我们实验室的计算集群有一个双接口“网关”机器,我们用它来访问集群节点。将其称为 gateway1.publicdomain.com。通常,我会从我的笔记本电脑 laptop.anydomain.com 访问这台机器,如下所示:
远程控制[电子邮件保护]
我在笔记本电脑上的 .ssh/id_rsa.pub 中设置了一个公钥,并将其复制到网关 1 上的 .ssh/authorized_keys。通常这可以正常工作。
今天我使用的是公共接入点,而不是我通常的工作连接。当我这样做时
远程控制[电子邮件保护]
我收到答复:
权限被拒绝(publickey,gssapi-with-mic)。
显然它不会接受我的 id_rsa 凭证(问题 1),并且没有提示我输入密码(问题 2),尽管通常当我从以前未知的主机登录时会提示我输入密码。
我仍然能够从另一台机器(称为 otherhost.otherdomain.com)顺利通过 ssh 连接到网关 1,无论是使用密码还是(在设置相关的 id_rsa* 文件后)使用公钥身份验证。我还可以使用笔记本电脑上的公钥凭据登录到 otherhost 本身,所以我知道笔记本电脑的 ssh 设置没有根本问题。
最后,即使我删除了 gateway1 上的公钥形式 .ssh/authorized_keys,我仍然会收到相同的“权限被拒绝”消息,并且没有密码提示。
所以我想我的问题是,什么原因导致gateway1拒绝我的笔记本电脑的公钥凭证,并阻止密码登录,但不阻止来自另一台主机的密码登录?我已经确认笔记本电脑上的id_rsa.pub和gateway1上的authorized_keys是同步的。
编辑:自从我最初发布以来,我一直无法重现该问题,因为它只发生在我连接到特定无线接入点(不属于我或我的实验室)时。我仍然不知道这是怎么发生的。
答案1
有人可能AllowUsers在服务器配置中使用了指令,或者您可能使用了错误版本的 SSH 协议。
尝试添加 -v(或两个)来增加详细程度;您可能会发现比简单拒绝更有帮助的内容。
类似地,您可以在不进行密钥交换的情况下启动 ssh,而不是将其从服务器的授权密钥列表中删除。阅读有关ssh 的手册页。
答案2
您正在运行 Debian 吗?这可能是由列入黑名单的 SSH 密钥引起的吗?