Решено включение SSH

Doctor

Случайный прохожий
Добрый день! Коллеги нужна помощь с Kaspersky Secure Email Gateway 2.0
Как в нем включить доступ через SSH ? Когда пытаюсь подключиться по SSH появляется ошибка:
No supported authentication methods available (server sent:publickey)

Нашел в веб морде где настраивается доступ по SSH. Что бы его включить нужно туда загрузить открытый ключ SSH (Добавьте открытый ключ SSH)
Как мне его сгенерировать и туда залить ?
 
Последнее редактирование модератором:
Можно через openssl командой
ssh-keygen -f ssh-key
 
Можно через openssl командой
ssh-keygen -f ssh-key
Ок спасибо, попробую позже. Подскажите как настроить LDAP интеграцию и что такое файл keytab ?:unsure:
Keytab-файлы используются в системах, поддерживающих протокол Kerberos, для аутентификации пользователей без ввода пароля.
 

Чтобы создать keytab-файл, используя одну учетную запись:

  1. На сервере контроллера домена в оснастке Active Directory Users and Computers создайте учетную запись пользователя (например, с именем control-user).
  2. Если вы хотите использовать алгоритм шифрования AES256-SHA1, то в оснастке Active Directory Users and Computers выполните следующие действия:
    1. Откройте свойства созданной учетной записи.
    2. На закладке Account установите флажок This account supports Kerberos AES 256 bit encryption.
  3. Создайте keytab-файл для пользователя control-user с помощью утилиты ktpass. Для этого в командной строке выполните следующую команду:
    C:\Windows\system32\ktpass.exe -princ HTTP/<полное доменное имя (FQDN) Управляющего узла>@<realm имя домена Active Directory в верхнем регистре> -mapuser control-user@<realm имя домена Active Directory в верхнем регистре> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <путь к файлу>\<имя файла>.keytab
    Утилита запросит пароль пользователя control-user в процессе выполнения команды.
    В созданный keytab-файл будет добавлено SPN Управляющего узла. На экране отобразится сгенерированная соль: Hashing password with salt "<хеш-значение>".
  4. Для каждого узла кластера добавьте в keytab-файл запись SPN. Для этого выполните следующую команду:
    C:\Windows\system32\ktpass.exe -princ HTTP/<полное доменное имя (FQDN) узла>@<realm имя домена Active Directory в верхнем регистре> -mapuser control-user@<realm имя домена Active Directory в верхнем регистре> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <путь и имя ранее созданного файла>.keytab -out <путь и новое имя>.keytab -setupn -setpass -rawsalt "<хеш-значение соли, полученное при создании keytab-файла на шаге 3>"
    Утилита запросит пароль пользователя control-user в процессе выполнения команды.
Keytab-файл будет создан. Этот файл будет содержать все добавленные SPN узлов кластера.

Пример:
Например, вам нужно создать keytab-файл, содержащий SPN-имена 3 узлов: control-01.test.local, secondary-01.test.local и secondary-02.test.local.
Чтобы создать в папке C:\keytabs\ файл под названием filename1.keytab, содержащий SPN Управляющего узла, требуется выполнить команду:
C:\Windows\system32\ktpass.exe -princ HTTP/control-01.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out C:\keytabs\filename1.keytab
Допустим, вы получили соль "TEST.LOCALHTTPcontrol-01.test.local".
Для добавления еще одного SPN необходимо выполнить следующую команду:
C:\Windows\system32\ktpass.exe -princ HTTP/secondary-01.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in C:\keytabs\filename1.keytab -out C:\keytabs\filename2.keytab -setupn -setpass -rawsalt "TEST.LOCALHTTPcontrol-01.test.local"
Для добавления третьего SPN необходимо выполнить следующую команду:
C:\Windows\system32\ktpass.exe -princ HTTP/secondary-02.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in C:\keytabs\filename2.keytab -out C:\keytabs\filename3.keytab -setupn -setpass -rawsalt "TEST.LOCALHTTPcontrol-01.test.local"
В результате будет создан файл с именем filename3.keytab, содержащий все три добавленные SPN.
 
Последнее редактирование:
Вот такую ошибку выдает
Failed to set property 'servicePrincipalName' to 'HTTP/mx.domen.ru' on Dn 'CN=AdminKasperUser,OU=NAME,DC=DOMEN,DC=Local': 0x32.
WARNING: Unable to set SPN mapping data.
If adminkasper already has an SPN mapping installed for HTTP/mx.domen.ru, this is no cause for concern.
Password set failed! 0x00000032
Aborted.
 
Чудной он этот шлюз на всю голову, напишите чем все закончится - интересно. Возможно тоже придется переезжать:sneaky:
 
Последнее редактирование:
В данном решении авторизация возможна только по ключу.

Для этого необходимо:
  1. с помощью PuTTYgen сгенерировать пару открытый\закрытый ключ;
  2. открытый ключ загрузить в веб-консоль KSMG в разделе Параметры - Доступ к программе - Доступ SSH;
  3. закрытый ключ указывать при подключении в Putty на вкладке SSH – Auth;
 
В данном решении авторизация возможна только по ключу.

Для этого необходимо:
  1. с помощью PuTTYgen сгенерировать пару открытый\закрытый ключ;
  2. открытый ключ загрузить в веб-консоль KSMG в разделе Параметры - Доступ к программе - Доступ SSH;
  3. закрытый ключ указывать при подключении в Putty на вкладке SSH – Auth;
Это заработало, но только нужно использовать УЗ root, всем спасибо!
 
Добрый день, коллеги. С наступающим праздником сисадмина, Не подскажете, как на KSMG зайти в bash, а то надо кое-какие конфиги поправить. Или как задать или поменять пароль от root?
 
Добрый день, коллеги. С наступающим праздником сисадмина, Не подскажете, как на KSMG зайти в bash, а то надо кое-какие конфиги поправить. Или как задать или поменять пароль от root?
Сам задал и сам нашёл ответ - https://support.kaspersky.ru/12300?ysclid=l654afwi7d707293227
 
Попытался через PuttyGen сгенерировать private/public ключи с типом ключа SSH-1 (RSA) но KSMG такой тип ключа не принимает.
Опытным путём выяснил, что точно подходит просто RSA с длиной 4096 бит.
 
Назад
Верх Низ