SSH Hostbased Authentication (Permission denied)

[MrClon]

Весь день пытаюсь настроить hostbased авторизацию в SSH по этой инструкии. Сначала долго не мог понять что эта функция не работает без соответствующих записей в DNS или правки /etc/hosts, разобрался но всё равно не работает (пишет Permission denied (hostbased))
Вот подробный лог сервера http://paste.org.ru/?j73e85
/etc/sshd/sshd_config http://paste.org.ru/?0irv2g
ssh -vvv http://paste.org.ru/?lbucu1
Открытые ключи клиента на сервере есть, в настройках sshd HostbasedAuthentication включен, по логину и паролю на сервер пускает (если включить соответствующую опцию).
Если надо могу выложить конфиги и прочее.

[arkhnchul]

ну конфиги мягко говоря хорошо бы.

[MrClon]

Вот http://paste.org.ru/?0irv2g

[sash-kan]

MrClon
вероятно, неплохо бы ещё глянуть на точку зрения клиента (когда не пускает):
$ ssh -vvv …

[MrClon]

Вот http://paste.org.ru/?lbucu1

[sash-kan]

debug1: No more client hostkeys for hostbased authentication.

судя по всему, это означает, что целевой (а скорее всего, и исходный) хост неправильно резолвятся/бэкрезолвятся.
т.е., если вы соединяетесь с машиной, имеющей ip-адрес 1.1.1.1 с машины, имеющей ip-адрес 1.1.1.2, то:
$ host 1.1.1.1
и
$ host 1.1.1.2
запущенные на обоих машинах, должны возвращать одни и те же имена. и эти имена должны резолвится правильно:
$ host имя1
в ip-адрес 1.1.1.1
а
$ host имя2
в ip-адрес 1.1.1.2

ну и, конечно, сами хосты внутри себя должны выдавать точно такие же имена на команду
$ hostname

p.s. вообще, насколько я понимаю, в виду несекурности такого типа аутентификации, в ssh он обложен таким вот неимоверным количеством «подушек». если уж отступаете от секурности ssh, то почему бы не воспользоваться старым недобрым rsh?

[drBatty]

судя по всему, это означает, что целевой (а скорее всего, и исходный) хост неправильно резолвятся/бэкрезолвятся.

как я понимаю, при авторизации по ключу это не играет никакой роли?

[MrClon]

На обоих машинах host выдаёт сообщения вида

Код: Выделить всё

Host *.in-addr.arpa. not found: 3(NXDOMAIN)

В DNS нет записей для этим машин, но в /etc/host на обоих есть соответствующие hostname записи (идентичные на обоих машинах). Видимо этого не достаточно.

А rsh умеет port forwarding? собственно из за него всё и затевалось.
Вообще изначально всё это задумывалось в основном от безделья, сейчас удосужился погуглись, кажется есть менее извращённый способ добиться желаемого.

[sash-kan]

судя по всему, это означает, что целевой (а скорее всего, и исходный) хост неправильно резолвятся/бэкрезолвятся.

как я понимаю, при авторизации по ключу это не играет никакой роли?

естественно. ну, если как-то специально не ограничивать.

На обоих машинах host выдаёт сообщения вида

Код: Выделить всё

Host *.in-addr.arpa. not found: 3(NXDOMAIN)

В DNS нет записей для этим машин, но в /etc/host на обоих есть соответствующие hostname записи (идентичные на обоих машинах). Видимо этого не достаточно.

явно.

А rsh умеет port forwarding? собственно из за него всё и затевалось.

не знаю. никогда его вживую не видел. поставьте, почитайте man. есть подозрение, что не умеет.

Вообще изначально всё это задумывалось в основном от безделья, сейчас удосужился погуглись, кажется есть менее извращённый способ добиться желаемого.

обычно, если требуется беспарольный шелл (или ограниченный набор команд), настраивают аутентификацию по ключу.

[MrClon]

не знаю. никогда его вживую не видел. поставьте, почитайте man. есть подозрение, что не умеет.

Ну если только опять станет очень скучно.

обычно, если требуется беспарольный шелл (или ограниченный набор команд), настраивают аутентификацию по ключу.

Обычно именно её и использую (как самую безопасную). В данном случае нужно было организовать автоматическое подключение к хосту и что-то до меня только сейчас дошло чть тожно же создать и не зашифрованный ssh ключ.

[Ленивая Бестолочь]

не знаю. никогда его вживую не видел. поставьте, почитайте man. есть подозрение, что не умеет.

не умеет вроде как. по крайней мере тот, который керберосный.