micmiu – 软件开发+生活点滴

最近在搭建Hadoop环境需要设置无密码登陆，所谓无密码登陆其实是指通过证书认证的方式登陆，使用一种被称为”公私钥”认证的方式来进行ssh登录。

“公私钥“认证方式简单的解释:首先在客户端上创建一对公私钥 （公钥文件：~/.ssh/id_rsa.pub； 私钥文件：~/.ssh/id_rsa）。然后把公钥放到服务器上（~/.ssh/authorized_keys）, 自己保留好私钥.在使用ssh登录时,ssh程序会发送私钥去和服务器上的公钥做匹配.如果匹配成功就可以登录了。

在Ubuntu和Cygwin 配置都很顺利，而在Centos系统中配置时遇到了很多问题。故此文以Centos（Centos5）为例详细讲解如何配置证书验证登陆，具体操作步骤如下：

1. 确认系统已经安装好OpenSSH的server 和client

安装步骤这里不再讲述，不是本文的重点。

2. 确认本机sshd的配置文件(需要root权限)

找到以下内容，并去掉注释符”#“

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      .ssh/authorized_keys

3.  如果修改了配置文件需要重启sshd服务(需要root权限)

$ vi /sbin/service sshd restart

4.ssh登陆系统后执行测试命令：

$ ssh localhost

回车会提示你输入密码，因为此时我们还没有生成证书。

5.生成证书公私钥的步骤：

6.测试登陆 ssh localhost：

$ ssh localhost

正常情况下会登陆成功，显示一些成功登陆信息，如果失败请看下面的一般调试步骤

7.一般调试步骤

本人在配置时就失败了，按照以上步骤依旧提示要输入密码。于是用ssh -v 显示详细的登陆信息查找原因：

$ ssh -v localhost

回车显示了详细的登陆信息如下：

。。。。。。省略
debug1: Authentications that can continue: publickey,gssapi-with-mic,password
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure.  Minor code may provide more information
Unknown code krb5 195

debug1: Unspecified GSS failure.  Minor code may provide more information
Unknown code krb5 195

debug1: Unspecified GSS failure.  Minor code may provide more information
Unknown code krb5 195

debug1: Next authentication method: publickey
debug1: Trying private key: /home/huaxia/.ssh/identity
debug1: Trying private key: /home/huaxia/.ssh/id_rsa
debug1: Offering public key: /home/huaxia/.ssh/id_dsa
debug1: Authentications that can continue: publickey,gssapi-with-mic,password
debug1: Next authentication method: password
huaxia@localhost’s password:

同时用root用户登陆查看系统的日志文件：
$tail /var/log/secure -n 20

。。。。。。省略
Jul 13 11:21:05 shnap sshd[3955]: Accepted password for huaxia from 192.168.8.253 port 51837 ssh2
Jul 13 11:21:05 shnap sshd[3955]: pam_unix(sshd:session): session opened for user huaxia by (uid=0)
Jul 13 11:21:47 shnap sshd[4024]: Connection closed by 127.0.0.1
Jul 13 11:25:28 shnap sshd[4150]: Authentication refused: bad ownership or modes for file /home/huaxia/.ssh/authorized_keys
Jul 13 11:25:28 shnap sshd[4150]: Authentication refused: bad ownership or modes for file /home/huaxia/.ssh/authorized_keys
Jul 13 11:26:30 shnap sshd[4151]: Connection closed by 127.0.0.1
。。。。。。省略

从上面的日志信息中可知文件/home/huaxia/.ssh/authorized_keys的权限有问题。

查看/home/huaxia/.ssh/下文件的详细信息如下：

修改文件authorized_keys的权限（权限的设置非常重要,因为不正确的权限设置,会让你不能使用RSA功能）：

再次测试登陆如下：

看到这样的信息表示已经成功实现了本机的无密码登陆。

8.认证登陆远程服务器（远程服务器OpenSSH的服务当然要启动）

拷贝本地生产的key到远程服务器端（两种方法）

方法一：

在本机上执行：

方法二：

在本机上执行：

登陆远程服务器michael@192.168.8.148 后执行：

PS《2014-01-08 修改》：上面两个方法需要注意文件的权限设置，否则无法实现无密码登陆， 增加一个更好的方法，用ssh自带的命令 ：ssh-copy-id 把公钥复制到远程主机上，同时也会给远程主机的用户主目录 、~/.ssh、 ~/.ssh/authorized_keys 都设置合适的权限 。

本机远程登陆192.168.8.148的测试：

$ssh michael@192.168.8.148
Linux michael-VirtualBox 2.6.35-22-generic #33-Ubuntu SMP Sun Sep 19 20:34:50 UTC 2010 i686 GNU/Linux
Ubuntu 10.10

Welcome to Ubuntu!
* Documentation:  https://help.ubuntu.com/

216 packages can be updated.
71 updates are security updates.

New release ‘natty’ available.
Run ‘do-release-upgrade’ to upgrade to it.

Last login: Wed Jul 13 14:46:37 2011 from michael-virtualbox
michael@michael-VirtualBox:~$

可见已经成功登陆。

如果登陆测试不成功，需要修改远程服务器192.168.8.148上的文件authorized_keys的权限（权限的设置非常重要,因为不正确的权限设置,会让你不能使用RSA功能）:

chmod 600 ~/.ssh/authorized_keys

ps：部分内容修正过，很多网站把我的文章转载，都是一样的错误。。。

———————————————-  EOF @Michael Sun ———————————————-