SFTP connect zur AS/400 - access denied

[itec01]

Hallo Andreas, vlt. habe ich mich etwas undeutlich ausgedrückt. Den Benutzer auf der IBMi gibt es auf meinem Rechner nicht. Da ist ein reiner IBMi User.

Beispiel:
Ich bin mit User 1 in Windows angemeldet und mache einen SFTP connect zur IBMi mit user 2 und 3. User 2 klappt, User 3 nicht.
Im Verzeichnis /home/{user}/.ssh gibt es nur die known_hosts Datei, sowohl bei user 2 als auch bei user 3

[Andreas_Prouza]

Ich habe dich schon richtig verstanden. Ich habe ja geschrieben, dass ich auf meinem PC auch für 2 verschiedene User auf der IBM i die Keys habe.
Das hat nichts damit zu tun was für einen User du am PC hast.

Am PC hast du den Private und Public Key für User 1 und das gleiche für User 2.
Vielleicht stimmen die Rechte & Owner für die Keys vom User 1 aber nicht für User 2.

Auf der IBM i musst du das gleiche mit den Home Verzeichnissen des jeweiligen Users prüfen.
Du hast zu beginn geschrieben, dass der Key-Austausch funktioniert.
Ich bin daher davon ausgegangen, dass du eine Key-Authentication verwendest.
Wenn allerdings die Datei "authorized_key" nicht da ist, frag ich mich wie du mit User 1 überhaupt eine Verbindung bekommen konntest. Oder verwendest du User/Passwort dafür?

Wie hast du die Keys erstellt und wo diese hinterlegt (Client & Server)?

[itec01]

Moin Andreas,
jetzt verstehe ich was du meinst. Ich nutze User / Password, keine Key's, nur der Key vom Host wird einmalig geladen.
Sorry für das Durcheinander.

Hier die debug Infos von Filezilla:
09:46:18??Trace:??Host key fingerprint is:
09:46:18??Trace:??ssh-ed25519 255 SHA256:qezq9VbvMmEwFgZA68RSoBLPJ/fnPn19PthNVitpiyY
09:46:18??Trace:??Initialised AES-256 GCM outbound encryption
09:46:18??Trace:??Initialised AES256 GCM outbound MAC algorithm (in ETM mode) (required by cipher)
09:46:18??Trace:??Initialised AES-256 GCM inbound encryption
09:46:18??Trace:??Initialised AES256 GCM inbound MAC algorithm (in ETM mode) (required by cipher)
09:46:18??Status:??Using username "spepgmrkv".
09:46:18??Trace:??Attempting keyboard-interactive authentication
09:46:18??Trace:??Server refused keyboard-interactive authentication
09:46:18??Befehl:??Pass: ***
09:46:18??Trace:??Sent password
09:46:18??Trace:??Password authentication failed
09:46:18??Status:??Access denied
09:46:18??Fehler:??Authentifizierung fehlgeschlagen.
09:46:18??Trace:??CControlSocket:oClose(1030)
09:46:18??Trace:??CControlSocket::ResetOperation(1 094)
09:46:18??Trace:??CSftpConnectOpData::Reset(1094) in state 3
09:46:18??Fehler:??Kritischer Fehler: Herstellen der Verbindung zum Server fehlgeschlagen
09:46:18??Trace:??CFileZillaEnginePrivate::ResetOp eration(1094)


Gruß Klaus

[Andreas_Prouza]

Dann ist das seltsam.
Sollte eigentlich nichts ausmachen, aber hast du im Passwort Sonderzeichen?
Du könntest auch probieren eine .profile Datei zu hinterlegen und Bash dem User zuzuordnen:
https://github.com/andreas-prouza/ib...s/pages/SSH.md

[Andreas_Prouza]

Für /Home/user passen auch die Rechte?

[Andreas_Prouza]

Probiere mal dich auf der IBM i direkt via QSH mit ssh user1@localhost einzuloggen.
Und dann probier mit dem User1 via QSH ins Homeverzeichnis zu gehen: QSH --> cd /home/user1
... um zu sehen, dass das funktioniert

[itec01]

das funktioniert, ich komme ins Verzeichnis und ls zeigt mir auch den Inhalt.

Bei der Anmeldung erscheint nur:

ssh spepgmrkv@localhost
spepgmrkv@localhost's password: tcgetattr: Invalid argument
-bash-4.4$

Jetzt geht auch mein user mit der AS/400 von Filezilla aus und auch von Visual Studio Code!

Hat ssh spegmrkv@localhost etwas bewirkt? Es wurde der Fingerprint ausgetauscht und der steht jetzt auch in der known_hosts Datei.

[itec01]

ja, es passt alles, perfekt.

[Andreas_Prouza]

Hat ssh spegmrkv@localhost etwas bewirkt? Es wurde der Fingerprint ausgetauscht und der steht jetzt auch in der known_hosts Datei.

Wenn du z.B. als IBM i User ITEC01 dich via ssh spepgmrkv@localhost an dem System anmeldest, wird der Fingerprint vom Server in die known_hosts vom ITEC01 auf der i geschrieben (/home/itec01/.ssh/known_hosts).
Wenn du das vom PC ausgehend machst, wird der Fingerprint ins .ssh/known_hosts von deinem PC-User geschrieben.
Da du schon Verbindungen mit anderen IBM i Usern am PC bereits durchführen konntest, wurde der Fingerprint bereits bei dir am PC in die known_hosts geschrieben.

Warum das jetzt plötzlich geht, nachdem du das ssh auf der IBM i mit localhost durchgeführt hast, ist mir etwas schleierhaft.

Freut mich jedoch dass es jetzt funktioniert!

[itec01]

Ja, ich verstehe es auch nicht so, wieso es dann funktioniert hat.
Aber, vielen herzlichen Dank für die Hilfe.