学步园

最近在搭建Hadoop环境需要设置无密码登陆，所谓无密码登陆其实是指通过证书认证的方式登陆，使用一种被称为"公私钥"认证的方式来进行ssh登录。
　　" 公私钥"认证方式简单的解释：首先在客户端上创建一对公私钥 （公钥文件：~/.ssh/id_rsa.pub； 私钥文件：~/.ssh/id_rsa）。然后把公钥放到服务器上（~/.ssh/authorized_keys）， 自己保留好私钥。在使用ssh登录时，ssh程序会发送私钥去和服务器上的公钥做匹配。如果匹配成功就可以登录了。
　　在Ubuntu和Cygwin 配置都很顺利，而在Centos系统中配置时遇到了很多问题。故此文以Centos （Centos5 ） 为例详细讲解如何配置证书验证登陆，具体操作步骤如下：
　　1. 确认系统已经安装好OpenSSH的server 和client
　　安装步骤这里不再讲述，不是本文的重点。
　　2. 确认本机sshd的配置文件（需要root权限）
　　$ vi /etc/ssh/sshd_config
　　找到以下内容，并去掉注释符”#“
　　RSAAuthentication yes
　　PubkeyAuthentication yes
　　AuthorizedKeysFile      .ssh/authorized_keys
　　3.  如果修改了配置文件需要重启sshd服务 （需要root权限）
　　$ vi /sbin/service sshd restart
　　4. ssh登陆系统 后执行测试命令：
　　$ ssh localhost
　　回车会提示你输入密码，因为此时我们还没有生成证书
　　5.生成证书公私钥的步骤：
　　$ ssh-keygen -t dsa -P '' -f ~/.ssh/id_dsa
　　$ cat ~/.ssh/id_dsa.pub 》 ~/.ssh/authorized_keys
　　6.测试登陆 ssh localhost：
　　$ ssh localhost
　　正常情况下会登陆成功，显示一些成功登陆信息，如果失败请看下面的 一般调试步骤
　　7.一般调试步骤
　　本人在配置时就失败了，按照以上步骤依旧提示要输入密码。于是用ssh -v 显示详细的登陆信息查找原因：
　　$ ssh -v localhost
　　回车显示了详细的登陆信息如下：
　　……省略
　　debug1: Authentications that can continue: publickey,gssapi-with-mic,password
　　debug1: Next
authentication
method: gssapi-with-mic
　　debug1: Unspecified GSS failure. Minor code may provide more information
　　Unknown code krb5 195
　　debug1: Unspecified GSS failure. Minor code may provide more information
　　Unknown code krb5 195
　　debug1: Unspecified GSS failure. Minor code may provide more information
　　Unknown code krb5 195
　　debug1: Next authentication method: publickey
　　debug1: Trying private key: /home/huaxia/.ssh/identity
　　debug1: Trying private key: /home/huaxia/.ssh/id_rsa
　　debug1: Offering public key: /home/huaxia/.ssh/id_dsa
　　debug1: Authentications that can continue: publickey,gssapi-with-mic,password
　　debug1: Next authentication method: password
　　huaxia@localhost's
password:
　　同时用root用户登陆查看系统的日志文件：
　　$tail /var/log/secure -n 20
　　……省略
　　Jul 13 11:21:05 shnap sshd[3955]: Accepted
password for huaxia from 192.168.8.253 port 51837 ssh2
　　Jul 13 11:21:05 shnap sshd[3955]: pam_unix（sshd:session）: session opened for user huaxia by （uid=0）
　　Jul 13 11:21:47 shnap sshd[4024]: Connection closed by 127.0.0.1
　　Jul 13 11:25:28 shnap sshd[4150]:
Authentication refused: bad ownership or modes for file /home/huaxia/.ssh/authorized_keys
　　Jul 13 11:25:28 shnap sshd[4150]:
Authentication refused: bad ownership or modes for file /home/huaxia/.ssh/authorized_keys
　　Jul 13 11:26:30 shnap sshd[4151]: Connection closed by 127.0.0.1
　　……省略
　　从上面的日志信息中可知文件/home/huaxia/.ssh/authorized_keys 的权限有问题。
　　查看/home/huaxia/.ssh/ 下文件的详细信息如下：
　　$ ls -lh ~/.ssh/
　　总计 16K
　　-rw-rw-r-- 1 huaxia huaxia 602 07-13 11:22 authorized_keys
　　-rw------- 1 huaxia huaxia 672 07-13 11:22 id_dsa
　　-rw-r--r-- 1 huaxia huaxia 602 07-13 11:22 id_dsa.pub
　　-rw-r--r-- 1 huaxia huaxia 391 07-13 11:21 known_hosts
　　修改文件authorized_keys的权限（权限的设置非常重要，因为不安全的设置安全设置，会让你不能使用RSA功能 ）：
　　$ chmod 600 ~/.ssh/authorized_keys
　　再次测试登陆如下：
　　$ ssh localhost
　　Last login: Wed Jul 13 14:04:06 2011 from 192.168.8.253
　　看到这样的信息表示已经成功实现了本机的无密码登陆。
　　8.认证登陆远程服务器（远程服务器OpenSSH的服务当然要启动）
　　拷贝本地生产的key到远程服务器端（两种方法）
　　方法一：
　　$cat ~/.ssh/id_rsa.pub | ssh 远程用户名@远程服务器ip 'cat - 》 ~/.ssh/authorized_keys'
　　方法二：
　　在本机上执行：
　　$ scp ~/.ssh/id_dsa.pub michael@192.168.8.148:/home/michael/
　　登陆远程服务器michael@192.168.8.148 后执行：
　　$ cat id_dsa.pub 》 ~/.ssh/authorized_keys
　　本机远程登陆192.168.8.148的测试：
　　$ssh michael@192.168.8.148
　　Linux michael-VirtualBox 2.6.35-22-generic #33-Ubuntu SMP Sun Sep 19 20:34:50 UTC 2010 i686 GNU/Linux
　　Ubuntu 10.10
　　Welcome to Ubuntu!
　　* Documentation: https://help.ubuntu.com/
　　216 packages can be updated.
　　71 updates are security updates.
　　New release 'natty' available.
　　Run 'do-release-upgrade' to upgrade to it.
　　Last login: Wed Jul 13 14:46:37 2011 from michael-virtualbox
　　michael@michael-VirtualBox:~$
　　可见已经成功登陆。
　　如果登陆测试不成功，需要修改远程服务器192.168.8.148上的文件authorized_keys的权限（权限的设置非常重要，因为不安全的设置安全设置，会让你不能使用RSA功能 ）
　　chmod 600 ~/.ssh/authorized_keys