De aanmeldingspoging bij een ESXi-server resulteert in de foutmelding No supported authentication methods available (server sent: publickey)"

SSH-aanmeldingspoging bij een ESXi-server resulteert in de onderstaande foutmelding "No supported authentication methods available (server sent: publickey)":

Wanneer u zich probeert aan te melden vanaf een andere ESXi-server, wordt de volgende fout weergegeven:

De server weigert de SSH-sessie omdat de parameter "challengeresponseauthentication" in het sshd_config-bestand is ingesteld op "no" en de servers niet correct zijn geconfigureerd voor asymmetrische authenticatie (RSA Public en Private Key authentication).
Als gevolg hiervan resulteert de poging om verbinding te maken met de server met behulp van Putty in de foutmelding "No supported authentication methods available (server sent: publickey).

Een soortgelijk gedrag wordt waargenomen wanneer de gebruiker probeert een SSH-verbinding tot stand te brengen vanaf een andere ESXi-host. In dit geval krijgt de gebruiker de foutmelding "Load key '/.ssh/id_rsa': error in libcrypto" maar wordt hij niet gevraagd om het wachtwoord in te voeren en mislukt de verbinding.

Als de servers niet correct zijn geconfigureerd voor asymmetrische authenticatie, maar de parameter 'ChallengeResponseAuthentication' is ingesteld op 'yes', ontvangt de gebruiker een foutmelding, maar wordt de gebruiker gevraagd het wachtwoord in te voeren. Na het correct invoeren van het wachtwoord is de verbinding tot stand gebracht.

Maak verbinding met de console van de doelserver met behulp van de DCUI en wijzig vervolgens de challengeresponseauthenticationin yes in het configuratiebestand /etc/ssh/sshd_config.

ChallengeResponseAuthentication
Met de instelling ChallengeResponseAuthentication geeft u aan of challenge-response-authenticatie is toegestaan voor SSH-verbindingen. Als deze optie is ingeschakeld, vereist de SSH-server dat clients reageren op een uitdaging voordat ze zich kunnen verifiëren. Het is standaard ingeschakeld in sommige SSH-serverimplementaties, maar het kan om veiligheidsredenen worden uitgeschakeld op sommige systemen, zoals in Red Hat, zoals beschreven in artikel 336773 over Red Hat.

ChallengeResponseAuthentication is een verouderde alias voor KbdInteractiveAuthentication. Referentie: OpenSSH: Releaseopmerkingen

Meer details:

• De combinatie van het instellen van challengeresponseauthentication en passwordauthentication levert een iets andere prompt op:

  ChallengeResponseAuthentication ingesteld op Nee en PasswordAuthentication ingesteld op Ja:
  

  challengeresponseauthentication ingesteld op nee en passwordauthentication ingesteld op yes OR beide ingesteld op yes:
  

Meer stappen voor probleemoplossing:

• Gebruik vanaf de clientzijde de optie -v in het ssh-commando om foutopsporingsberichten over de voortgang van ssh af te drukken. Meerdere -v-opties verhogen de breedsprakigheid (het maximum is 3):
  

  …
  

• Verhoog op de doelserver het breedheidsniveau van de instelling LogLevel om meer details op te halen over de mislukte SSH-sessiepoging:

  LogLevel
  Geeft het breedsprakigheidsniveau weer dat wordt gebruikt bij het loggen van berichten van sshd(8). De mogelijke waarden zijn: STIL, FATAAL, FOUT, INFO, UITGEBREID, FOUTOPSPORING, DEBUG1, DEBUG2 en DEBUG3 De standaardinstelling is INFO. DEBUG en DEBUG1 zijn gelijkwaardig. DEBUG2 en DEBUG3 specificeren elk hogere niveaus van foutopsporingsuitvoer. Logboekregistratie met een DEBUG-niveau schendt de privacy van gebruikers en wordt niet aanbevolen.

• Controleer de /var/run/log/auth.log op de doelserver voor meer informatie over de fout.