[Linux-bruxelles] login par clé rsa, sauf en local

Aldo info at brlspeak.net
Ven 5 Mar 21:59:16 CET 2010


On Fri, Mar 05, 2010 at 09:05:07PM +0100, Nicolas Jungers wrote:
> On 03/05/2010 08:53 PM, Aldo wrote:
> [snip]
> >>>
> >>> Dois-je copier mes deux id_rsa* dans son ~/.ssh/ ?
> >>
> >> Deux ? La clef que tu as créé pour se loger sur ta machine est
> >> suffisante pour se loger sur ta machine. Pourquoi en as-tu deux ?
> >
> > J'en ai pas deux,
> > y a deux id_rsa*
> > mais je sais bien que l'on parle de paire, et qu'en fait c'est d'une paire
> > que je parlais, pas de deux clefs/paires.
> >
> >> Quand
> >> tu vas dans l'autre sens ta situation est symétrique (clef privée<->
> >> clef publique). Tu peux réutiliser la même clef. Tu exposes juste ta
> >> clef privée sur deux ordinateurs (le tiens et celui de ta compagne)
> >> plutôt qu'un seul (le tiens).
> >
> > Donc je dois bien cp id_rsa* (la paire) vers le ~/.ssh de son ordi
> > pour que quand je vais dans l'autre sens, cad scp à partir de son ordi, il
> > puisse m'autoriser à cp de/vers mon ordi ?
> 
> Non, tu dois copier ta clef privée sur l'ordinateur qui connecte et 
> mettre ta clef publique dans le fichier authorized_keys sur l'ordinateur 
> cible. Soit deux ordis A et B, alors :
> 
> 	A se connecte à B si la clef privée de A correspond à une clef publique 
> dans authorized_keys de B
> 
> 	B se connecte à A si la clef privée de B correspond à une clef publique 
> dans authorized_keys de A
> 
> Maintenant, l'ordinateur qui initie la connexion peut choisir une autre 
> clef que celle par défaut, mais il faut alors le demander explicitement. 
> Dans l'autre sens (ordinateur cible), ssh cherche dans les clefs 
> autorisée s'il y en a une qui correspond à la clef de la connexion.
> 
> id_rsa = clef privée
> id_rsa.pub = clef publique
> authorized_keys = liste de clefs publiques identifiants les clefs 
> privées autorisées
> 
> Je ne sais si tu comprends mieux le distinguo entre id_rsa.pub et 
> authorized_keys maintenant, mais c'était le but de l'explication :-)

En résumé, c ce que je disais, car je dois pouvoir aller dans les deux sens:
ssh et scp de mon ordi A vers l'ordi B (le sien);
et une fois sur son ordi, pouvoir refaire du ssh ou scp de et vers A;
pour cela il me faut id_rsa et id_rsa.pub ainsi que authorized_keys dnas les
~/.ssh des deux ordis,
sinon ça ne marchera que dans un sens.

Dailleurs, pour confirmer ce que tu dis, même après avoir mis les id_rsa*
sur l'ordi B, même alors on ne sait se connecter à l'ordi A à partir de B:
dès que authorized_keys est sur les deux, là la négociation peut avoir lieu
dans les deux sens à partir de A ou B peu importe.

Aldo. 
 




Plus d'informations sur la liste de diffusion Linux-bruxelles