ssh-agentのロックをWindowsログインに固定する方法は?

8

どういうわけか、Windowsログイン時にSSH認証用の秘密鍵を自動的にロック解除し、セッションを(ロック解除する)ときにそれらを(ロック解除する)ことができますか?

現在、私はmsysのssh-agentを使用していますが、パテのページェントのラッパーとしてcharadeなどを使用してイメージを作成することもできます。

windows-7  ssh  login  ssh-agent 
トビアス・キエンツラー
ソース
2
EFSで暗号化されたパスワードなしのキーを持っているだけです。これはに対して透過的ssh-agentであるため、キーを安全に保ちながら自動的にロードできます。
user1686 2011年
@grawity:ありがとう、それはさらに簡単です!これを回答として投稿した場合は、編集の修正を受け入れます。管理者がEFSを適切に設定していないため、できません:(
Tobias Kienzler
Active Directoryドメインでは?(証明書がない場合は、cipher /k自己署名されますが、新しい証明書を作成する必要があります。)
user1686
@grawity:ありがとう。試しましたが何も変わりませんでした。私はこの問題に関する新しい質問を始めました:ドメインでファイルを(EFSを使用して)暗号化できません
Tobias Kienzler

回答:

1

GrawityにはEFSで暗号化されたパスワードなしのキーがあり、ssh-agentに対して透過的であるため、キーを安全に保ちながら自動的にロードできます。また、Active Directoryについて次のことを提案しています。証明書がない場合は、cipher /k自己署名されますが、新しい証明書を作成する必要があります。

Tom Wijsman
ソース
基本的には良い考えですが、前述のようにファイルの暗号化は機能しません。cipher /k正常に動作しますが、「このシステムに設定されたリカバリポリシーには無効なリカバリ証明書が含まれています」が表示されますが、修正するには(ここを参照)、管理者権限が必要です...休止状態または暗号化されていないパスワードなしのキーを使用します
Tobiasキエンツラー
@トビアス:どういう意味ですか?管理者権限がありませんか?それらを使用するか、システム管理者に依頼してください。管理者アカウントにアクセスする方法がない場合は、個人のOSの場合は再インストールするか、企業のOSの場合は再試行しないでください。ターミナルサービスのようなWindowsベースのソリューションの使用を検討してください...
Tamara Wijsman '26
それは仕事中であり、私たちの管理者(誰にも管理者権限を与えません)は、この便利な問題に比べてクラスターを維持するのに十分忙しい
Tobias Kienzler '26
1

秘密鍵がクローキングされていない状態でプロセス休止状態にすることで、ロック解除されている秘密鍵の状態を復元できる場合があります。その後、必要になるたびに、最初にキャプチャした休止状態を開始できます。技術的には、うまくいくかもしれません...

そうでない場合は、スクリプト(おそらくAutoItベース)を設定して、手動で行うことを実行してください。

タマラ・ウィスマン
ソース
パスワードの平文をスクリプトに入れるのは好きではないので、暗号化されていないパスワードなしのキーを使用します。しかし、休止状態は良いアイデアですが、私はただのssh-Agent.exeがのインスタンスを保つべき窓を休止状態にはなく、それをシャットダウンすることができ
トビアスKienzler
1
@Tobias:重要なのは、SSHエージェントのロックをWindowsログインにバインドすることです。これを行う唯一の方法は、ログイン、ロック、ログアウトイベントのタスクスケジューラスクリプトによるものです。タスクマネージャーで構成したユーザーだけがスクリプトを読み取れるようにして、パスワードを暗号化して保存し、必要に応じて解読することができます。ここに残っているのは、誰かがハードドライブを盗むことだけですが、それがEFSとTrueCryptが発明された理由です。パスワードを入力するか、どこかに保存して自動的に
完了する
1
それは本当だ。それが機能した場合に使用するソリューションなので、私はあなた/ grawityのEFS回答を受け入れます。実際には、それぞれのハードドライブにアクセスできる人は誰でも私がsshを実行するマシンと同じ部屋にいるので、暗号化されていないキーファイル(排他的なアクセス許可を持つ)の使用を検討します:-/両方の回答に感謝します!
Tobias Kienzler、2011
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.