tweeeetyのぶろぐ的めも

アウトプットが少なかったダメな自分をアウトプット<br>\(^o^)/

【ssh】gateway的な踏み台サーバからssh -A(エージェント転送)でPermission denied, please try again.と表示される場合の確認と対応

linux mac ssh

はじめに

タイトルとおりなのですが、SSHは設定によってpermission denied系は良くでますよね。
権限系の原因が多いのでcchmod 600 鍵とかchmod 600 configとかやったりすると思いますが、その辺を見直してもダメだなーというときのメモ

構成

大した構成ではないですが一応イメージを。
localのPCから踏み台となるgatewayサーバから他のサーバにアクセスする想定で
gatewayでのPermission denied的な。

local(macとか)
  │
  │ ssh
  v
gateway(用意されてる踏み台)
  │
  │ ssh ← ココでPermission denied
  v
各種server

現象

構成のまんまですが、gatewayサーバから他のサーバへsshしようとしたらPermission denied的な。

※ @local
# ssh -A gateway
Last login: Tue Feb 10 17:37:41 2015 from 172.23.82.216

※ @gateway
※ パスワード打っても入れない。
# ssh anyserver1
hoge@gateway's password: 
Permission denied, please try again.
hoge@gateway's password: 
Permission denied, please try again.
hoge@gateway's password: 
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).

確認

localからssh -Aでエージェント転送してますが、
その結果、gatewayでの鍵は何を使われているのか確認してみます。

※ @local
# ssh -A gateway
Last login: Tue Feb 10 17:37:41 2015 from 172.23.82.216

※ @gateway
※ gatewayからanyserver1にsshする際に使われる鍵情報を確認
# ssh-add -L
ssh-rsa AABBB4NzaC2cd2BBBBJBIwLLLQEAxckKiQLJHrGRH+ElPtEr33chdycc+JNSAolBNNuvTp+jhMaHDwzZpwIJrWe/L5wyKRNho1m9iARVl3sylvQ4+dfgDhujFQ+KioYuIIoxUeIaMj32oHsf/Fz5gUgYWVcCtQYCFJ03hXI49XdhuRjJoprj0KghjU5+5/y/cPAISMSaAsB6r3OJdfRSNCg7GFG7yrcPu/8IeejSW50u06SRS/pZ7xXj1hSkI321a5o72+FA6KLePEQfaOoHSaDfQ3pwGcNpjF1Qtlf3PLKsZ5M2HJRQ/Javp2OtLLOF5PR5Rugqe9ENjhgWiCNtmrVXBYB00jUWR7PsQUR6r2EdXm65w== /Users/hoge/.ssh/id_rsa_test

ここで想定していない鍵が使われている場合は
mac側で正しく鍵を設定する必要があります。

ここに鍵文字列を貼付けると横に長いですが、
鍵作成時にコメントつけていれば鍵文字列の最後のほうにコメントがあるのがわかるかと思います。

対応

今回の場合のようにmacssh-add -Lを打ってみても
そもそも何も表示されなかったり、想定していない鍵が使われていなかった場合の対応です。
なので鍵を追加してやります。
※ 鍵を他で作ってファイルのコピペで持ってきた場合なんかによく起こりがちです
※ 鍵はいくつでも追加できるので、既に登録されているものも消えるわけではありません。

※ @local
※ 想定しない鍵が表示される
# ssh-add -L
ssh-rsa AABBB4NzaC2cd2BBBBJBIwLLLQEAxckKiQLJHrGRH+ElPtEr33chdycc+JNSAolBNNuvTp+jhMaHDwzZpwIJrWe/L5wyKRNho1m9iARVl3sylvQ4+dfgDhujFQ+KioYuIIoxUeIaMj32oHsf/Fz5gUgYWVcCtQYCFJ03hXI49XdhuRjJoprj0KghjU5+5/y/cPAISMSaAsB6r3OJdfRSNCg7GFG7yrcPu/8IeejSW50u06SRS/pZ7xXj1hSkI321a5o72+FA6KLePEQfaOoHSaDfQ3pwGcNpjF1Qtlf3PLKsZ5M2HJRQ/Javp2OtLLOF5PR5Rugqe9ENjhgWiCNtmrVXBYB00jUWR7PsQUR6r2EdXm65w== /Users/hoge/.ssh/id_rsa_test

※ ssh-add ~/.ssh/id_rsa
ssh-rsa AABBB4NzaC2cd2BBBBJBIwLLLQEAxckKiQLJHrGRH+ElPtEr33chdycc+JNSAolBNNuvTp+jhMaHDwzZpwIJrWe/L5wyKRNho1m9iARVl3sylvQ4+dfgDhujFQ+KioYuIIoxUeIaMj32oHsf/Fz5gUgYWVcCtQYCFJ03hXI49XdhuRjJoprj0KghjU5+5/y/cPAISMSaAsB6r3OJdfRSNCg7GFG7yrcPu/8IeejSW50u06SRS/pZ7xXj1hSkI321a5o72+FA6KLePEQfaOoHSaDfQ3pwGcNpjF1Qtlf3PLKsZ5M2HJRQ/Javp2OtLLOF5PR5Rugqe9ENjhgWiCNtmrVXBYB00jUWR7PsQUR6r2EdXm65w== /Users/hoge/.ssh/id_rsa_test
ssh-rsa SMSaAsB6r3OJdfRSNCg7GFG7yrcPu/8IeejSW50u06SRS/pZ7xAABBB4NzaC2cd2BBBBJBIwLLLQEAxckKiQLJHrGRH+ElPtEr33chdycc+JNSAolBNNuvTp+jhMaHDwzZpwIJrWe/L5wyKRNho1m9iARVl3sylvQ4+dfgDhujFQ+KioYuIIoxUeIaMj32oHsf/Fz5gUgYWVcCtQYCFJ03hXI49XdhuRjJoprj0KghjU5+5/y/cPAIXj1hSkI321a5o72+FA6KLePEQfaOoHSaDfQ3pwGcNpjF1Qtlf3PLKsZ5M2HJRQ/Javp2OtLLOF5PR5Rugqe9ENjhgWiCNtmrVXBYB00jUWR7PsQUR6r2EdXm65w== /Users/hoge/.ssh/id_rsa

※ 鍵文字列は適当です

対応後確認

無事入れるようになりました!

※ @local
# ssh -A gateway
Last login: Mon Feb 16 19:29:29 2015 from 172.23.82.216

※ @gateway
# ssh anyserver1
Last login: Mon Feb 16 19:06:31 2015 from 10.55.0.143

まとめ

またひとつ勉強になりました\(^o^)/