Provided by: manpages-de_4.21.0-2_all 
BEZEICHNUNG
ssh-add — Fügt Identitäten aus privaten Schlüsseln zum OpenSSH-Authentifizierungsvermittler hinzu
ÜBERSICHT
ssh-add [-cDdKkLlqvXx] [-E Fingerabdruck-Hash] [-H Rechnerschlüsseldatei] [-h Zielbeschränkung] [-S
Anbieter] [-t Lebensdauer] [file ...] ssh-add -s pkcs11 ssh-add -e pkcs11 ssh-add -T
öffentlicher_Schlüssel …
BESCHREIBUNG
fügt private Schlüsselidentitäten zu dem Authentifizierungsvermittler ssh-agent(1) hinzu. Wird es ohne
Argumente ausgeführt, fügt es die Dateien ~/.ssh/id_rsa, ~/.ssh/id_ecdsa, ~/.ssh/id_ecdsa_sk,
~/.ssh/id_ed25519, ~/.ssh/id_ed25519_sk und ~/.ssh/id_dsa hinzu. Nach dem Laden des privaten Schlüssels
wird versuchen, die entsprechenden Zertifikatsinformationen zu erlangen, wobei die Dateinamen gebildet
werden, indem -cert.pub an die Namen der privaten Schlüsseldateien angehängt wird. Alternativ können
Dateinamen auf der Befehlszeile angegeben werden.
Falls eine Datei eine Passphrase benötigt, fragt den Benutzer nach der Passphrase. Die Passphrase wird
vom TTY des Benutzers eingelesen. versucht die letzte Passphrase erneut zu verwenden, falls mehrere
Identitäten angegeben wurden.
Der Authentifizierungsvermittler muss laufen und die Umgebungsvariable SSH_AUTH_SOCK muss den Namen
seines Sockets enthalten, damit funktioniert.
Folgende Optionen stehen zur Verfügung:
-c Zeigt an, dass hinzugefügte Identitäten bestätigt werden sollen, bevor sie zur Authentifizierung
verwandt werden. Die Bestätigung erfolgt mit ssh-askpass(1). Die erfolgreiche Bestätigung wird
durch den Exit-Status 0 von ssh-askpass(1) angezeigt, statt durch Text, den der Anfragende
eingibt.
-D Löscht alle Identitäten aus dem Vermittler.
-d Statt Identitäten hinzuzufügen, werden Identitäten aus dem Vermittler entfernt. Falls ohne
Argumente ausgeführt wurde, werden die Schlüssel für die Vorgabeidentitäten und ihre
entsprechenden Zertifikate entfernt. Andernfalls wird die Argumentenliste als Liste von Pfaden zu
öffentlichen Schlüsseln interpretiert, die Schlüssel und Zertifikate angeben, die aus dem
Vermittler entfernt werden sollen. Falls unter den angegebenen Pfaden kein öffentlicher Schlüssel
gefunden wird, wird .pub anhängen und es erneut versuchen. Falls die Argumentenliste aus »-«
besteht, wird die zu entfernenden Schlüssel aus der Standardeingabe lesen.
-E Fingerabdruck-Hash
Gibt den bei der Anzeige von Schlüssel-Fingerabdrücken zu verwendenden Hash-Algorithmus an.
Gültige Optionen sind »md5« und »sha256«. Die Vorgabe ist »sha256«.
-e pkcs11
Entfernt Schlüssel, die von der dynamischen PKCS#11-Bibliothek pkcs11 bereitgestellt werden.
-H Rechnerschlüsseldatei
Gibt eine Datei bekannter Rechner an, in denen nach Rechnerschlüsseln mit zielbeschränkten
Schlüsseln über den Schalter -h nachgeschaut wird. Diese Option kann mehrfach angegeben werden,
um das Durchsuchen mehrerer Dateien zu erlauben. Falls keine Dateien angegeben sind, wird die
standardmäßigen bekannten Rechner aus ssh_config(5) verwenden: ~/.ssh/known_hosts,
~/.ssh/known_hosts2, /etc/ssh/ssh_known_hosts und /etc/ssh/ssh_known_hosts2.
-h Zielbeschränkung
Beim Hinzufügen von Schlüsseln werden sie beschränkt, so dass sie nur über bestimmte Rechner oder
zu bestimmten Zielen einsetzbar sind.
Zielbeschränkungen der Form »[Benutzer@]Zielrechnername« erlauben die Verwendung des Schlüssels
nur vom ursprünglichen Rechner (der ssh-agent(1) ausführt) zu dem aufgeführten Zielrechner, mit
dem optionalen Benutzernamen.
Beschränkungen der Form »Quellenrechnername>[Benutzer@]Zielrechnername« erlauben es einem
Schlüssel, der in einem weitergeleiteten ssh-agent(1) verfügbar ist, über einen bestimmten
Rechner verwandt zu werden (wie in »Quellrechnername« angegeben), um sich bei einem weiteren
Rechner zu authentifizieren, angegeben durch »Zielrechnername«.
Beim Laden von Schlüsseln können mehrere Schlüsselbeschränkungen angegeben werden. Beim Versuch,
sich mit einem Schlüssel zu authentifizieren, der eine Zielbeschränkung hat, wird der gesamte
Verbindungspfad, einschließlich der Weiterleitung mit ssh-agent(1), gegen die Beschränkungen
geprüft und jeder Sprung muss erlaubt sein, damit der Versuch gelingt. Wird der Schlüssel
beispielsweise an einen fernen Rechner »host-b« weitergeleitet und es wird eine Authentifizierung
an einen anderen Rechner »host-c« versucht, dann wird die Aktion nur erfolgreich sein, falls
»host-b« vom ursprünglichen Rechner aus und der nachfolgende Sprung »host-b>host-c« auch durch
die Zielbeschränkungen erlaubt ist.
Rechner werden durch ihre Rechnerschlüssel identifiziert und werden in den Dateien bekannter
Rechner von nachgeschlagen. Platzhaltermuster können für Rechnernamen verwandt werden und
Zertifikat-Rechnerschlüssel werden unterstützt. Standardmäßig sind durch hinzugefügte Schlüssel
nicht zielbeschränkt.
Zielbeschränkungen wurde in OpenSSH Veröffentlichung 8.9 hinzugefügt. Bei der Verwendung von
zielbeschränkten Schlüsseln über einen weitergeleiteten ssh-agent(1) -Kanal ist es notwendig,
dass sowohl der ferne Client als auch Server dies unterstützen.
Es ist auch wichtig anzumerken, dass die Zielbeschränkungen nur mit ssh-agent(1) durchgesetzt
werden können, wenn ein Schlüssel verwandt oder wenn er durch einen kooperierenden ssh(1)
weitergeleitet wird. Insbesondere verhindert dies nicht, dass ein Angreifer mit Zugang zu einem
fernen SSH_AUTH_SOCK ihn wieder weiterleitet und auf einem anderen Rechner verwendet (aber nur zu
einem erlaubten Ziel).
-K Lädt residente Schlüssel von einem FIDO-Authentifikator.
-k Beim Laden von Schlüsseln in den oder Löschen von Schlüsseln aus dem Vermittler werden nur
einfache private Schlüssel verarbeitet und Zertifikate übersprungen.
-L Listet Parameter der öffentlichen Schlüssel von allen in dem Vermittler dargestellten Identitäten
auf.
-l Listet Fingerabdrücke von allen in dem Vermittler dargestellten Identitäten auf.
-q Keine Ausgabe nach einer erfolgreichen Aktion.
-S Anbieter
Gibt einen Pfad zu einer Bibliothek an, die beim Hinzufügen eines auf einem FIDO-Authentifikator
liegenden Schlüssels verwandt wird und die Vorgabe der internen USB-HID-Unterstützung außer Kraft
setzt.
-s pkcs11
Fügt die durch die PKCS#11-Laufzeitbibliothek pkcs11 bereitgestellten Schlüssel hinzu.
-T öffentlicher_Schlüssel …
Prüft, ob die privaten Schlüssel, die dem angegebenen öffentlichen_Schlüssel entsprechen,
funktionieren, indem mit jedem Schlüssel Signier- und Signaturüberprüfungsaktionen erfolgen.
-t Lebensdauer
Setzt eine maximale Lebensdauer beim Hinzufügen von Identitäten zum Vermittler. Die Lebensdauer
kann in Sekunden oder in einem in sshd_config(5) spezifizierten Zeitformat angegeben werden.
-v Ausführlicher Modus. Führt dazu, dass Fehlersuchmeldungen über seinen Fortschritt ausgibt. Dies
ist zur Fehlersuche bei Problemen hilfreich. Wird die Option -v mehrmals angegeben, erhöht dies
die Ausführlichkeit. Maximal drei sind möglich.
-X Entsperrt den Vermittler.
-x Sperrt den Vermittler mit einem Passwort.
UMGEBUNGSVARIABLEN
DISPLAY, SSH_ASKPASS und SSH_ASKPASS_REQUIRE
Falls eine Passphrase benötigt, wird es diese vom aktuellen Terminal einlesen, falls es von einem
Terminal ausgeführt wurde. Falls über kein zugeordnetes Terminal verfügt, sondern mit gesetztem
DISPLAY und SSH_ASKPASS ausgeführt wurde, wird es das durch SSH_ASKPASS festgelegte Programm
(standardmäßig »ssh-askpass«) ausführen und ein X11-Fenster öffnen, um die Passphrase einzulesen.
Dies ist insbesondere nützlich, wenn von einer .xsession oder einem zugehörigen Skript ausgeführt
wird.
SSH_ASKPASS_REQUIRE erlaubt weitere Kontrolle über die Verwendung eines Programms zur Abfrage
eines Passworts. Falls diese Variable auf »never« gesetzt ist, dann wird niemals versuchen, ein
solches zu verwenden. Falls sie auf »prefer« gesetzt ist, dann wird bevorzugt das Programm zur
Abfrage eines Passworts statt des TTY verwenden, wenn es Passwörter anfordert. Falls diese
Variable schließlich auf »force« gesetzt ist, dann wird das Programm zur Abfrage eines Passworts
für sämtliche Passphraseneingaben verwandt, unabhängig davon, ob DISPLAY gesetzt ist.
SSH_AUTH_SOCK
Kennzeichnet den Pfad eines zur Kommunikation mit dem Vermittler verwandten Unix-domain -Sockets.
SSH_SK_PROVIDER
Gibt einen Pfad zu einer Bibliothek an, die beim Laden jedes FIDO-Authentifikator-basierten
Schlüssels verwandt wird. Dies setzt die standardmäßige, eingebaute USB-HID-Unterstützung außer
Kraft.
DATEIEN
~/.ssh/id_dsa
~/.ssh/id_ecdsa
~/.ssh/id_ecdsa_sk
~/.ssh/id_ed25519
~/.ssh/id_ed25519_sk
~/.ssh/id_rsa
Enthält die DSA-, ECDSA-, Authentifikator-basierende ECDSA-, Ed25519-, Authentifikator-basierende
Ed25519- oder RSA-Authentifizierungsidentität des Benutzers.
Identitätsdateien sollten ausschließlich durch den Benutzer lesbar sein. Beachten Sie, dass
Identitätsdateien ignoriert, auf die andere zugreifen können.
EXIT-STATUS
Bei Erfolg ist der Exit-Status 0; 1 falls der angegebene Befehl fehlschlägt und 2 falls nicht in der Lage
ist, den Authentifzierungsvermittler zu erreichen.
SIEHE AUCH
ssh(1), ssh-agent(1), ssh-askpass(1), ssh-keygen(1), sshd(8)
AUTOREN
OpenSSH ist eine Ableitung der ursprünglichen und freien SSH-1.2.12-Veröffentlichung durch Tatu Ylonen.
Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos, Theo de Raadt und Dug Song entfernten viele
Fehler, fügten neuere Funktionalitäten wieder hinzu und erstellten OpenSSH. Markus Friedl steuerte die
Unterstützung für SSH-Protokollversion 1.5 und 2.0 bei.
ÜBERSETZUNG
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3:
https://www.gnu.org/licenses/gpl-3.0.html oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE
HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die
Mailingliste der Übersetzer: debian-l10n-german@lists.debian.org .
Debian 4. Februar, 2022 SSH-ADD(1)