J'ai un petit probleme : je voudrais rapatrier des fichiers en passant par SSH via mon appli web. J'ai donc creé un user special (www) qui ne possede que des droits limités pour SSH (copie de certains fichiers seulement). Je lance donc mon serveur Apache (user : www) et je lance mon agent SSH (pour que www n'ait pas besoin de taper sa passphrase). Voici ce que j'ai dans le log quand j'essaye d'utiliser SCP a partir de mon appli :  
 
Could not open a connection to your authentication agent.
You have no controlling tty. Cannot read passphrase.
 
Une idée ? (je comprends le pb mais je vois pas comment le regler)
 
hihi
 
EDIT : petites precisions.

Tu les rapatries d'où, tes fichiers ? Depuis un réseau local situé derrière ton apache ?

 
 
Non. Apache est installé sur un serveur qui n'appartient pas au meme reseau que celui sur lequel est le serveur de fichiers.
 
hihi

 
 
Pourquoi cette question au fait ?
 
hihi

tu peux réexpliquer ce que tu cherches a faire, pas tout compris là

Ok.  
 
J'ai une appli web. Cette appli permet de modifier des fichiers via une interface graphique. Je modifie ces fichiers en local mais je dois d'abord les recuperer sur des serveurs (puis ensuite les remettre en place). Pour recuperer les fichiers sur ces serveurs j'utilise SCP (Secure CoPy). L'acces au site est bien entendu controlé et seulement les personnes qui possedent un login/pass valide peuvent acceder a l'appli (utilisation des htpasswd pour ça). Le truc c'est que c'est ingerable de creer des centaines de nouveaux utilisateurs SSH. La solution consiste donc a creer un seul utilisateur SSH, ce meme utilisateur etant celui utilisé par Apache, avec des droits limités pour eviter les pb en cas de crackage de l'appli (ce user SSH pourra seulement copier les fichiers du serveur web vers le serveur de fichiers). Pour que SCP fonctionne il faut lui fournir la passphrase, c'est donc pour cela que je veux lancer un agent SSH en meme temps que le serveur web.
 
C'est plus clair ?
 
hihi  

impulse a écrit a écrit : Ok.     J'ai une appli web. Cette appli permet de modifier des fichiers via une interface graphique. Je modifie ces fichiers en local mais je dois d'abord les recuperer sur des serveurs (puis ensuite les remettre en place). Pour recuperer les fichiers sur ces serveurs j'utilise SCP (Secure CoPy). L'acces au site est bien entendu controlé et seulement les personnes qui possedent un login/pass valide peuvent acceder a l'appli (utilisation des htpasswd pour ça). Le truc c'est que c'est ingerable de creer des centaines de nouveaux utilisateurs SSH. La solution consiste donc a creer un seul utilisateur SSH, ce meme utilisateur etant celui utilisé par Apache, avec des droits limités pour eviter les pb en cas de crackage de l'appli (ce user SSH pourra seulement copier les fichiers du serveur web vers le serveur de fichiers). Pour que SCP fonctionne il faut lui fournir la passphrase, c'est donc pour cela que je veux lancer un agent SSH en meme temps que le serveur web.   C'est plus clair ?   hihi

 
c'est mieux : je comprends pas le passage qui met en relation ton ssh et ton apache (pour la gestion des compte user) ?

 

 
Ah ouais. T'as raison. J'ai tout melangé dans mon explication. Pas besoin que le user apache et SSH soit le meme. Dans mon cas ce sera le meme user mais c'est pas obligé.
 
Une idée sinon pour mon pb ?
 
hihi

up.
 
hihi

Le problème c'est qu'apparemment SSH a absolument besoin d'un TTY.
Alors je sais pas, essaie d'exécuter un shell qui exécute ton scp plutôt que d'exécuter ton scp directement, mais je doute que ça fonctionne.
 
Sinon, le plus simple serait d'abandonner scp et de plutôt te pencher vers une ACL sur ton routeur distant qui autoriserait les connexions de ton apache vers la machine qu'il veut taper.
 
Non, là, j'ai pas plus d'idées

 
Nope. Je ne peux utiliser que SSH/SCP. Seule solution envisageable dans mon cas (je suis en stage, je ne peux pas faire ce que je veux niveau securité... mon boss non plus d'ailleurs).  
 
 

 
 
J'ai aussi essayé d'utiliser scp en batch mode (-B) pour qu'il ne demande pas le pass mais je ne pense pas que ce soit la bonne solution (pis ça passe pas non plus de toute façon).
 
Je trouverai bien la solution...
 
hihi

Mais rassure-moi, t'as bien copié les keys kivonbien sur tes serveurs quand même ?

Quand tu dis que tu n'as pas le choix pour SSH, ça veut dire que tu n'as pas l'admin du firewall distant ? Ou que tu n'as pas l'admin de la machine et seulement un accès SSH ?

 
 

 
SCP marche tres bien quand je tape les commandes ds la console ou que j'utilise un script quand j'ai lancé mon agent. Le probleme intervient quand j'essaye d'utiliser SCP avec mon appli web car je n'ai pas de console a ce moment la...
 
 

 
On m'a dit : "Si tu veux te connecter a ce serveur tu dois utiliser SSH/SCP. Point.". Alors moi j'ai dit : "Ok monsieur le responsable de la securité HP Germany". J'ai pas vraiment le choix en fait...  
 
hihi

Ok mais quand t'es en console, il te demande de valider quoi que ce soit ? D'entrer un mot de passe, qqchose ?

Mouais, encore un barbu ça

 
Ben ça depend : avec l'agent y'a pas besoin (heureusement, c'est fait pour ) et quand mon agent est pas lancé je dois entrer ma passphrase. Normal, quoi. Je pensais que si l'agent tournait c'etait bon mais en fait il lui faut un terminal quand meme...
 
 

 
 
Gagné. C'est le metier qui veut ça...
 
hihi

Qu'est-ce que t'appelles l'agent ? jamais entendu parler de ça.

 
 
man ssh-agent
 
hihi

Jamais utilisé ce truc  

 
 
C'est bien pratique pourtant.
Par contre il a besoin d'un term ssh-agent pour donner la passphrase a SSH, c'est la qu'est mon pb...
 
hihi

C'est pas le rôle de ssh-askpass-gnome ?

 
 
Euh... peut etre. Mais la je suis sous HP-UX avec CDE...
En fait l'agent fonctionne comme ça :  
 
- tu lances l'agent (il te demande ta passphrase SSH)
- quand un programme (SSH) demande ta passphrase l'agent la donne a ta place
 
=> comme ça y'a pas besoin de s'emmerder a taper sa passphrase de 2 kms a chaque fois que tu te sers de SSH.
 
hihi  
 

=> Donc c'est bien à ça que sert ssh-askpass-gnome.

 
Ah ? Cool.
Et pour mon pb ?
 
hihi

Ah tiens, oui.
 
Bah tu ne mets pas de passphrase à l'utilisateur www.
De toute façon, si tu lui en mets une, il faudra l'écrire en dur quelque part, donc ça lui enlève tout intérêt.

 
Ben l'agent sert a ça... si il existe cet agent c'est pas pour rien. Il t'evite d'avoir a taper ta passphrase a chaque fois mais ça veut pas dire que t'as pas de passphrase.  
Ce n'est pas vraiment envisageable ds mon cas de ne pas mettre de passphrase (meme pour un compte limité de ce type). Le barbu va me faire chier si je lui dit ça...
 
hihi

Pour ceux que ça pourrait interesser : mon pb etait lié au fait que j'ai plusieurs agents qui tournent sur mon serveur et ma clé etait ajoutée ds le mauvais.
 
Il faut donc exporter la variable SSH_AUTH_SOCK avant de faire un ssh-add /home/www/.ssh/identity et ensuite faire un autre export SSH_AUTH_SOCK dans le script qui est executé sur le serveur web pour que le "bon" agent soit utilisé.
 
^_^