[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: ssh-agent in KDE Plasma 6 in Debian Unstable
[Thread Prev] | [Thread Next]
- Subject: Re: ssh-agent in KDE Plasma 6 in Debian Unstable
- From: Marc Haber <mh+uugrn@xxxxxxxxxxxx>
- Date: Sun, 9 Feb 2025 16:57:53 +0100
- To: uugrn@xxxxxxxxx
Hallo,
ich bin hier jetzt einen Schritt weiter.
On Thu, Dec 05, 2024 at 09:25:29PM +0100, Marc Haber wrote:
> ssh-add -l zeigt den Key, der Key wird dem Server auch angeboten, aber
> wenn der Key dann wirklich benutzt werden soll, gibt es ein "Agent
> refused operation". SSH_AUTH_SOCK zeigt zu /run/user/1001/gcr/ssh.
>
> In der Prozessliste sehe ich einen unter einem systemd --user hängenden
> gcr-ssh-agent.
gcr-ssh-agent ist aus dem Paket gcr bzw gcr4 "GNOME crpto services".
Da ich KDE benutze, lässt sich das Problem durch Deinstallation¹ lösen.
Im aktuellen OpenSSH in Debian unstable wird der ssh-agent mit einer
systemd-user-session gestartet. Das funktioniert auch nicht so wie
gewohnt. Wenn man den aus der systemd user session gestarteten ssh-Agent
tötet, und in einer Shell manuell einen mit identischen
Kommandozeilenparametern startet funktioniert es auch. Lädt man einen
normalen ssh-Key in den ssh-Agent, funktioniert es auch mit dem aus dem
systemd gestarteten ssh-agent.
So langsam dämmert es, dass es etwas mit dem Yubikey zu tun haben
könnte. Nach einigen Experimenten wurde isoliert, dass ein mit ssh-add
-e /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so geladener Key
funktioniert, ein von meinem Standardskript mit ssh-add -e
-c /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so geladener Key aber nicht
geht ("agent refused operation" beim Versuch, den Key zu benutzen).
ssh-add -c fordert den Agenten auf, vor Verwendung eines Keys eine
Bestätigung anzufordern. Das macht der Agent, in dem er ein Fenster
aufmacht. Genau das scheint nicht zu gehen, wenn der Agent aus systemd
--user gestartet wurde.
Damit ist zumindest das Debugging abgeschlossen und ich weiß jetzt WARUM
es nicht geht. Hallelujah.
Aber: Es muss doch irgendwie möglich sein, einem als systemd --user
gestarten ssh-Agent das Öffnen eines Fensters zu erlauben, damit dieser
fragen kann ob er den Key benutzen darf. Das ist ja sicher nicht das
einzige im Hintergrund laufende Programm, das sich von Zeit zu Zeit mal
grafisch melden soll.
Gibt es dafür eine Lösung?
Ach ja, die normale Xauthority-Gymnastik wird hier nicht helfen, Plasma
6 läuft in Wayland.
Grüße
Marc
¹ Da der gcr-ssh-agent auch aus einer systemd user session gestartet
wird, dürfte auch disablen dieser Unit das Problem für meinen User
lösen, ist vielleicht etwas weniger radikal.
--
-----------------------------------------------------------------------------
Marc Haber | "I don't trust Computers. They | Mailadresse im Header
Leimen, Germany | lose things." Winona Ryder | Fon: *49 6224 1600402
Nordisch by Nature | How to make an American Quilt | Fax: *49 6224 1600421
--
Unix User Group Rhein-Neckar e.V.: https://www.uugrn.org
Archiv und An-/Abmeldung: https://mail2.uugrn.org
Social Media: https://social.uugrn.org