Bonjour,

il faudrait exporter les clefs ssh de HOST1 & HOST2 , comme ca , vous n'auriez plus ce genre de message

Cordialement



Le 8 juillet 2013 13:22, Alexandre <infos@opendoc.net> a écrit :
Bonjour à tous,

j'espère que ma demande n'est pas HS. Historiquement, j'ai une machine "SRV LAN" en .50 qui réalise des montages cifs sur un nas en .60 (cf schémas). Une vingtaine de machines se connectent en SSH sur "SRV LAN" pour travailler dans les montages cifs. Je suis conscient qu'il a déjà un problème d'architecture mais c'est historique.

Pour gagner en disponibilité, j'ai mis en place 2 machines "HOST 1" et "HOST 2" avec du heartbeat, la VIP .50 et les montages cifs. Cependant, je souhaiterai que cette migration soit complètement transparente pour mes serveurs (SRV 1, SRV 2 ...). Cependant si je réalise la bascule comme cela mais connections SSH depuis mes serveurs  seront en échec car le fichier "known_hosts" ne sera pas valide.

J'ai fait le test suivant :

première connexion sur l'IP .50 qui est sur le "HOST 1". j'ai un message d'erreur.

---
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
xx:xx:xx:....
---

Le message d'erreur est légitime, mais auriez-vous une solution pour corriger la problème ? Ai-je un problème architecture car si l'ip bascule sur le "HOST 2", je vais avoir le même problème. Il aussi la possibilité de ce connecter en ssh en ne prenant pas en compte les options de sécurité mais je souhaiterai éviter cette solution.

Merci d'avance.
Alexandre


           ---------
          | Schémas |
           ---------

Désolé des ces schémas ridicules, mais je pense qu'ils peuvent aider à la compréhension.


1. Architecture actuelle :
---------------------


192.168.5.0/24
 _____
|SRV 1|----|
| .10 |    |
           |
 _____     |
|SRV 2|----|
| .11 |    |          _______   lien dédié NAS   _______
           |---------|SRV LAN|------------------|SRV NAS|
 _____     |         | .50   |                  | .60   |
|SRV 3|----|
| .12 |    |
           |
 _____     |
|SRV 4|----|
| .13 |    .
           .
           .



2. Nouvelle architecture :
---------------------


192.168.5.0/24
 _____
|SRV 1|----|           ______
| .10 |    |          |HOST 1|
           |          | .51  |
 _____     |             |
|SRV 2|----|             |
| .11 |    |          ___|___   lien dédié NAS   _______
           |---------|VIP LAN|------------------|SRV NAS|
 _____     |         | .50   |                  | .60   |
|SRV 3|----|             |
| .12 |    |             |
           |             |
 _____     |           ______
|SRV 4|----|          |HOST 2|
| .13 |    .          | .52  |
           .
           .
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/