SSH Schlüssel hinterlegen (Kontovorlage)

n293 · Post by **n293** » Fri 4. Sep 2020, 09:35

Bei Kontovorlagen und auch dem manuellen Anlegen von Benutzern wäre es für uns sehr praktisch, wenn man einen SSH Public Key hinterlegen könnte, der dann für aus der Kontovorlage erstellte Benutzer hinterlegt wird.
Das stelle ich mir so vor, dass wenn ich die Option „SSH Zugriff erlauben“ aktiviere, ein Textfeld aufklappt, wo ich den Key reinkopieren kann. Dieser würde anschließend zu den authorized_keys hinzugefügt werden.

Post by **Jolinar** » Fri 4. Sep 2020, 10:45

Der User kann in seinem Profil imTab "SSH-Schlüssel" jederzeit seinen persönlichen Key hinterlegen.

n293 wrote: ↑Fri 4. Sep 2020, 09:35 Bei Kontovorlagen und auch dem manuellen Anlegen von Benutzern wäre es für uns sehr praktisch, wenn man einen SSH Public Key hinterlegen könnte, der dann für aus der Kontovorlage erstellte Benutzer hinterlegt wird.

So wie du es beschreibst, würde dann aber bei jedem User, der mit der Kontovorlage erstellt werden würde, derselbe Key hinterlegt werden, was aber dem Sicherheitsgedanken der SSH-Keys widersprechen würde...

l_fish · Post by **l_fish** » Fri 4. Sep 2020, 11:29

Ich sehe da durchaus einen sinnvollen Anwendungsfall:

Wenn man als Agentur seine Kunden betreuen will und somit Zugang zu den einzelnen Webspaces braucht. Da möchte ich dann ungern über den root user gehen müssen, sondern mich direkt in den jeweiligen Kundenaccount mit meinem SSH key einloggen. Also als so eine Art Kunden-Admin.

n293 · Post by **n293** » Fri 4. Sep 2020, 15:12

Genau das wäre auch unser Anwendungsfall. Der SSH-Key lässt sich ja auch auf bestimmte IP-Adressen beschränken. So ist es ja beim Support-Key der Keyweb AG auch gelöst. Dem User kann man zusätzlich anzeigen, dass dieser einen SSH-Key vom Admin hinterlegt hat, sodass das auch alles transparent ist.

Die Alternative wäre, sich als root einzuloggen und die Änderungen im jeweiligen User-Ordner durchzuführen. Dann passen aber die Dateiberechtigungen nicht mehr und müssen wieder von Hand angepasst werden. Da ist es schon komfortabler, sich direkt als Kunde einzuloggen und die besagten Änderungen durchzuführen.

Post by **Tobi** » Fri 4. Sep 2020, 16:04

n293 wrote: ↑Fri 4. Sep 2020, 15:12 Die Alternative wäre, sich als root einzuloggen und die Änderungen im jeweiligen User-Ordner durchzuführen. Dann passen aber die Dateiberechtigungen nicht mehr und müssen wieder von Hand angepasst werden. Da ist es schon komfortabler, sich direkt als Kunde einzuloggen und die besagten Änderungen durchzuführen.

Sobald du dich als root angemeldet hast übernimmst du mit

Code: Select all

su -s /bin/bash username

die Userrechte und den Userkontext.
Sämtliche Änderungen werden "im Namen des Users" durchgeführt.
Keine nachträglichen Anpassungen der Rechte und Eigentümer notwendig.

Und das Beste:
Das funktioniert auch dann wenn für den User gar kein SSH aktiviert ist

select name from me; · Post by **select name from me;** » Fri 4. Sep 2020, 17:16

EDIT: Ich hatte zwar eine tolle Idee, aber die macht gar keinen Sinn.

Tobis Vorschlag ist viel sinnvoller.

l_fish · Post by **l_fish** » Fri 4. Sep 2020, 20:48

Tobi wrote: ↑Fri 4. Sep 2020, 16:04 Sobald du dich als root angemeldet hast übernimmst du mit
Code: Select all
su -s /bin/bash username
die Userrechte und den Userkontext.
Sämtliche Änderungen werden "im Namen des Users" durchgeführt.
Keine nachträglichen Anpassungen der Rechte und Eigentümer notwendig.

Ja, das geht natürlich. Aber nicht immer ist "Kunden-Admin" auch gleich Server-Admin

Post by **Tobi** » Sat 5. Sep 2020, 07:09

l_fish wrote: ↑Fri 4. Sep 2020, 20:48
Ja, das geht natürlich. Aber nicht immer ist "Kunden-Admin" auch gleich Server-Admin

Weiter oben hast du aber davon gesprochen, dass sich „root“ anmeldet und irgendwas macht...
Wer, wenn nicht root, ist bei dir Serveradmin?

Und welche Art von „Junior-Admin“ hast du denn zwischen User und root platziert? Bzw. wie hast du das gemacht?

l_fish · Post by **l_fish** » Sat 5. Sep 2020, 18:03

Tobi wrote: ↑Sat 5. Sep 2020, 07:09Weiter oben hast du aber davon gesprochen, dass sich „root“ anmeldet und irgendwas macht...
Wer, wenn nicht root, ist bei dir Serveradmin?

Und welche Art von „Junior-Admin“ hast du denn zwischen User und root platziert? Bzw. wie hast du das gemacht?

Vermutlich ein Missverständnis. Die Idee, den root user zu nutzen und sich damit zum Kunden-User zu machen, kam ja von dir. Ich möchte aber eben den root user am besten gar nicht nutzen müssen, um Kunden zu betreuen (also auch nicht fürs erste Login, vor Wechsel zum Kunden-User).

Bei uns ist es zum Beispiel so: Ich bin Server-Admin und habe somit den root Zugriff zum Verwalten des Servers. Die Kunden werden aber (auch) von anderen Mitarbeitern betreut, die daher "Kunden-Admin" sein müssten (Zugriff auf alle Kunden-SSH Accounts) ohne jedoch auf den kompletten Server Zugriff zu bekommen (root). Und dafür wäre ein automatisches Hinterlegen der Keys dieser Mitarbeiter in den Kunden-Accounts praktisch. Hoffentlich ist es so verständlicher

SSH Schlüssel hinterlegen (Kontovorlage) [GELÖST]

SSH Schlüssel hinterlegen (Kontovorlage)

Re: SSH Schlüssel hinterlegen (Kontovorlage)

Re: SSH Schlüssel hinterlegen (Kontovorlage)

Re: SSH Schlüssel hinterlegen (Kontovorlage)

Re: SSH Schlüssel hinterlegen (Kontovorlage) [GELÖST]

Re: SSH Schlüssel hinterlegen (Kontovorlage)

Re: SSH Schlüssel hinterlegen (Kontovorlage)

Re: SSH Schlüssel hinterlegen (Kontovorlage)

Re: SSH Schlüssel hinterlegen (Kontovorlage)