SSH-AGENT(1) SSH SSH-AGENT(1)
JMENO
ssh-agent - autentizacni agent
POUZITI
ssh-agent prikaz
eval 'ssh-agent [-k] [-s] [-c]'
POPIS
Program ssh-agent shromazduje soukrome autentizacni klice. Ssh-agent
by mel byt odstartovan na zacatku X-session nebo login session, a
vsechna okna nebo ostatni programy by mely byt startovany jako jeho
potomci (prikaz zadany jako parametr slouzi normalne ke startu X Window
Systemu nebo je uzivatelskym shellem). Programy odstartovane z agenta
jsou s nim propojeny a automaticky jej pouzivaji pro RSA autentizaci
pri prihlasovani na jine stroje pomoci ssh.
Jestlize je ssh-agent odstartovan bez parametru, pobezi jako proces v
pozadi. Pritom vypise na stdout prikazy, ktere mohou byt pri spusteni
v prikazu eval v shellech odvozenych z sh nebo csh pouzity pro nasta-
veni promennych prostredi SSH_AUTH_SOCK a SSH_AGENT_PID. Promenna
prostredi SSH_AGENT_PID muze byt pouzita pro ukonceni agenta prikazem
kill, kdyz uz neni potreba (napriklad pri odhlasovani z X-session
atd.). Nejsou-li zadany zadne volby, ssh-agent zjisti podle hodnoty
promenne prostredi SHELL, jaky shell (z rodiny *csh nebo *sh shellu) je
pouzit. Volba -c zpusobi vypsani prikazu pro nastaveni promennych
prostredi ve stylu csh shellu, volba -s ve stylu sh shellu.
Pamatujte, ze v Unixech odvozenych od System V (prinejmensim v OS IRIX
a Solaris) promenna prostredi SHELL nemusi obsahovat jmeno aktualniho
shellu, ktery provadi prikaz eval. Jestlize je v /etc/default/login
nastavena promenna prostredi ALTSHELL na YES, je promenna prostredi
SHELL nastavena na uzivateluv login shell.
Volba -k muze byt pouzita k automatickemu ukonceni agenta. Zabije
agenta (pro jeho nalezeni pouzije hodnotu promenne prostredi
SSH_AGENT_PID) a vypise na stdout prikazy shellu, ktere zrusi promenne
prostredi SSH_AUTH_SOCKET a SSH_AGENT_PID.
Agent zpocatku nema zadny soukromy klic. Klice jsou pridavany prikazy
ssh-add. Prikaz ssh-add pri spusteni bez parametru prida obsah souboru
$HOME/.ssh/identity. Jestlize ma soubor pristupove heslo, ssh-add se
na nej dotaze (pouzije malou X11 aplikaci pokud bezi pod X11, nebo ter-
minal pokud bezi bez X). Potom zasle identitu agentovi. Agent muze
obsahovat nekolik identit; agent z nich vybere spravnou automaticky.
Prikaz ssh-add -l vypise seznam identit aktualne znamych agentovi.
Vyhodou je fakt, ze agent je spusten na uzivatelove lokalnim PC, lap-
topu nebo terminalu. Autentizacni data nemusi byt ulozena na zadnem
jinem stroji, a autentizacni pristupova hesla nejsou nikdy posilana
pres sit. Spojeni s agentem je forwardovane pomoci ssh, takze uzivatel
muze bezpecne pouzivat pristupova prava dana identitami kdekoli v siti.
Spojeni s agentem je dostupne programum-potomkum. Toto spojeni je rea-
lizovano unix-domain soketem (/tmp/ssh-$USER/agent-socket-<pid>), kde
<pid> je cislo procesu posluchace (agenta nebo sshd demona reali-
zujiciho pro agenta proxy). Jmeno tohoto soketu je ulozeno v promenne
prostredi SSH_AUTH_SOCK. Soket je pristupny pouze pro aktualniho
uzivatele. Tato metoda je snadno zneuzitelna superuzivatelem nebo jinou
instanci tehoz uzivatele. Starsi verze ssh pouzivaly pro komunikaci s
agentem zdedene popisovace souboru a unix-domain sokety pouzivaly
nekompatibilnim zpusobem.
Jestlize byl jako parametr programu ssh-agent zadan prikaz, agent pri
skonceni tohoto prikazu automaticky skonci take. Zadany prikaz bude
proveden, i kdyby agent nebyl schopen poskytovat sve sluzby.
SOUBORY
$HOME/.ssh/identity
Obsahuje RSA autentizacni identitu uzivatele. Tento soubor nesmi
byt citelny nikym krome uzivatele. Pri generovani klice je mozne
zadat pristupove heslo; toto heslo bude pouzito na zasifrovani
soukrome casti souboru. Soubor neni pouzivan primo programem
ssh-agent, ale jeho obsah je prikazem ssh-add pridan do agenta.
/tmp/ssh-$USER/agent-socket-<pid>
Unix-domain sokety pouzite pro spojeni s autentizacnim agentem.
Sokety musi byt citelne pouze vlastnikem. Sokety musi byt pri
ukonceni agenta automaticky zruseny. Nadrizeny adresar adresare
ssh-$USER musi mit nastaven sticky bit.
AUTOR
Tatu Ylonen <ylo@ssh.fi>
VIZ TEZ
ssh-add(1), ssh-keygen(1), ssh(1), sshd(8)
SSH 8. listopadu 1995 SSH-AGENT(1)
