[fedora-fr-doc] x2go

Thomas Bouffon thomas.bouffon at gmail.com
Lun 3 Mar 14:28:22 CET 2014


OK... On avance :D

Donc : Comme écrit dans
http://john.wesorick.com/2011/11/issues-installing-x2go.html , x2go ne
supporte pas les clés serveur encodées en ecdsa. Il y a un bugreport sans
réponse sur http://bugs.x2go.org/cgi-bin/bugreport.cgi?bug=106  à ce
propos.

Ca n'a pas de rapport avec le fait que les connections soient effectuées
par mot de passe ou par clé. Le problème apparaît avant que le mot de passe
ou la clé du client soient envoyés.

Le processus de connexion classique est le suivant :
 - le client contacte le serveur
 - le client récupère la clé serveur (/etc/ssh/ssh_host_key_xxx.pub) pour
vérifier qu'il parle bien à la même machine que d'habitude.
 - le client envoie sa clé publique
 - si, coté serveur, la clé publique du client est dans le authorized_keys,
la connexion est acceptée
 - sinon, le client ssh demande à l'utilisateur un mot de passse qu'il
soumet au seveur.

Le problème vient de la 2eme étape : les versions récentes d'openssh
utilisent le protocole ecdsa, x2go dans certaines versions ne connaît que
le rsa. Ainsi, si on commence par se connecter avec le client ssh en ligne
de commande, openssh va effectivement stocker dans known_hosts une clé que
x2go ne comprend pas.

*TL;DR *: si et seulement si on arrive à se connecter au serveur en ligne
de commande (avec ssh) et que dans le fichier known_hosts du client la clé
est de type ecdsa-sha2-nistp256, alors on peut supprimer l'entrée dans le
fichier known_hosts.

Je te propose donc de préciser le paragraphe 5, en remplaçant les 3
premières lignes par l'explication sur les différents types de clé, et en
précédent la phrase qui commence par "supprimer du fichier
.ssh/known_hosts" par un "Si vous arrivez à vous connecter en ligne de
commande avec ssh" en gras.

Bon après-midi,

Thomas



Le 25 févr. 2014 11:11, "Landron Gérard" <bougler at free.fr> a écrit :

> Le 25/02/2014 10:09, Thomas Bouffon a écrit :
>
>> Salut,
>> Les clés du fichier ssh/known_hosts sont bien les identifiants des
>> serveurs, pas des utilisateurs. Dans le known_host coté client il y a le
>> contenu de /etc/ssh/ssh_host_rsa_key.pub coté serveur.
>> Celles des users vont dans authorized_keys.
>> Si les clés contenues dans le known_host du client sont mauvaises, c'est
>> bien qu'elles ont changé coté serveur. Peut-être as-tu entre temps
>> réinstallé la vm qui correspond à ton serveur ? Ou alors dans la config
>> ssh, le type de clé envoyé a changé à un moment ou un autre.
>> Apparemment x2go n'aime pas les clés ecdsa, mais supprimer la ligne dans
>> le .ssh ne suffit pas, il faut changer la config ssh coté serveur :
>> http://john.wesorick.com/2011/11/issues-installing-x2go.html
>> La regénération de la clé ssh avec ssh-keygen n'aura pas d'impact sur le
>> fichier known-hosts
>>
>> Désolé mais je persiste et signe, le message d'erreur en cas de mauvaise
>> clé serveur est assez explicite, il faut vraiment réfléchir avant de
>> supprimer l'entrée correspondante.
>>
>> Pour le clear:both, je l'ai ajoute.
>>
>> @+
>> Thomas
>>
> va voir le message de Raphos :
> http://forums.fedora-fr.org/viewtopic.php?id=61523
> et
> http://john.wesorick.com/2011/11/issues-installing-x2go.html
> qui est peut-être plus explicite
>
> Merci pour le clear:both, je vois qu'il suffisait d'ajouter une div
>
> Gérard
>
> _______________________________________________
> fedora-fr-doc mailing list
> fedora-fr-doc at fedora-fr.org
> http://mailing-list.fedora-fr.org/mailman/listinfo/fedora-fr-doc
>
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://mailing-list.fedora-fr.org/pipermail/fedora-fr-doc/attachments/20140303/3d88d983/attachment.html>


Plus d'informations sur la liste de diffusion fedora-fr-doc