Wie kann ich die Ssh-Agent-Sperre an das Windows-Login binden?

8

Ist es irgendwie möglich, meine privaten Schlüssel für die SSH-Authentifizierung bei der Windows-Anmeldung automatisch zu entsperren und sie (zu) sperren, wenn meine Sitzung (nicht) gesperrt wird?

Momentan verwende ich den ssh-Agenten von msys, könnte mir aber vorstellen, zB charade als Wrapper für Puttys Festzug zu verwenden, wenn es dafür bereits eine bessere Lösung gibt.

Tobias Kienzler
quelle
2
Ich habe nur einen mit EFS verschlüsselten Schlüssel ohne Passwort, der für transparent ist ssh-agent, sodass der Schlüssel automatisch geladen werden kann, während er sicher bleibt.
user1686
@grawity: danke, das ist noch einfacher! wenn Sie dies als eine Antwort poste ich es annehmen würde bearbeiten Korrektur, kann ich nicht , da mein Admin hat nicht Setup EFS richtig :(
Tobias Kienzler
In einer Active Directory-Domäne? (Wenn Sie kein Zertifikat haben, cipher /ksollten Sie ein neues erstellen, obwohl es selbst signiert wird.)
user1686
@grawity: danke. Ich habe es versucht, aber nichts hat sich geändert. Ich habe eine neue Frage für dieses Problem gestartet: Dateien (mit EFS) können nicht in einer Domain verschlüsselt werden
Tobias Kienzler

Antworten:

1

Grawity verfügt lediglich über einen mit EFS verschlüsselten Schlüssel ohne Kennwort, der für ssh-agent transparent ist, sodass der Schlüssel automatisch geladen werden kann, während er sicher bleibt. Er schlägt außerdem Folgendes für Active Directory vor: Wenn Sie kein Zertifikat haben, cipher /ksollten Sie ein neues erstellen, obwohl es selbst signiert ist.

Tom Wijsman
quelle
Es ist im Grunde eine gute Idee, aber wie bereits erwähnt, funktioniert das Verschlüsseln von Dateien nicht. Läuft einwandfrei cipher /k, aber ich bekomme immer noch "Die für dieses System konfigurierte Wiederherstellungsrichtlinie enthält ein ungültiges Wiederherstellungszertifikat", aber um dies zu beheben (siehe hier ), sind Administratorrechte erforderlich ... Ich denke, ich bleibe beim Ruhezustand oder einem unverschlüsselten kennwortlosen Schlüssel
Tobias Kienzler
@Tobias: Was meinst du? Sie haben keine Administratorrechte? Sie sollten sie verwenden oder Ihren Systemadministrator bitten, dies für Sie zu tun. Wenn Sie nicht auf das Administratorkonto zugreifen können, versuchen Sie erneut, es zu installieren, wenn es sich um Ihr persönliches Betriebssystem handelt, oder beenden Sie den Versuch, wenn es sich um ein Unternehmensbetriebssystem handelt. Vielleicht sollten Sie eine Windows-basierte Lösung wie Terminal Services verwenden ...
Tamara Wijsman
Es ist in Arbeit und unser Administrator (der niemandem Administratorrechte erteilt) ist beschäftigt genug, um unseren Cluster im Vergleich zu diesem Problem zu pflegen
Tobias Kienzler,
1

Möglicherweise können Sie den Status der entsperrten privaten Schlüssel wiederherstellen, indem Sie den Prozess in dem Status in den Ruhezustand versetzen, in dem die privaten Schlüssel nicht gesperrt sind. Jedes Mal, wenn Sie es benötigen, können Sie den Ruhezustand starten, den Sie beim ersten Mal erfasst haben. Technisch könnte es funktionieren ...

Wenn nicht, versuchen Sie, ein Skript einzurichten ( möglicherweise auf AutoIt- Basis), um das zu tun, was Sie manuell tun würden.

Tamara Wijsman
quelle
Ich mag die Idee nicht, meinen Passwort-Klartext in ein Skript einzufügen, dann würde ich einen unverschlüsselten Schlüssel ohne Passwort bevorzugen. Aber Ruhezustand ist eine gute Idee, ich könnte Fenster einfach in den Ruhezustand versetzen, anstatt es herunterzufahren, wodurch die Instanz von ssh-agent.exe
Tobias Kienzler
1
@Tobias: Der Punkt ist, was Sie fragen, ist im Wesentlichen die Sperre Ihres SSH-Agenten an Ihr Windows-Login zu binden; Dies können Sie nur mithilfe von Taskplaner-Skripten für die Anmelde-, Sperr- und Abmeldeereignisse tun. Sie können das Skript nur für den Benutzer lesbar machen, den Sie im Task-Manager konfiguriert haben, und Sie können das Kennwort verschlüsselt speichern und bei Bedarf entschlüsseln. Das einzige, was hier noch übrig ist, ist jemand, der Ihre Festplatte stiehlt, aber deshalb wurden EFS und TrueCrypt erfunden. Sie geben entweder Ihr Passwort ein oder Sie erledigen es automatisch, indem Sie es irgendwo speichern ...
Tamara Wijsman
1
das stimmt. Ich werde die EFS-Antwort von / grawity akzeptieren, da dies die Lösung ist, die ich verwenden würde, wenn es funktionieren würde. Eigentlich denke ich darüber nach, nur eine unverschlüsselte Schlüsseldatei (mit exklusiven Berechtigungen) zu verwenden, da sich jeder, der auf die jeweilige Festplatte zugreifen kann, im selben Raum befindet wie der Computer, auf den ich ohnehin ssh: - / danke für beide Antworten!
Tobias Kienzler