Fehler mit Guacamole und durch 2FA geschützter Server

[Zoker]

Hallo zusammen,

Ich habe meinen Server bei Netcup mit einem SSH-Schlüssel und einer 2FA-Einrichtung gesichert, wie hier in diesem Artikel beschrieben:
https://www.linuxbabe.com/ubuntu/two-factor-authentication-ssh-key-ubuntu

Wenn ich nun versuche, mich über meine lokale Shell auf meinem PC mit dem Server zu verbinden, funktioniert das problemlos.
Sobald ich über Guacamole auf den Server zugreife, werde ich zuerst nach meinem SSH Passwort gefragt und erhalte ich diesen Fehler:

Bei meinen lokalen Server im selben Netzwerk, die nicht durch 2FA geschützt sind, funktioniert Guacamole ohne Probleme, aber bei den Remote-Servern mit aktivierter 2FA tritt dieser Fehler auf. Hat noch jemand dieses Problem oder sogar einen Tipp für mich, wie ich es lösen kann? Vielen Dank!

 

[dms]

Hast du denn mal in die Logs geschaut?

https://guacamole.apache.org/doc/gug/troubleshooting.html

 

[Zoker]

Guter Tipp!
Das hier hab ich gefunden:

guacd[1]: INFO: Creating new client for protocol "ssh"
guacd[1]: INFO: Connection ID is "$40453030-a38f-4888-a550-798659e374f7"
guacd[265]: INFO:       User "@b5108418-5c99-4909-aaa6-67949991bb18" joined connection "$40453030-a38f-4888-a550-798659e374f7" (1 users now present)
guacd[265]: INFO:       Auth key successfully imported.
guacd[265]: WARNING:    No known host keys provided, host identity will not be verified.
guacd[265]: ERROR:      Public key authentication failed: Invalid signature for supplied public key, or bad username/public key combination
guacd[265]: INFO:       User "@b5108418-5c99-4909-aaa6-67949991bb18" disconnected (0 users remain)
guacd[265]: INFO:       Last user of connection "$40453030-a38f-4888-a550-798659e374f7" disconnected
guacd[1]: INFO: Connection "$40453030-a38f-4888-a550-798659e374f7" removed.

Was interessant ist, da der Key genau der gleiche ist wie bei den lokalen Servern und da funktionierts

So sieht eine erfolgreiche Verbindung mit dem lokalen Server aus:

guacd[1]: INFO: Creating new client for protocol "ssh"
guacd[1]: INFO: Connection ID is "$e5a8e63c-0dc0-4ef8-bdc2-43a85de902a6"
guacd[315]: INFO:       User "@5f91e700-950f-4a54-a4d9-60756a5b8c3a" joined connection "$e5a8e63c-0dc0-4ef8-bdc2-43a85de902a6" (1 users now present)
guacd[315]: INFO:       Auth key successfully imported.
guacd[315]: WARNING:    No known host keys provided, host identity will not be verified.
guacd[315]: WARNING:    Unable to set the timezone: SSH server refused to set "TZ" variable.
guacd[315]: INFO:       SSH connection successful.

 

[CoMo]

guacd[265]: ERROR: Public key authentication failed: Invalid signature for supplied public key, or bad username/public key combination

Falscher Key.

 

[Zoker]

Wie gesagt es wird auf beiden Systemen der gleiche Key verwendet und es ist auch in Guacamole der selbe Key hinterlegt. Müsste also funktionieren:

 

[dms]

Müsste also funktionieren:

.. tuts ja Augenscheinlich nicht, was nun?

Für mich sind Warnings im Log wie Rost am neuen Auto - also versuche ich selber, das wegzuarbeiten um den Fehler nicht zu maskieren.

 

[Malaclypse17]

Unterstützt Guacamole denn mittlerweile die neuren Keys? Als ich Guacamole zuletzt verwendet habe, konnte es noch keine Keys im Format "-----BEGIN OPENSSH PRIVATE KEY-----" verwenden, nur im "-----BEGIN RSA PRIVATE KEY-----".

Laut diesem Thread sollte es mittlerweile im stable Release angekommen sein: https://forum.cloudron.io/topic/6557/ssh-connection-with-private-key-fails/5 welche Version von Guacamole wird denn verwendet?

 

[Zoker]

.. tuts ja Augenscheinlich nicht, was nun?

Für mich sind Warnings im Log wie Rost am neuen Auto - also versuche ich selber, das wegzuarbeiten um den Fehler nicht zu maskieren.

Leider habe ich noch nicht ganz rausbekommen, wie ich mir am besten Public host key (base64) zusammenbaune kann

Unterstützt Guacamole denn mittlerweile die neuren Keys? Als ich Guacamole zuletzt verwendet habe, konnte es noch keine Keys im Format "-----BEGIN OPENSSH PRIVATE KEY-----" verwenden, nur im "-----BEGIN RSA PRIVATE KEY-----".

Laut diesem Thread sollte es mittlerweile im stable Release angekommen sein: https://forum.cloudron.io/topic/6557/ssh-connection-with-private-key-fails/5 welche Version von Guacamole wird denn verwendet?

Version 1.5.5 (https://hub.docker.com/r/guacamole/guacamole/tags)

 

[CoMo]

Und funktioniert es mit dem -m PEM Key?

Warum verwendest du eigentlich RSA-Keys, wenn du das gerade frisch eingerichtet hast? Nostalgie?

 

[Malaclypse17]

Warum verwendest du eigentlich RSA-Keys, wenn du das gerade frisch eingerichtet hast? Nostalgie?

Was soll er denn sonst verwenden? Meines Wissens nach gibt es nichts aktuelleres und die aktuelle Methode zur Generierung wurde auch wie oben beschrieben verwendet, woraus sich auch meine Frage ergeben hat.

 

[CoMo]

Meines Wissens nach gibt es nichts aktuelleres

Ed25519 gibt es seit mehr als 10 Jahren in OpenSSH und es gibt keine mir bekannten Gründe, heute noch RSA-Schlüssel zu generieren. Außer, man folgt uralten Tutorials.

 

[Malaclypse17]

Wenn der Schlüssel 4096 Bit lang ist, ist doch alles gut, da gibt es sicherheitstechnisch keine Eischränkung, aber mit ed25519 gibt es noch häufig Einschränkungen in der Kompatibilität, obwohl da Guacamole auch ein schlechtes Beispiel ist.