SSH-AGENT(1)                General Commands Manual               SSH-AGENT(1)

BEZEICHNUNG
     ssh-agent - OpenSSH-Authentifizierungsvermittler

UBERSICHT
     ssh-agent [-c | -s] [-Dd] [-a Bindungsadresse] [-E Fingerabdruck-Hash]
     [-P erlaubte_Anbieter] [-t Lebensdauer] ssh-agent [-a Bindungsadresse]
     [-E Fingerabdruck-Hash] [-O Option] [-P erlaubte_Anbieter] [-t
     Lebensdauer] Befehl [Arg <?>] ssh-agent [-c | -s] -k

BESCHREIBUNG
     ssh-agent ist ein Programm zum Halten privater Schlussel, die fur
     asymmetrische Authentifizierung verwandt werden. Mittels
     Umgebungsvariablen kann der Vermittler gefunden und automatisch zur
     Authentifizierung verwandt werden, wenn mittels ssh(1) eine Anmeldung auf
     anderen Maschinen erfolgt.

     Folgende Optionen stehen zur Verfugung:

     -a Bindungsadresse
             Bindet den Vermittler an das UNIX-domain -Socket Bindungsadresse.
             Die Vorgabe ist $TMPDIR/ssh-XXXXXXXXXX/agent.<PPID>.

     -c      Erstellt C-Shell-Befehle auf die Standardausgabe.  Dies ist die
             Vorgabe, falls SHELL so aussieht, dass es eine Csh-artige Shell
             ist.

     -D      Vordergrundmodus. Ist diese Option angegeben, wird ssh-agent kein
             >>fork<< durchfuhren.

     -d      Fehlersuchmodus. Ist diese Option angegeben, wird ssh-agent kein
             >>fork<< durchfuhren und Fehlersuchinformationen auf die
             Standardfehlerausgabe schreiben.

     -E Fingerabdruck-Hash
             Gibt den bei der Anzeige von Schlussel-Fingerabdrucken zu
             verwendenden Hash-Algorithmus an. Gultige Optionen sind >>md5<<
             und >>sha256<<. Die Vorgabe ist >>sha256<<.

     -k      Totet den derzeitigen Vermittler (angegeben in der
             Umgebungsvariablen SSH_AGENT_PID).

     -O Option
             Gibt beim Start von ssh-agent eine Option an. Derzeit werden zwei
             Optionen unterstutzt: allow-remote-pkcs11 und
             no-restrict-websafe.

             Die Option allow-remote-pkcs11 erlaubt es Clients eines
             weitergeleiteten ssh-agent, PKCS#11- oder FIDO-
             Bereitstellungsbibliotheken zu laden. Standardmassig durfen nur
             lokale Clients diese Aktion durchfuhren. Beachten Sie, dass die
             Anzeige, dass ein ssh-agent -Client in der Ferne ist, durch
             ssh(1) erfolgt und andere Werkzeuge zur Weiterleitung des
             Zugriffs auf den Vermittler-Socket diese Beschrankung umgehen
             konnten.

             Die Option no-restrict-websafe weist ssh-agent an, Signaturen
             mittels FIDO-Schlusseln zu erlauben, die Web-
             Authentifizierungsanfragen sein konnten. Standardmassig
             verweigert ssh-agent Signaturanfragen fur FIDO-Schlussel, bei
             denen die Schlusselanwendungszeichenkette nicht mit >>ssh:<<
             beginnt und wenn die zu signierenden Daten nicht eine ssh(1)
             -Benutzerauthentifizierungsanfrage oder eine ssh-keygen(1)
             -Signatur zu sein scheinen. Das Standardverhalten verhindert
             weitergeleiteten Zugriff auf einen FIDO-Schlussel auch durch
             implizites Weiterleiten der Fahigkeit, sich beim Webauftritten zu
             authentifizieren.

     -P erlaubte_Anbieter
             Gibt eine Musterliste von akzeptierbaren Pfaden fur
             PKCS#11-Anbieter- und dynamischen FIDO-Authentifikator-
             Mittelschicht-Bibliotheken an, die mit der Option -S oder -s von
             ssh-add(1) verwandt werden durfen. Bibliotheken, die nicht auf
             die Musterliste passen, werden abgelehnt. Siehe MUSTER in
             ssh_config(5) fur eine Beschreibung der Musterlisten-Syntax. Die
             Standard-Musterliste ist >>usr/lib*/*,/usr/local/lib/*<<.

     -s      Erstellt Bourne-Shell-Befehle auf die Standardausgabe.  Dies ist
             die Vorgabe, falls SHELL nicht nach einer Csh-artigen Shell
             aussieht.

     -t Lebensdauer
             Setzt einen Vorgabewert fur die maximale Lebensdauer von in dem
             Vermittler hinzugefugten Identitaten fest. Die Lebensdauer kann
             in Sekunden oder in einem in sshd_config(5) spezifizierten
             Dateiformat angegeben werden. Eine fur eine Identitat mit
             ssh-add(1) angegebene Lebensdauer setzt diesen Wert ausser Kraft.
             Ohne diese Option ist die maximale Lebensdauer standardmassig
             >>fur immer<<.

     Befehl [Arg <?>]
             Wenn ein Befehl (und optionale Argumente) ubergeben werden, wird
             dieser als Unterprozess des Vermittlers ausgefuhrt. Der
             Vermittler beendet sich automatisch, wenn der auf der
             Befehlszeile ubergebene Befehl sich beendet.

     Es gibt zwei grundsatzliche Arten, den Vermittler einzurichten. Die erste
     ist beim Start der X-Sitzung, wobei alle anderen Fenster und Programme
     als Kind des Programms ssh-agent gestartet werden. Der Vermittler startet
     einen Befehl, unter dem seine Umgebungsvariablen exportiert werden,
     beispielsweise ssh-agent xterm &.  Wenn sich der Befehl beendet, beendet
     sich auch der Vermittler.

     Die zweite Methode wird fur Anmeldesitzungen verwandt. Wenn ssh-agent
     gestartet wird, gibt es die Shell-Befehle aus, die benotigt werden, um
     seine Umgebungsvariablen zu setzen, die wieder in der aufrufenden Shell
     ausgewertet werden konnen. Beispiel: eval `ssh-agent -s`.

     In beiden Fallen schaut sich ssh(1) diese Umgebungsvariablen an und
     verwendet sie, um eine Verbindung zum Vermittler aufzubauen.

     Der Vermittler hat anfanglich keine privaten Schlussel. Schlussel werden
     mittels ssh-add(1) oder durch ssh(1), wenn AddKeysToAgent in
     ssh_config(5) gesetzt ist, hinzugefugt. In ssh-agent konnen mehrere
     Identitaten gleichzeitig gespeichert werden und ssh(1) wird diese
     automatisch verwenden, falls vorhanden. Mittels ssh-add(1) werden auch
     Schlussel aus ssh-agent entfernt und darin befindliche Schlussel
     abgefragt.

     Verbindungen zu ssh-agent konnen von weiteren fernen Rechnern mittels der
     Option -A von ssh(1) weitergeleitet werden (lesen Sie aber die dort
     dokumentierten Warnungen), wodurch die Notwendigkeit des Speicherns von
     Authentifizierungsdaten auf anderen Maschinen vermieden wird.
     Authentifizierungs-Passphrasen und private Schlussel werden niemals uber
     das Netz ubertragen: die Verbindung zu dem Vermittler wird uber ferne
     SSH-Verbindungen weitergeleitet und das Ergebnis wird dem Anfragenden
     zuruckgeliefert, wodurch der Benutzer uberall im Netzwerk auf sichere Art
     Zugriff auf seine Identitaten hat.

UMGEBUNGSVARIABLEN
     SSH_AGENT_PID  Wenn ssh-agent startet, speichert es den Namen der
                    Prozesskennung (PID) des Vermittlers in dieser Variablen.

     SSH_AUTH_SOCK  Wenn ssh-agent startet, erstellt es einen UNIX-domain
                    -Socket und speichert seinen Pfadnamen in dieser
                    Variablen. Darauf kann nur der aktuelle Benutzer
                    zugreifen, aber dies kann leicht von root oder einer
                    anderen Instanz des gleichen Benutzers missbraucht werden.

DATEIEN
     $TMPDIR/ssh-XXXXXXXXXX/agent.<ppid>
             Die UNIX-domain -Sockets, die die Verbindung zum
             Authentifizierungsvermittler enthalten. Diese Sockets sollten nur
             durch den Eigentumer lesbar sein. Die Sockets sollten automatisch
             entfernt werden, wenn sich der Vermittler beendet.

SIEHE AUCH
     ssh(1), ssh-add(1), ssh-keygen(1), ssh_config(5), sshd(8)

AUTOREN
     OpenSSH ist eine Ableitung der ursprunglichen und freien
     SSH-1.2.12-Veroffentlichung durch Tatu Ylonen.  Aaron Campbell, Bob Beck,
     Markus Friedl, Niels Provos, Theo de Raadt und Dug Song entfernten viele
     Fehler, fugten neue Funktionalitaten wieder hinzu und erstellten OpenSSH.
     Markus Friedl steuerte die Unterstutzung fur SSH-Protokollversion 1.5 und
     2.0 bei.

UBERSETZUNG
     Die deutsche Ubersetzung dieser Handbuchseite wurde von Helge Kreutzmann
     <debian@helgefjell.de> erstellt.

     Diese Ubersetzung ist Freie Dokumentation; lesen Sie die GNU General
     Public License Version 3: https://www.gnu.org/licenses/gpl-3.0.html oder
     neuer bezuglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG
     ubernommen.

     Wenn Sie Fehler in der Ubersetzung dieser Handbuchseite finden, schicken
     Sie bitte eine E-Mail an die Mailingliste der Ubersetzer:
     debian-l10n-german@lists.debian.org

Linux 6.8.2-arch2-1      $Mdocdate: 10. August 2023 $      Linux 6.8.2-arch2-1