Added the first details

[educational.data.git] / web / docs / ssh.gen

<include-Top-Docs>
<h1>Introduktion til ssh-nøgler</h1>
Da mange ikke er klar over at de kan skabe et nøgle sæt til at logge på 
mip's servere hjemme fra der gør at man nemt kan logge på linux og f.eks. 
bruge cvs, vil jeg her give en kort introduktion til dette.<br>
Først og fremmest er det en fordel at have en unix skal som emulerer
posix systemet installeret på sin windows - hvis man da ikke lige
anvender linux.<br>
Jeg har ovenfor angivet links til 
<a href="http://www.cygwin.com" target=_blank>Cygwin</a> ovenfor som 
jeg selv har anvendt meget og kun kan udtrykke min store tilfredshed 
med.
<p>
Selve generation og installation af ssh nøglen kan opridses i følgende
steps som er absolut minimum for installation.
<ol>
<li>Generation af ssh nøgle</li>
<li>Opkopiering af ssh nøgle til server</li>
<li>Pålogning på server</li>
<li>Tilføjelse af offentlig nøgle til <b>Authorized_keys</b></li>
<li>Udlogning</li>
</ol>
Dette skulle i de fleste tilfælde være nok, men i nogle enkelte
situationer - er det nødvendigt at eksplicit fortælle ssh hvordan at
pålogning skal foregå på serveren.<br>
Dette drejer sig om at oprette en config fil som fortæller hvordan at
ssh skal opføre sige over for serveren.
<p>
<h3>Generation af SSH nøgle</h3>
Hvis man med succes har fået installeret en cygwin eller på anden led
har adgang til et unix system på sin maskine - befinder der sig
sansynligvis en kommando på maskinen som hedder ssh-keygen <i>(hvis ikke
skal man sikre sig at ssh blev konfigureret under installationen af
sit styresystem (eller cygwin)) </i><br>
Ellers skulle man være klar til at starte på genereringen af
nøgler. Man skal være opmærksom på at mip's servere kun vil acceptere
ssh2 protokollen og derfor er det nødvendigt at skrive følgende:
<pre class=cmd>
[Tobias@zeus ~]$ ssh-keygen -t rsa [return]
</pre>
Dernæste spørger den efter hvor at den skal gemme de nøgler som at den
generer - her er standard helt ok <br>
<pre class=cmd>
Generating public/private rsa key pair.
Enter file in which to save the key (/home/Tobias/.ssh/id_rsa):
</pre>
Dernæst spørger den to gange efter et password:
<pre class=cmd>
Enter passphrase (empty for no passphrase): 
Enter same passphrase again:
</pre>
Her er det vigtigt at man ikke giver den et kode ord da man så blot
vil blive spurgt for dette næste gang man logger ind.<br>
slutligt skriver den:
<pre class=cmd>
Your identification has been saved in /home/Tobias/.ssh/id_rsa.
Your public key has been saved in /home/Tobias/.ssh/id_rsa.pub.
The key fingerprint is:
4f:7f:b0:3b:20:a7:09:bc:34:59:4b:2d:d0:10:35:02 Tobias@TOBIAS
</pre>
Herefter skal det nye nøgle par kopieres til serveren.<p>

<h3>Kopiering af nøgle par til serveren.</h3>
Har man gennemført det ovenstående, vil man i sit hjemme katalog nu
have et katalog der hedder .ssh (hvis der befinder sig et . foran et
katalog, betyder det at kataloget er skjult - så derfor vil man ikke
kunne se noget .ssh katalog hvis man prøver at skrive "ls")<br>
I dette katalog befinder sig to centrale filer: id_rsa og id_rsa.pub
Den første er din egen nøgle som du bruger til at identificere den
server du ønsker at logge på. Den nøgle skal kopieres til serveren for
at den kan udføre serveren den anden vej.<br>
Dette gøres med følgende kommando
<pre class=cmd>
[Tobias@zeus ~]$ scp ~/.ssh/id_rsa.pub \
    [brugernavn på unix server]@mip.sdu.dk:.ssh [return]
</pre>
herefter spørger den naturligt efter et password.<br>
Nøglen befinder sig nu på serveren<p>
<h3>Pålogning på serveren</h3>
De sidste steps foregår fremover på serveren.<br>
For at logge på, skal man skrive følgende:
<pre class=cmd>
[Tobias@zeus ~]$ ssh [brugernavn]@ftp.mip.sdu.dk [return]
</pre>Serveren returnerer med følgende
<pre class=cmd>
Last login: Wed Oct  9 19:31:19 2002 from 0x50c60687.odnx
Sun Microsystems Inc.   SunOS 5.8       Generic Patch   October 2001

Problems?        http://www.mip.sdu.dk/~SYSOP/
Still problems?  mailto:SYSOP@mip.sdu.dk
 
(tobibobi@falster) ~ > 
</pre>
Man er nu logget på serveren.<p>

<h3>Tilføjelse af nøgle til Authorized_keys</h3>
Den sidste del af fasen inden man logger ud er ganske simpel.<br>
ssh holder alle offentlige nøgler som har adgang til at logge på denne
server gemt i en fil. Nøglerne bliver blot tilføjet en efter en efter
hinanden i denne fil - og derfor kan man også udføre den sidste
kommando meget enkelt:
<pre class=cmd>
(tobibobi@falster] ~ > cat .ssh/id_rsa.pub >> .ssh/authorized_keys
</pre>
<p>

<h3>Udlogning og test</h3>
Herefter er man færdig med at lægge nøglen ind og man kan nu teste sin
opsætning efter man har logget ud.
tast CTRL-D for at logge ud.
Dernæst skulle man gerne når man forsøger at logge ind, ikke blive
spurgt om nøgle.
<p>

<h3>Hvis det ikke virker, hvad så????</h3>
For det meste drejer det sig om at man har gjort en fejl i et at de
ovenstående tilfælde, så derfor prøv lige een gang til!<p>
Ellers er der den mulighed at ssh per default prøver at logge på med
den forkerte protocol, eller at den forsøge at logge på med forkert
brugernavn.<br>
Hvis dette er tilfældet, kan man også forsøge at oprette filen
~/.ssh/config med følgende indhold:
<pre class=cmd>
Host ftp.mip.sdu.dk
        User [brugernavn]
        Protocol 2
</pre>
Det der sker ovenfor er at når ssh skal forsøge at lave en opkobling
til et bestemt sted, foretager den altid tjek af nogle enkelte filer
rundt omkring i systemet (deriblandt .ssh/config) om hvorledes at den
skal opføre sig over for en bestemt server.
Præcist betyder ovenstående at når ssh skal logge på ftp.mip.sdu.dk,
skal den logge på med brugenavnet [Brugernavn] (husk at skifte det ud
med dit eget brugernavn) og dernæst at den skal anvende ssh2 til at
logge på (som også er en del mere sikker end ssh1)<br>
Der kan tilføjes et hav af forskellige optioner - f.eks. også om
hvordan at man porter X igennem ssh - men det er mere avanceret og
kræver mere tid og plads at forklare end jeg har her - så det må blive
en anden gang.<br>Det kan dog siges at man altid kan lave en <b>man
ssh</b> for at finde informationer om dette.
<p>
$Revision: 1.1 $<br>$Author: tobibobi $
<include-Bottom>