Comment coller le verrouillage ssh-agent à la connexion Windows?

8

Est-il possible de déverrouiller automatiquement mes clés privées pour l'authentification sr ssh lors de la connexion Windows et de les (dé) verrouiller lors du (dé) verrouillage de ma session?

Actuellement, j'utilise l'agent ssh de msys, mais je pourrais imaginer utiliser par exemple charade comme wrapper pour le concours de putty, si une meilleure solution existe déjà.

Tobias Kienzler
la source
2
J'ai juste une clé sans mot de passe cryptée avec EFS, qui est transparente pour ssh-agent, donc la clé peut être chargée automatiquement tout en restant sécurisée.
user1686
@grawity: merci, c'est encore plus facile! si vous postez ceci comme une réponse, je l'accepterai pour corriger la correction, je ne peux pas puisque mon administrateur n'a pas correctement configuré EFS :(
Tobias Kienzler
Sur un domaine Active Directory? (Si vous n'avez pas de certificat, vous devez en cipher /kcréer un nouveau, bien qu'il soit auto-signé.)
user1686
@grawity: merci. Je l'ai essayé, mais rien n'a changé. J'ai commencé une nouvelle question pour ce problème: Impossible de crypter des fichiers (en utilisant EFS) sur un domaine
Tobias Kienzler

Réponses:

1

Grawity a juste une clé sans mot de passe cryptée avec EFS, qui est transparente pour ssh-agent, donc la clé peut être chargée automatiquement tout en restant sécurisée. Il suggère également ce qui suit pour Active Directory: Si vous n'avez pas de certificat, vous devez en cipher /kcréer un nouveau, bien qu'il soit auto-signé.

Tom Wijsman
la source
c'est fondamentalement une bonne idée, mais comme mentionné, le cryptage des fichiers ne fonctionne pas. cipher /kfonctionne bien, mais je reçois toujours "La stratégie de récupération configurée pour ce système contient un certificat de récupération non valide", mais la correction de cela (voir ici ) nécessite des privilèges d'administrateur ... Je suppose que je m'en tiendrai à l'hibernation ou à une clé sans mot de passe sans cryptage
Tobias Kienzler
@Tobias: Que voulez-vous dire? Vous n'avez pas de privilèges d'administrateur? Vous devez les utiliser ou demander à votre administrateur système de le faire pour vous. Si vous n'avez aucun moyen d'accéder au compte administrateur, essayez de réinstaller s'il s'agit de votre système d'exploitation personnel ou arrêtez d'essayer s'il s'agit d'un système d'exploitation d'entreprise. Pensez peut-être à utiliser une solution Windows comme les services Terminal Server ...
Tamara Wijsman
c'est au travail et notre administrateur (qui ne donnera les autorisations d'administrateur à personne) est suffisamment occupé à maintenir notre cluster par rapport à ce problème juste pour plus de commodité
Tobias Kienzler
1

Vous pourrez peut-être restaurer l'état des clés privées déverrouillées en mettant le processus en veille prolongée dans l'état où les clés privées sont non fermées; puis, chaque fois que vous en avez besoin, vous pouvez démarrer l'état d'hibernation que vous avez capturé la première fois. Techniquement, cela pourrait fonctionner ...

Sinon, essayez de configurer un script ( basé sur AutoIt , peut-être) pour faire la chose que vous feriez manuellement.

Tamara Wijsman
la source
Je n'aime pas l'idée de mettre mon mot de passe en clair dans un script, alors je préférerais une clé sans mot de passe non chiffrée. Mais l'hibernation est une bonne idée, je pourrais juste mettre en veille prolongée les fenêtres au lieu de la fermer, ce qui devrait conserver l'instance de ssh-agent.exe
Tobias Kienzler
1
@Tobias: Le fait est que ce que vous demandez est essentiellement de lier le verrou de votre agent SSH à votre connexion Windows; la seule façon d'y parvenir est d'utiliser des scripts du Planificateur de tâches pour les événements de connexion, de verrouillage et de déconnexion. Vous pouvez rendre le script uniquement lisible par l'utilisateur que vous avez configuré dans le Gestionnaire des tâches et vous pouvez stocker le mot de passe de manière cryptée et le décrypter lorsque vous en avez besoin. La seule chose qui reste ici est quelqu'un qui vole votre disque dur, mais c'est pourquoi EFS et TrueCrypt ont été inventés. Soit vous entrez votre mot de passe, soit vous le faites automatiquement en le stockant quelque part ...
Tamara Wijsman
1
c'est vrai. J'accepterai la réponse EFS de votre / grawity, car c'est la solution que j'utiliserais si cela fonctionnait. En fait, je considère simplement utiliser un fichier de clé non crypté (avec des autorisations exclusives) car toute personne capable d'accéder au disque dur respectif serait dans la même pièce que la machine dans laquelle je ssh de toute façon: - / merci pour vos deux réponses!
Tobias Kienzler