このガイドは、ssh-agentが複数のシステム間でどのように機能するかを説明する素晴らしい仕事をします。最後の一連の図にあるように転送設定を取得したいのですが、そのために必要な手順を追跡するのに問題があります。
以下のためにいくつかの私のネットワーク上のマシン、私が今までに証明書のパスワードを入力しなくても、AからB、Cへ、その後BへのSSHことができます。ただし、他のマシンは「認証エージェントへの接続を開くことができませんでした」(時々!)を表示し、認証情報を転送しません。これらのマシンの1つからネットワーク上の別のボックスにSSHで接続すると、秘密鍵のパスワードの入力が再度求められます。
私はこれらのマシンを構築しませんでしたが、それらのいくつかを管理できます。動作するboxenと動作しないboxenの違いがわからない-ファイアウォールの問題、ssh / ssh-agent / sshdの設定など、何もステップが表示されない- 「ネットの周りを浮遊する転送に固有の詳細なガイド。この問題の追跡を開始する場所を知る必要があります。
回答:
Sshエージェントの転送は、クライアント(ForwardAgentオプション~/.ssh/config)およびサーバー(AllowAgentForwardingオプション)で許可される必要がありますsshd_config。マシンには、これらのオプションの一方または両方に対して異なるデフォルト設定がある可能性があります。
A-> B-> Cに進む場合、B-> Cステップで転送する必要はありません(もちろん、C-> Dに進む場合を除きます)。
Bにログインしたら、環境変数SSH_AUTH_SOCKが定義されていることを確認します。その値はssh、エージェントへの連絡方法をどのように知っているかです。
エージェントの転送によりクライアントがサーバーに対して脆弱になり、その反対ではなく、原則として手動でエージェントの転送を設定できることを考えると、サーバーでのエージェントの転送を禁止する正当な理由はありません(ただし、設定の難しさは、エージェント転送の利便性のポイントを無効にします)。
AllowAgentForwardingから行を削除するだけで十分sshd_configです。
AllowAgentForwarding無効なマシンで使用される一時的なマシンで使用されるプロビジョニングスクリプトで本当に必要です。
上記の@Gillesによる正しい答えは既にありますが、AllowAgentForwardingOpenSSH 5.1以降でのみサポートされていることを指摘したいと思います。
RHEL 4u5ボックスで確認した5.1より前のOpenSSHサーバーは、デフォルトでエージェント転送を許可します。サーバーが5.1よりも古く、エージェント転送が機能していない場合、問題はおそらくsshクライアントにあります。一部のマシンでは転送が機能しているように見えるため、/etc/ssh/ssh_configセットアップは問題ないようです。~/.ssh/config影響を受けるボックスのエージェント転送を無効にするために例外が作成されていないか確認してください。