Any hints? Anybody using host key verification with SSH connections in Guacamole?
Komm.ONE Anstalt des öffentlichen Rechts René Schroth Operations & technisches Service Management Design & Transformation Telefon +49 711 8108 33569 Fax (zentral) +49 711 8108 40001 E-Mail [email protected] www.komm.one ________________________________ Komm.ONE [Komm.ONE] <https://www.komm.one> Anstalt des öffentlichen Rechts Krailenshaldenstraße 44, 70469 Stuttgart Telefon +49 711 8108 20, Fax (zentral) +49 711 8108 40001 Verwaltungsratsvorsitzender: Landrat Stefan Dallinger Vorstand: William Schmitt (Vorsitzender), Andreas Pelzner Vertragspartner für gewerbliche Kunden in Baden-Württemberg und alle Kunden außerhalb Baden-Württembergs ist die civillent GmbH, eine Tochtergesellschaft der Komm.ONE. civillent ist zur Nutzung der Marke Komm.ONE, eine Marke der Komm.ONE AöR, per Lizenz berechtigt. Von: [email protected] <[email protected]> Gesendet: Dienstag, 1. August 2023 17:52 An: [email protected] Betreff: Host key verification Achtung: Externer Absender! Öffnen Sie keine Links oder Anhänge, bevor Sie den Absender und Inhalt überprüft haben. Dear Guacamole Mailinglist! My environment: OS: Ubuntu 22.04.2 LTS Guacamole version: 1.5.2 Issue: The host key verification for SSH connections doesn’t work, if the remote host’s public server key is being provided in the connection configuration’s appropriate field ( Parameters > Network > Public host key (Base64) ). My assumption is, that I’m doing something wrong regarding the key’s format. Considerations: 1) From my knowledge, the key entries in the known_hosts file, generated by the initial ssh connection to a new host, are already in base64 format – so I don’t have to convert them into base64 prior to enter them into the „Host public key base64“ field in Guacamole’s GUI. Is that assumption correct? 2) I’m not sure, if I have to insert only the key, or if the whole line – i.e. including the hashed hostname, key type (e.g. ssh-ed25519), etc – has to be entered. Anyway it doesn’t work with one or the other variation. 3) Shouldn’t it be enough to enter one of the three keys – i.e. ed25519, rsa or ecdsa? 4) Do I have to mask the line feeds somehow? Or the lines between double quotes? Observations: 1) ‚ssh user@<remotehostIPaddress>‘ from the Guacamole server’s BASH --> OK 2) SSH connection by Guacamole without remote host’s public key (i.e. leaving the filed blank) --> OK 3) SSH connection by Guacamole with host key verification by GUACAMOLE_HOME/ssh_known_hosts file a. --> OK if the three known_hosts entries (i.e. ssh-ed25519, ssh-rsa and ecdsa-sha2-nistp256) gathered by step 1) are added to the ssh_known_hosts file. b. --> NOK if only one of the keys is being added to the ssh_known_hosts file. Error message in syslog: „Host key does not match known_hosts entry for <remoteHostIPaddress>“ and „Host key did not match any provided known host keys“ 4) SSH connection by Guacamole with any combination or variation of the three known_hosts entries in the GUI’s ‚Public host key (base64)‘ field --> NOK a. Entering the three complete lines (i.e. ssh-ed25519, ssh-rsa and ecdsa-sha2-nistp256) --> NOK. Error message: see 3)b. b. If I enter just one of the three keys – i.e. w/o hashed hostname, Key type, etc. – I get the error message: „Failed to parse known_hosts line“. c. If I enter one complete line (e.g. ed25519) --> NOK, error: see 3)b. Any hints highly appreciated! Komm.ONE Anstalt des öffentlichen Rechts René Schroth Operations & technisches Service Management Design & Transformation Telefon +49 711 8108 33569 Fax (zentral) +49 711 8108 40001 E-Mail [email protected]<mailto:[email protected]> www.komm.one<http://www.komm.one> ________________________________ Komm.ONE [Komm.ONE]<https://www.komm.one> Anstalt des öffentlichen Rechts Krailenshaldenstraße 44, 70469 Stuttgart Telefon +49 711 8108 20, Fax (zentral) +49 711 8108 40001 Verwaltungsratsvorsitzender: Landrat Stefan Dallinger Vorstand: William Schmitt (Vorsitzender), Andreas Pelzner Vertragspartner für gewerbliche Kunden in Baden-Württemberg und alle Kunden außerhalb Baden-Württembergs ist die civillent GmbH, eine Tochtergesellschaft der Komm.ONE. civillent ist zur Nutzung der Marke Komm.ONE, eine Marke der Komm.ONE AöR, per Lizenz berechtigt.
