SSH CA-signierter Schlüssel schlägt über Bastion fehl

2
3ocene 2019-10-16 13:13.

Ich richte einige Server für ein neues System ein und habe beschlossen, die Dinge etwas anders zu machen. Ich stoße auf ein Problem, an dem ich einfach nicht vorbeikommen kann. Meine gewünschte Konfiguration besteht aus einem Bastionsserver und N anderen Servern, auf die nur über die Bastion zugegriffen werden kann - eine ziemlich typische Konfiguration.

Der Unterschied zu dem, was ich normalerweise mache, besteht darin, dass ich signierte SSH-Schlüssel zur Authentifizierung verwenden möchte. Dies ist für einen einzelnen Server ziemlich einfach, wirft aber bei Verwendung einer Bastion einen Schraubenschlüssel.

Im Moment habe ich zwei identisch konfigurierte Server. Ich kann mit einem signierten SSH-Schlüssel direkt auf beide zugreifen. Wenn ich jedoch versuche, einen als Bastion / Jump-Host zu verwenden, kann ich keine Verbindung zum anderen herstellen. Mein ~/.ssh/configsieht so aus:

Host ssh.uswe2
  HostName ssh.uswe2.example.com
  User ec2-user
  IdentityFile ~/.ssh/ssh-rsa-cert

Host *.uswe2 !ssh.uswe2
  HostName %h.example.com
  User ec2-user
  ProxyCommand ssh -W %h:%p ssh.uswe2.example.com
  IdentityFile ~/.ssh/ssh-rsa-cert

Mit dieser Konfiguration kann ich mich bei der Bastion mit anmelden ssh ssh.uswe2, aber wenn ich versuche, eine Verbindung mit dem anderen Server ssh server2.uswe2herzustellen, wird folgende Fehlermeldung angezeigt:

channel 0: open failed: administratively prohibited: open failed
stdio forwarding failed
kex_exchange_identification: Connection closed by remote host

Ich kann trotzdem ssh server2.uswe2.example.comüber das öffentliche Netzwerk eine direkte Verbindung zum Server herstellen, sodass ich weiß, dass die Zertifizierungsstelle und das Zertifikat korrekt geladen werden.

Mein nächster Gedanke war, dass es vielleicht etwas mit der Konfiguration der Bastion zu tun hat, aber wenn ich meinen öffentlichen Schlüssel ~/.ssh/authorized_keysauf beiden Servern hinzufüge , kann ich ohne Probleme eine Verbindung herstellen.

Ich bin hier völlig ratlos und es ist schwierig, Fehler zu beheben, da ich mich immer wieder von Servern ausschließe. Ich hoffe, jemand kann mir bei folgenden Fragen helfen:

  • Ist diese Konfiguration überhaupt möglich?
  • Ich gehe momentan davon aus, dass es ein Problem mit meiner lokalen SSH-Konfiguration gibt. Gibt es eine bestimmte Flagge oder Option, die mir fehlt?
  • Was sollten meine nächsten Schritte sein, um zu versuchen, das Problem zu identifizieren?

1 answers

3
TLane 2019-11-02 10:21.
channel 0: open failed: administratively prohibited: open failed

Dieses Problem tritt auf, wenn auf dem SSH-Gateway-Server des Servers die Portweiterleitung deaktiviert ist. In Ihrem Fall hat ssh.uswe2.example.com wahrscheinlich die Konfiguration für AllowTcpForwarding auf "no" gesetzt. Sie möchten das in "Ja" ändern. Möglicherweise müssen Sie auch GatewayPorts zulassen. Weitere Informationen finden Sie in den Dokumenten.https://linux.die.net/man/5/sshd_config

Related questions

MORE COOL STUFF

Cate Blanchett schlief nach 3 gemeinsamen Tagen mit ihrem Ehemann und ist 25 Jahre später immer noch mit ihm verheiratet

Cate Blanchett schlief nach 3 gemeinsamen Tagen mit ihrem Ehemann und ist 25 Jahre später immer noch mit ihm verheiratet

Cate Blanchett widersetzte sich typischen Dating-Ratschlägen, als sie ihren Ehemann traf.

Warum Michael Sheen ein gemeinnütziger Schauspieler ist

Warum Michael Sheen ein gemeinnütziger Schauspieler ist

Michael Sheen ist ein gemeinnütziger Schauspieler, aber was genau bedeutet das?

Hallmark-Star Colin Egglesfield sorgt für spannende Fan-Begegnungen bei RomaDrama Live! [Exklusiv]

Hallmark-Star Colin Egglesfield sorgt für spannende Fan-Begegnungen bei RomaDrama Live! [Exklusiv]

Hallmark-Star Colin Egglesfield sprach über spannende Fan-Begegnungen bei RomaDrama Live! plus sein INSPIRE-Programm auf der Convention.

Warum Sie „Northern Exposure“ nicht online streamen können

Warum Sie „Northern Exposure“ nicht online streamen können

Sie müssen einen Blu-ray- oder DVD-Player abstauben, um zu sehen, warum Northern Exposure zu einer der beliebtesten Shows der 90er Jahre wurde.

Where in the World Are You? Take our GeoGuesser Quiz

Where in the World Are You? Take our GeoGuesser Quiz

The world is a huge place, yet some GeoGuessr players know locations in mere seconds. Are you one of GeoGuessr's gifted elite? Take our quiz to find out!

Werfen Sie diese Pappröhren nicht weg! 10 Möglichkeiten, sie wiederzuverwenden

Werfen Sie diese Pappröhren nicht weg! 10 Möglichkeiten, sie wiederzuverwenden

Werfen Sie Ihr Papierhandtuch, Toilettenpapier und Geschenkpapierrollen nicht in den Müll. Geben Sie ihnen stattdessen mit einem dieser 10 Hacks ein zweites Leben.

Schlafen Fische?

Schlafen Fische?

Es ist schwer vorstellbar, dass Nemo im Great Barrier Reef ein paar Zs fängt. Aber Fische brauchen Ruhe. Schlafen sie so wie wir?

Spenden Sie Ihr Haar, um unser Wasser sauber zu halten

Spenden Sie Ihr Haar, um unser Wasser sauber zu halten

Haarteile aus Salons und persönliche Spenden können als Matten wiederverwendet werden, die Ölverschmutzungen aufsaugen und zum Schutz der Umwelt beitragen.

Alles, was Sie über das Driften in Mario Kart 8 Deluxe nicht wussten

Alles, was Sie über das Driften in Mario Kart 8 Deluxe nicht wussten

Jedes Mal, wenn Sie in Mario Kart einen Drift ausführen, laden Sie einen Geschwindigkeitsschub auf, der beim Verlassen des Drifts ausgelöst wird. Aber es passiert noch viel mehr unter der Haube, wenn es um diesen Geschwindigkeitsschub geht: wie schnell er aufgeladen wird, wie lange er dauert und ob er sich tatsächlich um Sekunden Ihrer letzten Zeit rasiert oder nicht.

Gerichtsbestimmungen Die FCC muss Aufzeichnungen veröffentlichen, die betrügerische Kommentare zur Netzneutralität erklären könnten

Gerichtsbestimmungen Die FCC muss Aufzeichnungen veröffentlichen, die betrügerische Kommentare zur Netzneutralität erklären könnten

FCC-Vorsitzender Ajit Pai. Ein Bundesrichter entschied letzte Woche, dass die von den Republikanern kontrollierte Federal Communications Commission (derzeit unter Vorsitz von Donald Trump-Beauftragten Ajit Pai) Aufzeichnungen über Millionen betrügerischer öffentlicher Kommentare veröffentlichen muss, bevor die Agentur im vergangenen Jahr die Richtlinien zur Netzneutralität aufhob, berichtete Ars Technica.

Schlafen Sie nicht auf Heathcliff, der anderen orangefarbenen Katze im Internet

Schlafen Sie nicht auf Heathcliff, der anderen orangefarbenen Katze im Internet

Garfield, die lasagne-liebende Comic-Katze, die Montags hasst, ist im Zeitalter des Internets merkwürdig relevant geblieben. Die existenzielle Verzweiflung des Ablegers Garfield Without Garfield oder vielleicht die seltsame Flut ernsthafter Nachforschungen über die Feinheiten von Garfields Existenz.

Jimmy Jackson aus Waterbury, Conn., "Das auch packen" und Clapback-fähig zu sein, ist das schwärzeste, was ich je in dieser Woche gesehen habe

Jimmy Jackson aus Waterbury, Conn., "Das auch packen" und Clapback-fähig zu sein, ist das schwärzeste, was ich je in dieser Woche gesehen habe

WTNH-TV-Screenshot Haben Sie jemals mit dem Teufel im blassen Mondlicht getanzt? Wahrscheinlich nicht. Und du wolltest es wahrscheinlich nie.

Tudor Dixon gewinnt Michigan GOP Primary und trifft nun auf die amtierende Demokratin Gretchen Whitmer

Tudor Dixon gewinnt Michigan GOP Primary und trifft nun auf die amtierende Demokratin Gretchen Whitmer

Tudor Dixon hat am Dienstag die Vorwahlen von Michigan zum Gouverneur gewonnen, nachdem er eine späte Bestätigung des ehemaligen Präsidenten Donald Trump erhalten hatte

Nicky Hilton Forced to Borrow Paris' 'I Love Paris' Sweatshirt After 'Airline Loses All [My] Luggage'

Nicky Hilton Forced to Borrow Paris' 'I Love Paris' Sweatshirt After 'Airline Loses All [My] Luggage'

Nicky Hilton Rothschild's luggage got lost, but luckily she has an incredible closet to shop: Sister Paris Hilton's!

Kate Middleton verbringt einen Tag am Wasser in London, plus Jennifer Lopez, Julianne Hough und mehr

Kate Middleton verbringt einen Tag am Wasser in London, plus Jennifer Lopez, Julianne Hough und mehr

Kate Middleton verbringt einen Tag am Wasser in London, plus Jennifer Lopez, Julianne Hough und mehr. Von Hollywood bis New York und überall dazwischen, sehen Sie, was Ihre Lieblingsstars vorhaben!

17-Jähriger erstochen, während 4 weitere bei einem Messerangriff am Wisconsin River verwundet wurden

17-Jähriger erstochen, während 4 weitere bei einem Messerangriff am Wisconsin River verwundet wurden

Die Ermittler prüfen, ob sich die Gruppe und der Verdächtige vor dem Angriff kannten

Wie ich schreibe

Wie ich schreibe

Für mich dreht sich alles um diese erste Linie und wohin sie dich führt. Einige Autoren werden von der Handlung, der feinen Anordnung von Schachfiguren, angetrieben, während andere von einer Figur und der Fähigkeit, mit einem neuen fiktiven Freund auf eine Reise zu gehen, angezogen werden.

Start- und Landebahnen

Start- und Landebahnen

Spätsommer und Herbst sind nostalgische Jahreszeiten. Straßenlaternen werfen ihr Licht über regennasse Straßen, und die Blätter unter den Füßen – gedämpft rot-orange im Schatten der Dämmerung – erinnern an vergangene Tage.

Stellen Sie sich vor, Sie erstellen eine Inhaltsstrategie, die tatsächlich KONVERTIERT. Es ist möglich.

Stellen Sie sich vor, Sie erstellen eine Inhaltsstrategie, die tatsächlich KONVERTIERT. Es ist möglich.

Im Jahr 2021 ermutige ich Sie, alles zu überdenken, was Sie über die Kunden, die Sie bedienen, und die Geschichten, die Sie ihnen erzählen, wissen. Zurücktreten.

Ein Mammutverlust öffnete mein Herz für die Liebe

Ein Mammutverlust öffnete mein Herz für die Liebe

Am Tag des 9. Geburtstags von Felix The Cat erinnere ich mich an einen der größten Verluste meines Erwachsenenlebens – meine Sophie im Jahr 2013. Ich habe diesen Essay geschrieben und ihn kurz im Jahr 2013 auf dieser Plattform geteilt.

Language