Bagaimana cara menempel ssh-agent mengunci ke login windows?

8

Apakah mungkin untuk membuka kunci pribadi saya secara otomatis untuk otentikasi ssh saat login windows dan (un) menguncinya ketika (un) mengunci sesi saya?

Saat ini saya menggunakan ssh-agent msys tetapi bisa menggunakan image misalnya sandi sebagai pembungkus untuk kontes putty, juga, jika solusi yang lebih baik untuk itu sudah ada.

windows-7 ssh login ssh-agent Tobias Kienzler
sumber
2
Saya hanya memiliki kunci tanpa kata sandi yang dienkripsi dengan EFS, yang transparan ssh-agent, sehingga kunci dapat dimuat secara otomatis dengan tetap aman.
user1686
@ kegembiraan: terima kasih, itu bahkan lebih mudah! jika Anda memposting ini sebagai jawaban saya akan menerimanya mengedit koreksi, saya tidak bisa karena admin saya tidak EFS setup dengan benar :(
Tobias Kienzler
Di domain Direktori Aktif? (Jika Anda tidak memiliki sertifikat, cipher /kharus membuat yang baru, meskipun akan ditandatangani sendiri.)
user1686
@ kegembiraan: terima kasih. Saya mencobanya, tetapi tidak ada yang berubah. Saya memulai pertanyaan baru untuk masalah ini: Tidak dapat mengenkripsi file (menggunakan EFS) pada domain
Tobias Kienzler

Jawaban:

1

Grawity hanya memiliki kunci tanpa kata sandi yang dienkripsi dengan EFS, yang transparan untuk ssh-agent, sehingga kunci dapat dimuat secara otomatis sambil tetap aman. Dia juga menyarankan yang berikut untuk Active Directory: Jika Anda tidak memiliki sertifikat, cipher /kharus membuat yang baru, meskipun itu akan ditandatangani sendiri.

Tom Wijsman
sumber
itu pada dasarnya ide yang baik, tetapi seperti yang disebutkan mengenkripsi file tidak berfungsi. cipher /kberjalan dengan baik, tetapi saya masih mendapatkan "Kebijakan pemulihan yang dikonfigurasi untuk sistem ini berisi sertifikat pemulihan yang tidak valid", tetapi memperbaiki itu (lihat di sini ) memerlukan hak admin ... Saya kira saya akan tetap dengan hibernasi atau kunci tanpa kata sandi yang tidak terenkripsi
Tobias Kienzler
@Tobias: Apa maksudmu? Anda tidak memiliki hak admin? Anda harus menggunakannya atau meminta administrator sistem Anda untuk melakukannya untuk Anda. Jika Anda tidak memiliki cara apa pun untuk mengakses akun administrator, coba instal ulang apakah itu OS pribadi Anda atau berhentilah mencoba jika itu adalah OS perusahaan. Mungkin pertimbangkan untuk menggunakan solusi berbasis Windows seperti Terminal Services ...
Tamara Wijsman
itu sedang bekerja dan admin kami (yang tidak akan memberikan izin admin kepada siapa pun) cukup sibuk menjaga cluster kami dibandingkan dengan masalah hanya untuk kenyamanan ini
Tobias Kienzler
1

Anda mungkin dapat memulihkan keadaan kunci privat yang tidak dikunci dengan hibernasi proses dalam keadaan bahwa kunci privat tidak dikunci; kemudian, setiap kali Anda membutuhkannya, Anda bisa memulai kondisi hibernasi yang Anda tangkap pertama kali. Secara teknis, ini bisa berhasil ...

Jika tidak, coba atur skrip ( AutoIt based, mungkin) untuk melakukan hal yang akan Anda lakukan secara manual.

Tamara Wijsman
sumber
Saya tidak suka gagasan untuk meletakkan kata sandi saya di teks, jadi saya lebih suka kunci tanpa kata sandi yang tidak dienkripsi. Tapi hibernasi adalah ide yang bagus, saya hanya bisa hibernasi windows daripada mematikannya yang seharusnya membuat instance ssh-agent.exe
Tobias Kienzler
1
@Tobias: Intinya, yang Anda tanyakan pada dasarnya adalah mengikat kunci agen SSH Anda ke Windows Login Anda; satu-satunya cara Anda dapat melakukannya adalah dengan skrip Penjadwal Tugas untuk peristiwa masuk, kunci, dan keluar. Anda bisa membuat skrip hanya dapat dibaca oleh pengguna yang telah Anda konfigurasikan di Task Manager dan Anda dapat menyimpan kata sandi dengan cara terenkripsi dan mendekripsi ketika Anda membutuhkannya. Satu-satunya yang tersisa di sini adalah seseorang mencuri hard drive Anda, tetapi itulah sebabnya EFS dan TrueCrypt ditemukan. Anda dapat memasukkan kata sandi Anda ATAU menyelesaikannya secara otomatis dengan menyimpannya di suatu tempat ...
Tamara Wijsman
1
itu benar. Saya akan menerima jawaban EFS / grawity Anda, karena itulah solusi yang akan saya gunakan jika berhasil. Sebenarnya saya menganggap hanya menggunakan file kunci yang tidak dienkripsi (dengan izin eksklusif) karena siapa pun yang dapat mengakses hard drive masing-masing akan berada di ruangan yang sama dengan mesin yang saya ssh toh: - / terima kasih atas kedua jawaban Anda!
Tobias Kienzler