SFTP connect zur AS/400 - access denied

[Andreas_Prouza]

Wenn dein Private Key für User A auf deinem PC die korrekten Rechte hat und der Private Key für User B eben nicht, dann liegt es daran.

Grundsätzlich müssen folgende Faktoren geprüft werden:

Am Client

• Rechte & Owner im %homepath% (755)
• Rechte & Owner im %homepath%/.ssh (700)
• Rechte & owner vom Public Key im %homepath%/.ssh/mykey.pub (600)
• Rechte & owner vom Private Key im %homepath%/.ssh/mykey.ppk (600)

Am Server

• Rechte & Owner im /home/{user} ~ (755)
• Rechte & Owner im /home/{user}/.ssh (700)
• Rechte & owner vom /home/{user}/.ssh/authorized_key (600)

Ich habe bei mir in der ~/.ssh/config für jede Verbindung & User einen entsprechenden Eintrag:

Host academy
HostName 10.10.10.10
IdentitiesOnly=yes
User prouza1
IdentityFile ~/.ssh/myserver_private_key_rsa_2

Host academy
HostName 10.10.10.10
IdentitiesOnly=yes
User prouza2
IdentityFile ~/.ssh/myserver_private_key_rsa_2

[Andreas_Prouza]

Es müssen alle Rechte und Owner IMMER auf beiden Geräten stimmen (Client & Server).
Passt irgendeine Komponente nicht, gibt's ein Problem.
Leider liefert SSH keine Fehlermeldung woran es liegt.

Manche meinen es sei ein Sicherheitsfeature, ähnlich bei der Anmeldung im TELNET wenn lediglich das Passwort nicht stimmt, man aber eine allgemeine Fehlermeldung bekommt, damit der Client nicht weiß, dass zumindest der User stimmt.

Wenn du die oben genannten Prüfungen machst, solltest du den Fehler finden können.

[itec01]

Hallo Andreas, vlt. habe ich mich etwas undeutlich ausgedrückt. Den Benutzer auf der IBMi gibt es auf meinem Rechner nicht. Da ist ein reiner IBMi User.

Beispiel:
Ich bin mit User 1 in Windows angemeldet und mache einen SFTP connect zur IBMi mit user 2 und 3. User 2 klappt, User 3 nicht.
Im Verzeichnis /home/{user}/.ssh gibt es nur die known_hosts Datei, sowohl bei user 2 als auch bei user 3

[Andreas_Prouza]

Ich habe dich schon richtig verstanden. Ich habe ja geschrieben, dass ich auf meinem PC auch für 2 verschiedene User auf der IBM i die Keys habe.
Das hat nichts damit zu tun was für einen User du am PC hast.

Am PC hast du den Private und Public Key für User 1 und das gleiche für User 2.
Vielleicht stimmen die Rechte & Owner für die Keys vom User 1 aber nicht für User 2.

Auf der IBM i musst du das gleiche mit den Home Verzeichnissen des jeweiligen Users prüfen.
Du hast zu beginn geschrieben, dass der Key-Austausch funktioniert.
Ich bin daher davon ausgegangen, dass du eine Key-Authentication verwendest.
Wenn allerdings die Datei "authorized_key" nicht da ist, frag ich mich wie du mit User 1 überhaupt eine Verbindung bekommen konntest. Oder verwendest du User/Passwort dafür?

Wie hast du die Keys erstellt und wo diese hinterlegt (Client & Server)?

[itec01]

Moin Andreas,
jetzt verstehe ich was du meinst. Ich nutze User / Password, keine Key's, nur der Key vom Host wird einmalig geladen.
Sorry für das Durcheinander.

Hier die debug Infos von Filezilla:
09:46:18??Trace:??Host key fingerprint is:
09:46:18??Trace:??ssh-ed25519 255 SHA256:qezq9VbvMmEwFgZA68RSoBLPJ/fnPn19PthNVitpiyY
09:46:18??Trace:??Initialised AES-256 GCM outbound encryption
09:46:18??Trace:??Initialised AES256 GCM outbound MAC algorithm (in ETM mode) (required by cipher)
09:46:18??Trace:??Initialised AES-256 GCM inbound encryption
09:46:18??Trace:??Initialised AES256 GCM inbound MAC algorithm (in ETM mode) (required by cipher)
09:46:18??Status:??Using username "spepgmrkv".
09:46:18??Trace:??Attempting keyboard-interactive authentication
09:46:18??Trace:??Server refused keyboard-interactive authentication
09:46:18??Befehl:??Pass: ***
09:46:18??Trace:??Sent password
09:46:18??Trace:??Password authentication failed
09:46:18??Status:??Access denied
09:46:18??Fehler:??Authentifizierung fehlgeschlagen.
09:46:18??Trace:??CControlSocket:oClose(1030)
09:46:18??Trace:??CControlSocket::ResetOperation(1 094)
09:46:18??Trace:??CSftpConnectOpData::Reset(1094) in state 3
09:46:18??Fehler:??Kritischer Fehler: Herstellen der Verbindung zum Server fehlgeschlagen
09:46:18??Trace:??CFileZillaEnginePrivate::ResetOp eration(1094)


Gruß Klaus

[Andreas_Prouza]

Dann ist das seltsam.
Sollte eigentlich nichts ausmachen, aber hast du im Passwort Sonderzeichen?
Du könntest auch probieren eine .profile Datei zu hinterlegen und Bash dem User zuzuordnen:
https://github.com/andreas-prouza/ib...s/pages/SSH.md

[Andreas_Prouza]

Für /Home/user passen auch die Rechte?

[Andreas_Prouza]

Probiere mal dich auf der IBM i direkt via QSH mit ssh user1@localhost einzuloggen.
Und dann probier mit dem User1 via QSH ins Homeverzeichnis zu gehen: QSH --> cd /home/user1
... um zu sehen, dass das funktioniert

[itec01]

das funktioniert, ich komme ins Verzeichnis und ls zeigt mir auch den Inhalt.

Bei der Anmeldung erscheint nur:

ssh spepgmrkv@localhost
spepgmrkv@localhost's password: tcgetattr: Invalid argument
-bash-4.4$

Jetzt geht auch mein user mit der AS/400 von Filezilla aus und auch von Visual Studio Code!

Hat ssh spegmrkv@localhost etwas bewirkt? Es wurde der Fingerprint ausgetauscht und der steht jetzt auch in der known_hosts Datei.

[itec01]

ja, es passt alles, perfekt.

[Andreas_Prouza]

Hat ssh spegmrkv@localhost etwas bewirkt? Es wurde der Fingerprint ausgetauscht und der steht jetzt auch in der known_hosts Datei.

Wenn du z.B. als IBM i User ITEC01 dich via ssh spepgmrkv@localhost an dem System anmeldest, wird der Fingerprint vom Server in die known_hosts vom ITEC01 auf der i geschrieben (/home/itec01/.ssh/known_hosts).
Wenn du das vom PC ausgehend machst, wird der Fingerprint ins .ssh/known_hosts von deinem PC-User geschrieben.
Da du schon Verbindungen mit anderen IBM i Usern am PC bereits durchführen konntest, wurde der Fingerprint bereits bei dir am PC in die known_hosts geschrieben.

Warum das jetzt plötzlich geht, nachdem du das ssh auf der IBM i mit localhost durchgeführt hast, ist mir etwas schleierhaft.

Freut mich jedoch dass es jetzt funktioniert!

[itec01]

Ja, ich verstehe es auch nicht so, wieso es dann funktioniert hat.
Aber, vielen herzlichen Dank für die Hilfe.