最近在搭建Hadoop環境需要設置無密碼登陸,所謂無密碼登陸其實是指通過證書認證的方式登陸,使用一種被稱為"公私鑰"認證的方式來進行ssh登錄。
" 公私鑰"認證方式簡單的解釋:首先在客戶端上創建一對公私鑰 (公鑰文件:~/.ssh/id_rsa.pub; 私鑰文件:~/.ssh/id_rsa)。然後把公鑰放到服務器上(~/.ssh/authorized_keys), 自己保留好私鑰.在使用ssh登錄時,ssh程序會發送私鑰去和服務器上的公鑰做匹配.如果匹配成功就可以登錄了。
在Ubuntu和Cygwin 配置都很順利,而在CentOS系統中配置時遇到了很多問題。故此文以Centos (Centos5 ) 為例詳細講解如何配置證書驗證登陸,具體操作步驟如下:
1. 確認系統已經安裝好OpenSSH的server 和client
安裝步驟這裡不再講述,不是本文的重點。
2. 確認本機sshd的配置文件(需要root權限)
$ vi /etc/ssh/sshd_config
找到以下內容,並去掉注釋符”#“
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
3. 如果修改了配置文件需要重啟sshd服務 (需要root權限)
$ vi /sbin/service sshd restart
4. ssh登陸系統 後執行測試命令:
$ ssh localhost
回車會提示你輸入密碼,因為此時我們還沒有生成證書
5.生成證書公私鑰的步驟:
$ ssh-keygen -t dsa -P '' -f ~/.ssh/id_dsa
$ cat ~/.ssh/id_dsa.pub >> ~/.ssh/authorized_keys
6.測試登陸 ssh localhost:
$ ssh localhost
正常情況下會登陸成功,顯示一些成功登陸信息,如果失敗請看下面的 一般調試步驟
7.一般調試步驟
本人在配置時就失敗了,按照以上步驟依舊提示要輸入密碼。於是用ssh -v 顯示詳細的登陸信息查找原因:
$ ssh -v localhost
回車顯示了詳細的登陸信息如下:
。。。。。。省略
debug1: Authentications that can continue: publickey,gssapi-with-mic,password
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure. Minor code may provide more information
Unknown code krb5 195
debug1: Unspecified GSS failure. Minor code may provide more information
Unknown code krb5 195
debug1: Unspecified GSS failure. Minor code may provide more information
Unknown code krb5 195
debug1: Next authentication method: publickey
debug1: Trying private key: /home/huaxia/.ssh/identity
debug1: Trying private key: /home/huaxia/.ssh/id_rsa
debug1: Offering public key: /home/huaxia/.ssh/id_dsa
debug1: Authentications that can continue: publickey,gssapi-with-mic,password
debug1: Next authentication method: password
huaxia@localhost's password:
同時用root用戶登陸查看系統的日志文件:
$tail /var/log/secure -n 20
。。。。。。省略
Jul 13 11:21:05 shnap sshd[3955]: Accepted password for huaxia from 192.168.8.253 port 51837 ssh2
Jul 13 11:21:05 shnap sshd[3955]: pam_unix(sshd:session): session opened for user huaxia by (uid=0)
Jul 13 11:21:47 shnap sshd[4024]: Connection closed by 127.0.0.1
Jul 13 11:25:28 shnap sshd[4150]: Authentication refused: bad ownership or modes for file /home/huaxia/.ssh/authorized_keys
Jul 13 11:25:28 shnap sshd[4150]: Authentication refused: bad ownership or modes for file /home/huaxia/.ssh/authorized_keys
Jul 13 11:26:30 shnap sshd[4151]: Connection closed by 127.0.0.1
。。。。。。省略
從上面的日志信息中可知文件/home/huaxia/.ssh/authorized_keys 的權限有問題。
查看/home/huaxia/.ssh/ 下文件的詳細信息如下:
$ ls -lh ~/.ssh/
總計 16K
-rw-rw-r-- 1 huaxia huaxia 602 07-13 11:22 authorized_keys
-rw------- 1 huaxia huaxia 672 07-13 11:22 id_dsa
-rw-r--r-- 1 huaxia huaxia 602 07-13 11:22 id_dsa.pub
-rw-r--r-- 1 huaxia huaxia 391 07-13 11:21 known_hosts
修改文件authorized_keys的權限(權限的設置非常重要,因為不安全的設置安全設置,會讓你不能使用RSA功能 ):
$ chmod 600 ~/.ssh/authorized_keys
再次測試登陸如下:
$ ssh localhost
Last login: Wed Jul 13 14:04:06 2011 from 192.168.8.253
看到這樣的信息表示已經成功實現了本機的無密碼登陸。
8.認證登陸遠程服務器(遠程服務器OpenSSH的服務當然要啟動)
拷貝本地生產的key到遠程服務器端(兩種方法)
方法一:
$cat ~/.ssh/id_rsa.pub | ssh 遠程用戶名@遠程服務器ip 'cat - >> ~/.ssh/authorized_keys'
方法二:
在本機上執行:
$ scp ~/.ssh/id_dsa.pub
[email protected]:/home/michael/
登陸遠程服務器[email protected] 後執行:
$ cat id_dsa.pub >> ~/.ssh/authorized_keys
本機遠程登陸192.168.8.148的測試:
$ssh
[email protected]Linux michael-VirtualBox 2.6.35-22-generic #33-Ubuntu SMP Sun Sep 19 20:34:50 UTC 2010 i686 GNU/Linux
Ubuntu 10.10
Welcome to Ubuntu!
* Documentation: https://help.ubuntu.com/
216 packages can be updated.
71 updates are security updates.
New release 'natty' available.
Run 'do-release-upgrade' to upgrade to it.
Last login: Wed Jul 13 14:46:37 2011 from michael-virtualbox
michael@michael-VirtualBox:~$
可見已經成功登陸。
如果登陸測試不成功,需要修改遠程服務器192.168.8.148上的文件authorized_keys的權限(權限的設置非常重要,因為不安全的設置安全設置,會讓你不能使用RSA功能 )
chmod 600 ~/.ssh/authorized_keys