SFTP con password (no SSH key authentication) (IT)

Generalmente quando si utilizza SFTP si preferisce impostare la connessione tra client e server con le public key … in modo che i due sistemi risultino “trusted” e la connessione SFTP (o SSH, rsync, scp ecc) non richiedano utente e password.

Una comunicazione “trusted” con SSH e SFTP può essere configurata su IBM i seguendo le spiegazioni che trovate ai seguenti link:

• IBM System Magazine “SFTP Tips”
• IBM Support “Configuring the IBM i SSH, SFTP, and SCP Clients to Use Public-Key Authentication“

Potremmo trovarci anche nella condizione di non poter condividere le chiavi pubbliche tra client e server … in questo caso l’autenticazione avviene tramite utente e password come un normale FTP… se il processo è interattivo nessun problema ma se il processo e batch dobbiamo fare qualcosa di differente rispetto a FTP e la password, che va comunque scritta in chiaro in un file di testo!, non può essere messa nello script batch insieme agli altri comandi come facciamo con FTP.

Possiamo percorrere strade differenti: vediamone due qui di seguito dove cerchiamo di scaricare un documento PDF dal server SFTP pubblico dimostrativo di Wing FTP Server … un server SFTP che risponde all’indirizzo ” demo.wftpserver.com” sulla porta “2222” con utente “demo-user” e password “demo-user”:

A – Utilizzare un “Password shell script”

In questo caso, come spiegato in dettaglio nel documento IBM Support “Batch SFTP Download Example Using Password Authentication“, il metodo prevede un file shell script con la password che viene passata a SFTP (SSH) tramite la funzione SSH_ASKPASS. Attenzione… per testare questo metodo è importante creare il CL ed eseguirlo in batch perchè SSH_ASKPASS non funziona da modalità “terminal”.

B – Utilizzare il tool “expect” in ambiente PASE

Expect è un tool che permette di automatizzare processi interattivi come ftp, sftp, telnet… nel nostro caso installando expect e creando un piccolo script per la gestione del processo sftp possiamo permetterci di creare un processo batch che si connette con SFTP, invia la password (che deve però essere scritta in chiaro nello script!) ed esegue i comandi SFTP come un normale script-file di FTP:

• Installare “expect” sul PASE IBM i come spiegato in questo sito di Scott Klement: http://www.scottklement.com/expect/
• Preparare uno script come quello indicato qui sotto (esempio con demo.wftpserver.com)
• Eseguire lo script da PASE con “/usr/local/bin/expect -f /home/FAQ400/sftp_demo_expect.scp”

# Script per eseguire SFTP verso demo.wfpserver.com passando utente e password (in chiaro!) e seguire i passi per il download di un file.
#
# Eseguire questo script con:
# /usr/local/bin/expect -f /home/DEPE/sftp_demo_expect.scp
#
 set HOST "demo.wftpserver.com"
 set PORT "2222"
 set USER "demo-user"
 set PASSWORD "demo-user"
 spawn sftp -P $PORT $USER@$HOST
 expect "password:"
 send "$PASSWORD\r"
 expect "sftp>"
 send "lcd /home/FAQ400\r"
 expect "sftp>"
 send "cd download\r"
 expect "sftp>"
 send "get manual_en.pdf\r"
 expect "sftp>"
 send "Quit\r"
 exit 0

Riflessioni

Per SSH e SFTP è sempre preferibile utilizzare il metodo SSH Key Authentication rispetto a utente-password: purtroppo non sempre è possibile “scambiarsi” le chiavi tra client-e-server… in questo caso il metodo sopra descritto può essere d’aiuto!

Potrebbe capitare però di trovarsi nella situazione dove il server non accetta di ricevere la chiave pubblica del client ma di scambiarsi utente e password ogni volta