Назад | Перейти на главную страницу

Ошибка ssh PIV «sign_and_send_pubkey: ошибка подписи для RSA» Открытый ключ для цифровой подписи «: агент отказался от операции»

Мне недавно пришлось восстановить свой ноутбук. В процессе я переключился с Fedora31 на Kubuntu 20.04 LTS. В переключателе все прошло гладко, кроме одного. Там, где я работаю, мы используем двухфакторную аутентификацию для всех логинов и для этой цели используем ключ yubi. Я думал, что все настроено правильно, но всякий раз, когда я пытаюсь подключиться к серверу по ssh (и использую PIV), я получаю эту ошибку ...

Enter passphrase for PKCS#11:  Could not add card
"/usr/lib/x86_64-linux-gnu/libykcs11.so": agent refused operation

Теперь каждый раз, когда я перезагружаю систему и т. Д., Мне приходится заново добавлять карту как обычно. Это показывает, что он уже был правильно добавлен.

ssh-add -s /usr/lib/x86_64-linux-gnu/libykcs11.so 
Enter passphrase for PKCS#11: 
Card added: /usr/lib/x86_64-linux-gnu/libykcs11.so

Несмотря на это, он все еще выдает мне досадную ошибку. Теперь я МОГУ просто вручную ввести свой PW, нажать Yubi и войти в систему. Так что это не препятствие. Но мы должны иметь возможность просто пройти через это PIV, а это то, что не работает. Раздражает.

Думал, у меня все настроено правильно, но, кажется, нет. В старой сборке (до перестройки) я выполнил полный экспорт всех закрытых и открытых ключей и доверительных отношений. В новой системе я импортировал эти закрытые и открытые ключи, а также файл доверия. Я также скопировал свои конфиги ssh и т. Д.

После ТОННЫ поисков в Google я попробовал все средства, которые смог найти, включая проверку прав собственности и разрешений на сам файл сертификата. Насколько мне известно, это все правильно.

-r--------  1 REDACTED_USER REDACTED_USER  1537 Jan 20  2020 id_rsa-cert.pub

Если я сделаю «ssh-add -l», я действительно увижу там правильную подпись.

ssh-add -l
2048 SHA256:<<REDACTED>> Public key for Digital Signature (RSA)
2048 SHA256:<<REDACTED>> Public key for PIV Attestation (RSA)

Пока я отредактировал его здесь, я убедился, что значение sha256 для ключа действительно совпадает с рассматриваемыми серверами.

Итак, очевидно, что проблема заключается в пользовательской настройке моего ноутбука.

У кого-нибудь есть мысли о том, в чем может быть проблема?