Squid a écrit :Merci à Bill et à Did pour vos réponses.
Effectivement, j'ai omis de dire que j'ai généré ma clé privée sous Windows 10, à l'aide de l'excellent
tuto Windows. D'où, d'ailleurs, l'occasion d'une légère
prise de tête. Au passage, je laisse libres les auteurs du site d'utiliser mon post pour créer un tuto Android.
Pour le reste, j'aimerais juste corriger ce que dit Bill concernant la clé privée.
Dans la définition de la PKI (du peu que j'en connais), la clé privée sert à m'identifier en tant qu'utilisateur, pas en tant que machine. Ce qui signifie que:
- J'utilise actuellement la même clé privée ".pub" pour utiliser ma Zclef depuis mon PC (Windows 10), ma tablette et mon phone (tous deux sous Android).
- Si plusieurs utilisateurs d'une même machine souhaitent accéder à leurs propres données stockées sur sshfs, chacun devra y utiliser sa propre clé privée.
- Dans la mesure où elle m'identifie, il m'appartient de protéger ma clé privée au même titre qu'un mot de passe, particulièrement en cas d'utilisation sur un appareil mobile, car si quelqu'un y accède, il peut directement utiliser tous les services dont cette clé protège l'accès, en se faisant passer pour moi. C'est d'ailleurs pour cela que certaines sociétés ont développé des technologies de stockage des clés sur cartes à puces (protégées par code PIN). Mais ça, c'est un autre débat.
bonjour
juste pour compléter à apporter de l'eau au moulin de l'ami Did pour ses tutos sur astuces et wiki :
#point 1 :
- oui effectivement on n'est pas obligé de générer une nouvelle clef d'authentification RSA pour chaque poste à connecter à la zclef
- petite coquille la clef privée ce n'est pas le .pub : votre clef d'authentification RSA générée par "ssh-keygen" sur votre ordinateur est constituée de 2 parties : la partie privée (fichier id_rsa sans suffixe) et la partie publique ( id_rsa.pub ) que vous nous transmettez et qui est installée sur nos serveurs. Ce couple de fichiers vous permet de vous authentifier sur la zclef installée sur nos serveurs.
- ce qui vous dites ensuite sur l'utilisation est juste mais incomplet : oui vous pouvez copier/coller ces 2 fichiers (votre trousseau .ssh) et l'installer sur d'autres ordinateurs, c'est une utilisation logique et propre. MAIS ce n'est pas obligatoire car vous pouvez aussi pour X raison , choisir sur les autres ordinateurs de générer une nouvelle clef d'authentification RSA , nous transmettre le .pub que nous ajoutons sur votre zclef, et ces 2 clefs RSA seront valides pour ouvrir votre zclef.
Et ceci est vrai quel que soit le pc et le compte utilisateur, peu importe le pc, peu importe le user ! sur notre serveur il y a une zclef numérotée XXXX , n'importe quel utilisateur de n'importe quel pc peu l'ouvrir à condition : de demander cette zclef XXXX et d'avoir sur son compte local le trousseau d'authentification RSA correspondant à une des clefs publiques installées sur la zclef...
Ce qui permet comme vous dites d'y accéder depuis plusieurs postes (1 user , plusieurs ordis) mais aussi de la partager entre plusieurs users , qu'ils soient ou non sur le même pc : dans ce cas soit vous donnez votre trousseau RSA au user B qui l'installe sur son compte utilisateur (quel que soit l'ordi), soit il génére un nouveau trousseau RSA et vous nous transmettez le .pub pour l'ajouter sur votre zclef
#point 2 : oui et non :
- si l'utilisateur B veut accéder à votre zclef : soit vous lui donner votre trousseau RSA soit on ajoute son trousseau RSA à votre zclef comme dit ci dessus.
- si l'utilisateur B veut accéder à SA zclef : le plus logique et propre c'est qu'il génére son trousseau RSA pour SA zclef.
Pour autant , il peut tout à faire se connecter à sa zclef ET à votre zclef en meme temps, du moment que son trousseau RSA est bien déclarer sur ces 2 zclefs ET qu'il configurer correctement ses points de montages sur son poste pour se connecter à ces 2 zclefs.
Et il peut aussi tout à fait , même si c'est moins propre, utiliser une copie de votre trousseau RSA, et s'en servira sur votre zclef ET sur la sienne ...
En somme on a toutes les souplesses, il est plus simple de copier/coller le trousseau RSA car pas besoin de déclarer chaque .pub sur votre zclef MAIS à mon gout il est plus propre de forger un trousseau RSA pour chaque pc et pour chaque user, car vous gardez plus de souplesse pour fermer les accès si besoin en otant les .pub de votre zclef
#point 3 : oui, je plussoie, il faut protéger le fichier id_rsa (la partie privée) qui ne doit en aucun cas être divulguer sans votre autorisation.