SSH - Secure Shell für Windows

Mit dem hier beschriebenen SSH-Programm liegt ein für nichtkommerzielle Einrichtungen freier Windows-Client vor.

⇒ SSH Client Version 3.2.9 für Windows

Es handelt sich hierbei um eine Software, die in der vorliegenden kostenfreien Fassung nur zu nichtkommerziellen Zwecken eingesetzt werden darf.


Hinweis: der SSH Client bietet noch keine Unterstüztung für UTF-8 Character Kodierung, die inzwischen am weitesten verbreitet und z.B. in opensuse linux standardmässig verwendet wird. Wenn man das braucht, sollte man ein neueres Client-Programm verwenden (z.B. PuTTY; für eine aktuelle Liste von Clients, u.a. für Windows, siehe website der OpenSSH Initiative).

Sobald Sie die Software in einen Ordner Ihrer Wahl heruntergeladen haben, starten Sie die Installation durch Doppelklick auf das Programmsymbol:

Der Installations-Assistent bietet Ihnen im Komponentenfenster die getrennt installierbaren Programmteile an. Dabei sind die beiden ersten Komponenten voreingestellt.

Teil 3 und 4 betreffen das Zeilen-Kommando scp2, das in den meisten Fällen nicht interessiert. Falls Sie die Fassung für die Kommandozeile benötigen sollten, empfehle ich das Anhaken auch der vierten Auswahlbox, damit Sie von jedem Arbeitsverzeichnis aus das scp-Kommando absetzen können. Die Beschreibung zu SCP2 finden Sie im Anhang des Hilfesystems. Eine Nachinstallation ist jederzeit möglich (s. folgenden Abschnitt!).

Der Assistent bringt auf der Arbeitsoberfläche zwei Symbole unter, über die Sie direkt zum SSH2-Client (für den Dialogbetrieb) bzw. zum SSH2 File-Transfer-Client (mit Umweg über den Dialogbetrieb) kommen. Die Datenübertragung (File Transfer) setzt zwingend eine zuvor aufgebaute Dialogverbindung voraus.

Wenn Sie die Anzahl der installierten Komponenten ändern wollen, rufen Sie einfach das Installationsprogramm erneut auf. Es kann also sinnvoll sein, die heruntergeladene Datei nach der Installation aufzubewahren.

Sobald der Installationsassisten erkennt, dass das Produkt bereits installiert ist, wird Ihnen folgendes Fenster angeboten:

Sie haben nun die Möglichkeit, die bestehende Installation zu erweitern oder zu reduzieren (Modify), die letzte Installation zu wiederholen, wenn z.B. Dateien verloren gegangen sein sollten (Repair) oder das Produkt zu deinstallieren (Remove).

Ein typisches Beispiel für Modify ist das Nachinstallieren des Zeilen-Kommandos scp2, das vielleicht bei der Erstinstallation nicht ausgewählt war. Fügen Sie einfach in der Komponentenliste Markierungen ein oder entfernen Sie Markierungen. Die Zusammensetzung der installierten Komponenten ändert sich entsprechend.

Starten Sie den SSH Secure Shell Client durch Doppelklick auf das entsprechende Symbol auf der Arbeitsoberfläche. Es erscheint das folgende Fenster. Dort können Sie durch Anklicken des „Settings“-Symbols die Maske für die Verbindungseinstellungen aufrufen.

Beim Start des SSH2-Clientprogrammes wird automatisch immer der Standard-Parametersatz default geladen.

Die Liste der einstellbaren Parameter ist in zwei Gruppen eingeteilt:

• Profile Settings
  Sie enthalten die verbindungstypischen Werte und sind für jeden Zielrechner getrennt einstellbar.
• Global Settings
  Sie gelten, wie der Name schon andeutet, allgemein für den Betrieb des Programmes und für alle Zielrechner

Sobald Sie Änderungen in der Konfiguration einer Sitzung vorgenommen haben, die noch nicht gesichert wurden, erscheint ein Sternchen hinter dem Sitzungsnamen in der Titelleiste des Fensters (s. erstes Bild des Abschnittes Verbindungsaufbau!).

Zum Sichern der neuen Parameterwerte gehen Sie über das Menü File / Save as, wenn Sie einen neuen Verbindungs-Parametersatz erstellen wollen. Üblicherweise werden Sie diesen Parametersatz mit einem Namen versehen, der mit dem Zielrechner im Zusammenhang steht.

Wenn Sie einen bereits gesicherten Parametersatz abändern, sichern Sie einfach über das Diskettensymbol in der graphischen Menüleiste.

Dazu öffnen Sie in den Profileinstellungen den Abschnitt Authentication.

Löschen Sie die eingetragenen Methoden und fügen Sie als neue Methode Keyboard Interactive ein.

Vergessen Sie nicht, die Änderung zu speichern!

Zum Verbinden klicken Sie auf das Connect-Symbol.

Es erscheint eine kleine Maske, in der die Zieladresse und der Benutzername eingegeben werden können:

Sobald Sie auf Connect geklickt haben, wird der Dialog mit dem Zielrechner begonnen.

Falls Sie sich mit diesem Programm zum ersten Mal mit diesem Rechner verbinden lassen, werden Sie darauf aufmerksam gemacht, dass nun die Identifikation (public key) des Zielrechners zum PC übertragen wird. Akzeptieren Sie den öffentlichen Schlüssel mit JA, merkt sich Ihr PC diesen öffentlichen Schlüssel und die Frage tritt bei diesem Zielrechner nicht mehr auf. Bei NEIN werden Sie ebenfalls verbunden und beim nächsten Mal wieder gefragt.

Anschließend fragt Sie das Programm nach dem Passwort:

Damit ist das Dialogfenster für Ihre Eingaben bereit:

Vergessen Sie nicht, die Einstellungen für den Zielrechner unter einem selbstgewählten Namen abzuspeichern, damit Sie später die Verbindung einfach wieder herstellen können (siehe auch übernächstes Bild!).

Wenn Sie später mit demselben Zielrechner verbinden wollen, verwenden Sie das Symbol „Datei öffnen“ in der Menüzeile. Der Öffnen-Dialog zeigt Ihnen dann die bereits definierten Verbindungsdateien; sie haben alle die Endung .ssh2 .

Die Datenübertragung verwendet ein separates Fenster, das Sie über das Symbol für „File Transfer Window“ öffnen können (s. folgendes Bild).

Mit der bei Windows altbekannten Methode des „Ziehens von Dateisymbolen“ (Drag & Drop) können Sie dann bequem Dateien zwischen dem Zielrechner und dem PC hin- und her übertragen.
Im folgenden Bild wird als Beispiel das Kopieren (zu erkennen am + beim Mauszeiger) der Datei banner.gif vom lokalen zum entfernten Ordner gezeigt.

Je nach Voreinstellung am Zielsystem kann es noch erforderlich sein, die Zugriffsrechte im Dialogfenster zu ändern. Im folgenden Beispiel wurden beim Upload der Datei banner.gif die Leserechte für Eigentümer, Gruppe und die Welt gesetzt.

Das Programm verfügt über ein umfangreiches und professionell gestaltetes Hilfesystem, das Ihnen die Feinheiten des Programmes erklärt und mir hier ein ausführlicheres Dokument erspart.

Wenn Sie beabsichtigen, sich statt mit einem Passwort mit einem Public Key Verfahren zu authentifizieren, müssen Sie folgendermaßen vorgehen:

1. Erzeugen Sie ein Paar aus öffentlichem und privatem Schlüssel.
2. Transportieren Sie in einer passwort-authentifizierten Sitzung den öffentlichen Schlüssel zum Server.
3. Integrieren Sie den öffentlichen Schlüssel in den dortigen Schlüsselkatalog.

Dieses Verfahren ist allgemein gültig. Die exakte Form des öffentlichen Schlüssels und der Ort seiner Aufbewahrung beim Server hängt von den eingesetzten Client- und Server-Versionen ab.

SSH2 stellt seine öffentlichen Schlüssel standardmäßig im DSA-Format her:

---- BEGIN SSH2 PUBLIC KEY ----
Comment: "[1024-bit dsa, bush@bush4, Wed Jan 23 2002 09:10:03]"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---- END SSH2 PUBLIC KEY ---- 

Das vorgestellte Format entspricht nicht den Konventionen der innerhalb des Rechenzentrums verwendeten und auch in den meisten Universitäten verbreiteten OpenSSH-Software. Es ist also nötig, das Format der Schlüsseldatei vor dem Abspeichern zu ändern. Üblicherweise steht Ihnen dazu ein Systemkommando zur Verfügung.

Im folgenden Text werden nun die oben aufgeführten Schritte 1 bis 3 für Server mit OpenSSL beispielhaft vorgeführt.

Starten Sie zunächst die Einstellungen:

Dann wechseln Sie zum Abschnitt „User Keys“ und klicken auf die Schaltfläche „Generate New Keypair“:

Folgen Sie dem Wizard-Dialog!
Wählen Sie eine Schlüssellänge von mind. 1024 bit und geben Sie in einer der dann folgenden Eingabemasken einen Dateinamen für die Schlüssel an. Üblich ist z.B. der Name ident, den Ihnen das hier beschriebene Programm vorschlägt. Mit Hilfe dieses Namens werden dann zwei Schlüssel abgespeichert: Ein öffentlicher Schlüssel mit der Erweiterung .pub (z.B. ident.pub) und ein privater Schlüssel ohne Erweiterung (z.B. ident). Als Kommentar eignet sich die Internet-Adresse des PCs, auf dem der Schlüssel generiert wurde (z.B. sinngemäß meinpc.institut.uni-freiburg.de). Die Passphrase ist eine wichtige Sicherheitsmaßnahme. Damit wird der private Schlüssel auf dem PC seinerseits verschlüsselt, damit niemand ohne Kenntnis der Passphrase diesen Schlüssel entwenden und missbrauchen kann.

Übrigens: Je länger der Schlüssel ist, desto länger dauert auch die Herstellung. Sie müssen also je nach Schlüssellänge und Prozessorleistung Ihres PC unterschiedlich lange auf die Fertigstellung des Schlüssels warten.

Zuletzt wird Ihnen angeboten, den öffentlichen Schlüssel zum Server zu übertragen, sofern Sie bereits eine passwort-authentifizierte Verbindung zum Server eröffnet haben. Näheres dazu finden Sie im nächsten Absatz.

Sofern Sie also mit Hilfe von Benutzername und Kennwort eine Dialogverbindung zum Server eröffnet haben, können Sie mit dem Kommando bzw. der Schaltfläche „Upload Public Key…“ den soeben generierten öffentlichen Schlüssel zu Ihrem Server transferieren lassen.

Das Programm schlägt vor, dass es die Schlüsseldatei ident (akzeptieren Sie den Namen) in den Ordner .ssh2 (innerhalb Ihres Heimatverzeichnisses) ablegt. In der Datei authorization, die sich anschließend ebenfalls im Ordner .ssh2 befindet, steht der Verweis auf die Schlüsseldatei.

Wenn nun OpenSSH auf dem Server diese Konvention einhalten würde, wäre damit schon alle Arbeit erledigt. Das ist aber leider nicht der Fall.

Wenn Sie einen Server nutzen wollen, der nicht vom Rechenzentrum betrieben wird, sollten Sie sich an den Administrator des Servers wenden, um die Vorschriften für die Speicherung öffentlicher Schlüssel zu erfragen.

Wenn Sie wie oben beschrieben die Datei- und Ordnername akzeptiert haben, befinden sich im Ordner .ssh2 mindestens zwei Dateien (im folgenden Beispiel fett markiert):

drwxr-xr-x   2 webpw    webpw          93 Okt 21 11:35 ./
drwxr-xr-x   8 webpw    webpw         859 Okt 17 04:00 ../
-rw-r--r--   1 webpw    webpw          18 Okt 21 11:34 authorization
-rw-r--r--   1 webpw    webpw         715 Jan 28  2002 ident.pub

Die Datei ident.pub enthält nun den öffentlichen Schlüssel, der in der zu Beginn des Kapitels gezeigten Weise formatiert ist. Der Schlüssel muss nun für OpenSSH umgeformt werden.

Gehen wir von folgenden Voraussetzungen aus:

1. Sie haben sich am Server angemeldet und befinden sich in Ihrem Heimatverzeichnis.
2. Der Schlüssel ist beim Hochladen in das vorgeschlagene Verzeichnis .ssh2 übertragen worden (s. oben!)
3. In Ihrem Heimatverzeichnis befindet sich ein Unterverzeichnis namens .ssh . Falls nicht, legen Sie es mit mkdir .ssh an!

Nun geben Sie folgendes Kommando ein:

ssh-keygen -i -f .ssh2/ident.pub >>.ssh/authorized_keys

Damit ist die ganze Arbeit erledigt.

Falls wider Erwarten dieses Kommando vom System nicht zur Verfügung gestellt wird, wenden Sie sich bitte an den Administrator des Zielsystems.

Falls das ssh-keygen-Kommando erfolgreich abgelaufen ist, sollten Sie nun in den Einstellungen für die Verbindung das Public Key - Verfahren hinzufügen…

… und im Bedarfsfall in der Rangfolge ganz nach oben stellen:

Falls Sie danach keine Public Key - Authentifizierung durchführen können, wenden Sie sich an die Administration des Zielsystems und bitten Sie dort um Hilfe.