux lancer la
commande ssh avec l'option -v pour voir le
dialogue....
J'espère que je n'ai rien oublié.
Patrick
Toutes les suggestions seront les bienvenue...
Merci d'avance.
_______________________________________________
Linux Mailing List
Archives: http://unixtech.be/mailman/listinfo/linux