SSH bei AlliedWare Plus™

Um bei AlliedWare Plus™-Switchen eine SSH-Server zu erstellen sind folgende Schritte nötigt:
1. Den Hostkey generieren

awplus>en
awplus#configure t
awplus(config)#crypto key generate hostkey rsa 4096

2. Die Version des SSH-Server festlegen. (Empfohlen wird Version 2)

awplus(config)#ssh server v2only

3. Die entsprechenden Benutzer berechtigen.

awplus(config)#ssh server allow-users manager

4. Den Dienst aktivieren.

awplus(config)#service ssh 
awplus(config)# exit
awplus#wr

Nach dem diese Befehle ausgeführt sind, steh nun ein SSH-Server bereit und man kann sich auf den Switch verbinden.

Mit folgendem Vorgang kann eine SSH-Verbindung ohne Passwort durchführen. Als erstes muss der Public-Key auf dem Client generiert werden.

gregor@firmware:~$ ssh-keygen -t rsa -b 4096
Generating public/private rsa key pair.
Enter file in which to save the key (/home/gregor/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/gregor/.ssh/id_rsa.
Your public key has been saved in /home/gregor/.ssh/id_rsa.pub.
The key fingerprint is:
61:2d:3a:09:aa:6b:ea:0a:4b:70:7c:38:b5:ab:dd:1d gregor@firmware
The key's randomart image is:
+---[RSA 4096]----+
|            .E   |
|           ..    |
|      .   .+.    |
|     . o + o= ...|
|      . S.=o ..o.|
|       ....o ..  |
|        o.. . .  |
|         +.  .   |
|          +o     |
+-----------------+
Sie haben neue Post in /var/mail/gregor.
gregor@firmware:~$ su
Passwort: 
root@firmware:/home/gregor# cp /home/gregor/.ssh/id_rsa.pub /srv/tftp/
root@firmware:/home/gregor# exit
exit
gregor@firmware:~$

Als nächster Schritt muss dem Switch noch der Public-Key bekannt gegeben werden, hier für werden folgende Befehle benötigt:

gregor@firmware:~$ ssh 172.16.10.9
#########################################
###             WARNUNG               ###
###                                   ###
###            Benutzung              ###
###            auf eigene             ###
###             GEFAHR                ###
###                                   ###
###       jegendliche Haftung         ###
###              wird                 ###
###            ABGELEHNT              ###
###                                   ###
###        Heinger Kabel AG           ###
###         Saegestrasse 65           ###
###            3098 Koeniz            ###
##########################################
Password: 
Last login: Fri Jun  2 13:23:43 CET 2017 from 172.16.10.250
No entry for terminal type "xterm-256color";
using vt100 terminal settings.

AlliedWare Plus (TM) 5.4.6 03/18/16 02:03:18

awplus>en
awplus#copy tftp://172.16.10.250/id_rsa.pub flash 
Enter destination file name[id_rsa.pub]:
Copying...
Successful operation
awplus#con t
Enter configuration commands, one per line.  End with CNTL/Z.
awplus(config)#crypto key pubkey-chain userkey gregor id_rsa.pub
awplus(config)#exit
awplus#exit
Connection to 172.16.10.9 closed.
gregor@firmware:~$ ssh 172.16.10.9
#########################################
###             WARNUNG               ###
###                                   ###
###            Benutzung              ###
###            auf eigene             ###
###             GEFAHR                ###
###                                   ###
###       jegendliche Haftung         ###
###              wird                 ###
###            ABGELEHNT              ###
###                                   ###
###        Heinger Kabel AG           ###
###         Saegestrasse 65           ###
###            3098 Koeniz            ###
##########################################
Last login: Fri Jun  2 13:28:03 CET 2017 from 172.16.10.250
No entry for terminal type "xterm-256color";
using vt100 terminal settings.

AlliedWare Plus (TM) 5.4.6 03/18/16 02:03:18

awplus>en
awplus#delete id_rsa.pub
Delete flash:/id_rsa.pub?  (y/n)[n]:y
Deleting...
Successful operation
awplus#wr
awplus#exit
Connection to 172.16.10.9 closed.
gregor@firmware:~$ 

Für eine Public-Key vom Switch zu einen Client/Server sind folgende Befehle auf dem Switch notwendig:

awplus>en
awplus#con t
awplus(config)#crypto key pubkey-chain knownhosts ip 172.16.10.250 rsa
172.16.10.250 ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDo/t8Kq9AQ8XelcHvnbmWWtaZqQDSvSikjgYBgfVx7PRmJYnepVEV3oP1FkhmqWW0JJSZSUXxeXLVIVWVrprHbCJuMqM2tWMf1EXXDoWv/syIMLHfdUz4xCkNVOFmc9mxBKQIOofcelf4pbsotoy+p+kktEm6JK7/ndQ6VQktwSeWVLL90zyr6ZPwQxLgI0tB6Q++U+tGaZCHHZgycLbJXOw5vI4EzcCU14NmnF+cYIXPOdwSqd1Oso0BAAJdbcxb+zH/bMzJVwjyTAGVft5pD7HYNtIHQXwbMgMrIeYaMQki1k0A/W7mDRkKa4aPgdfgRbiuD9eKfgEp+w91QLnZX
Are you sure you want to add this public key (yes/no)? yes
awplus(config)#crypto key generate userkey gregor rsa
awplus(config)#exit
awplus#sh crypto key userkey gregor rsa
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQDirETB9zYSTaq4hqOoLJfXpgDOmjosAuRbFTs4lT66cwrHCpiBQg2ko21IPuAJ+TXIaEo57d1RllAioNR607/HLzv+ylNMSmYaEFGNvvFkIepsNi6+7iVz0hQj67CMuhTJXtd6CRh3yFhT5HzzvNYRNRR5JyyZAnZ2e5BG3Oz/Tw=
= 
awplus#sh crypto key userkey gregor rsa > gregor-rsa.pub
awplus#copy gregor-rsa.pub tftp://172.16.10.250

Auf dem Client/Server müssen nun folgende Befehle durchgeführt werden:

gregor@firmware:~$ cat /srv/tftp/gregor-rsa.pub >> ~/.ssh/authorized_keys
gregor@firmware:~$ chmod 700 ~/.ssh
gregor@firmware:~$ chmod 600 ~/.ssh/authorized_keys

Danach kann man sich ohne Passwort am Client/Server anmelden, hier ein Beispiel:

awplus>en
awplus#ssh 172.16.10.250

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
You have new mail.
Last login: Fri Jun  2 11:29:23 2017 from 172.16.10.9
gregor@firmware:~$ ls /srv/tftp/
test_2.txt  test.txt  zd1200_9.10.0.0.218.img  zd1200_9.12.2.0.101.img
gregor@firmware:~$ exit
Abgemeldet
Connection to 172.16.10.250 closed.
awplus#