[FRsAG] Migration serveur vers VIP
Bonjour à tous, j'espère que ma demande n'est pas HS. Historiquement, j'ai une machine "SRV LAN" en .50 qui réalise des montages cifs sur un nas en .60 (cf schémas). Une vingtaine de machines se connectent en SSH sur "SRV LAN" pour travailler dans les montages cifs. Je suis conscient qu'il a déjà un problème d'architecture mais c'est historique. Pour gagner en disponibilité, j'ai mis en place 2 machines "HOST 1" et "HOST 2" avec du heartbeat, la VIP .50 et les montages cifs. Cependant, je souhaiterai que cette migration soit complètement transparente pour mes serveurs (SRV 1, SRV 2 ...). Cependant si je réalise la bascule comme cela mais connections SSH depuis mes serveurs seront en échec car le fichier "known_hosts" ne sera pas valide. J'ai fait le test suivant : première connexion sur l'IP .50 qui est sur le "HOST 1". j'ai un message d'erreur. --- @@@ @WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is xx:xx:xx: --- Le message d'erreur est légitime, mais auriez-vous une solution pour corriger la problème ? Ai-je un problème architecture car si l'ip bascule sur le "HOST 2", je vais avoir le même problème. Il aussi la possibilité de ce connecter en ssh en ne prenant pas en compte les options de sécurité mais je souhaiterai éviter cette solution. Merci d'avance. Alexandre - | Schémas | - Désolé des ces schémas ridicules, mais je pense qu'ils peuvent aider à la compréhension. 1. Architecture actuelle : - 192.168.5.0/24 _ |SRV 1|| | .10 || | _ | |SRV 2|| | .11 || ___ lien dédié NAS ___ |-|SRV LAN|--|SRV NAS| _ | | .50 | | .60 | |SRV 3|| | .12 || | _ | |SRV 4|| | .13 |. . . 2. Nouvelle architecture : - 192.168.5.0/24 _ |SRV 1|| __ | .10 || |HOST 1| | | .51 | _ | | |SRV 2|| | | .11 || ___|___ lien dédié NAS ___ |-|VIP LAN|--|SRV NAS| _ | | .50 | | .60 | |SRV 3|| | | .12 || | | | _ | __ |SRV 4|| |HOST 2| | .13 |. | .52 | . . ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Migration serveur vers VIP
Bonjour, Le 08/07/2013 13:22, Alexandre a écrit : Le message d'erreur est légitime, mais auriez-vous une solution pour corriger la problème ? Juste en copiant la clé de HOST-1 vers HOST-2 ? Denis ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Migration serveur vers VIP
Bonjour, il faudrait exporter les clefs ssh de HOST1 & HOST2 , comme ca , vous n'auriez plus ce genre de message Cordialement Le 8 juillet 2013 13:22, Alexandre a écrit : > Bonjour à tous, > > j'espère que ma demande n'est pas HS. Historiquement, j'ai une machine > "SRV LAN" en .50 qui réalise des montages cifs sur un nas en .60 (cf > schémas). Une vingtaine de machines se connectent en SSH sur "SRV LAN" pour > travailler dans les montages cifs. Je suis conscient qu'il a déjà un > problème d'architecture mais c'est historique. > > Pour gagner en disponibilité, j'ai mis en place 2 machines "HOST 1" et > "HOST 2" avec du heartbeat, la VIP .50 et les montages cifs. Cependant, je > souhaiterai que cette migration soit complètement transparente pour mes > serveurs (SRV 1, SRV 2 ...). Cependant si je réalise la bascule comme cela > mais connections SSH depuis mes serveurs seront en échec car le fichier > "known_hosts" ne sera pas valide. > > J'ai fait le test suivant : > > première connexion sur l'IP .50 qui est sur le "HOST 1". j'ai un message > d'erreur. > > --- > @@**@ > @WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ > @@**@ > IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! > Someone could be eavesdropping on you right now (man-in-the-middle attack)! > It is also possible that a host key has just been changed. > The fingerprint for the ECDSA key sent by the remote host is > xx:xx:xx: > --- > > Le message d'erreur est légitime, mais auriez-vous une solution pour > corriger la problème ? Ai-je un problème architecture car si l'ip bascule > sur le "HOST 2", je vais avoir le même problème. Il aussi la possibilité de > ce connecter en ssh en ne prenant pas en compte les options de sécurité > mais je souhaiterai éviter cette solution. > > Merci d'avance. > Alexandre > > >- > | Schémas | >- > > Désolé des ces schémas ridicules, mais je pense qu'ils peuvent aider à la > compréhension. > > > 1. Architecture actuelle : > - > > > 192.168.5.0/24 > _ > |SRV 1|| > | .10 || >| > _ | > |SRV 2|| > | .11 || ___ lien dédié NAS ___ >|-|SRV LAN|--|SRV NAS| > _ | | .50 | | .60 | > |SRV 3|| > | .12 || >| > _ | > |SRV 4|| > | .13 |. >. >. > > > > 2. Nouvelle architecture : > - > > > 192.168.5.0/24 > _ > |SRV 1|| __ > | .10 || |HOST 1| >| | .51 | > _ | | > |SRV 2|| | > | .11 || ___|___ lien dédié NAS ___ >|-|VIP LAN|--|SRV NAS| > _ | | .50 | | .60 | > |SRV 3|| | > | .12 || | >| | > _ | __ > |SRV 4|| |HOST 2| > | .13 |. | .52 | >. >. > __**_ > Liste de diffusion du FRsAG > http://www.frsag.org/ > ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Migration serveur vers VIP
Hello, Je suis d'accord, mettre la même clef des 2 côtés me semble être la solution la plus simple ? Après tout, si les serveurs sont "identiques" et transparents, ça se tient :) Bonne journée Victor Héry Le 08/07/2013 13:29, Denis F. a écrit : > Bonjour, > > Le 08/07/2013 13:22, Alexandre a écrit : >> >> Le message d'erreur est légitime, mais auriez-vous une solution pour >> corriger la problème ? > > > Juste en copiant la clé de HOST-1 vers HOST-2 ? > > Denis > ___ > Liste de diffusion du FRsAG > http://www.frsag.org/ signature.asc Description: OpenPGP digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Migration serveur vers VIP
Bonjour, > Hello, > > Je suis d'accord, mettre la même clef des 2 côtés me semble être la > solution la plus simple ? > Après tout, si les serveurs sont "identiques" et transparents, ça se > tient :) Pas d'accord : si ce sont deux serveurs différents, ils doivent avoir chacun leurs paires de clefs différentes. Ne pas le faire va interdire la discrimination des deux par la suite : commandes liées, traçage des connexions, ... En revanche il est possible dans le fichier known_hosts de mettre plusieurs clefs pour la même IP. Ce qui donnerait : ip_de_la_vip type clef_publique_host1 ip_de_la_vip type clef_publique_host2 Et hop ! Patrice > > Bonne journée > > Victor Héry > > Le 08/07/2013 13:29, Denis F. a écrit : > > Bonjour, > > > > Le 08/07/2013 13:22, Alexandre a écrit : > >> > >> Le message d'erreur est légitime, mais auriez-vous une solution pour > >> corriger la problème ? > > > > > > Juste en copiant la clé de HOST-1 vers HOST-2 ? > > > > Denis > > ___ > > Liste de diffusion du FRsAG > > http://www.frsag.org/ > > > [rattachement "signature.asc" supprimé par Patrice > Guerlais/QVI/GRAF/FR] ___ > Liste de diffusion du FRsAG > http://www.frsag.org/ Accédez aux meilleurs tarifs Air France, gérez vos réservations et enregistrez-vous en ligne sur http://www.airfrance.com Find best Air France fares, manage your reservations and check in online at http://www.airfrance.com Les données et renseignements contenus dans ce message peuvent être de nature confidentielle et soumis au secret professionnel et sont destinés à l'usage exclusif du destinataire dont les coordonnées figurent ci-dessus. Si vous recevez cette communication par erreur, nous vous demandons de ne pas la copier, l'utiliser ou la divulguer. Nous vous prions de notifier cette erreur à l'expéditeur et d'effacer immédiatement cette communication de votre système. Société Air France - Société anonyme au capital de 126 748 775 euros - RCS Bobigny (France) 420 495 178 - 45, rue de Paris, 95 747 Roissy CDG CEDEX The data and information contained in this message may be confidential and subject to professional secrecy and are intended for the exclusive use of the recipient at the address shown above. If you receive this message by mistake, we ask you not to copy, use or disclose it. Please notify this error to the sender immediately and delete this message from your system. Société Air France - Limited company with capital of 126,748,775 euros - Bobigny register of companies (France) 420 495 178 - 45, rue de Paris, 95 747 Roissy CDG CEDEX Pensez à l'environnement avant d'imprimer ce message. Think of the environment before printing this mail. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Migration serveur vers VIP
Merci de vos réponses. De quelle clé parlez-vous ? Dans mon test je n'utilise pas de clé pub pour me connecter à "HOST 1" ou 2, je n'ai pas de .ssh dans mon répertoire home de mon utilisateur. Cependant je peux faire le test si cela peut corriger le problème. Alexandre On 08/07/13 13:29, Denis F. wrote: Bonjour, Le 08/07/2013 13:22, Alexandre a écrit : Le message d'erreur est légitime, mais auriez-vous une solution pour corriger la problème ? Juste en copiant la clé de HOST-1 vers HOST-2 ? Denis ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Migration serveur vers VIP
Essaie de regarder sur HOST1 et HOST2, dans : /etc/ssh/ Tu aura la clé qui apparait dans les warnings des clients ssh. En effet, c'est cette clé que ton sshd présente au client lorsqu'il se connecte. Et pas celle(s) des home des utilisateurs ! -- Florent 2013/7/8 Alexandre : > Merci de vos réponses. > > De quelle clé parlez-vous ? Dans mon test je n'utilise pas de clé pub pour > me connecter à "HOST 1" ou 2, je n'ai pas de .ssh dans mon répertoire home > de mon utilisateur. Cependant je peux faire le test si cela peut corriger le > problème. > > Alexandre > > > On 08/07/13 13:29, Denis F. wrote: >> >> Bonjour, >> >> Le 08/07/2013 13:22, Alexandre a écrit : >>> >>> >>> Le message d'erreur est légitime, mais auriez-vous une solution pour >>> corriger la problème ? >> >> >> >> Juste en copiant la clé de HOST-1 vers HOST-2 ? >> >> Denis >> ___ >> Liste de diffusion du FRsAG >> http://www.frsag.org/ > > ___ > Liste de diffusion du FRsAG > http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Migration serveur vers VIP
> De quelle clé parlez-vous ? Dans mon test je n'utilise pas de clé pub > pour me connecter à "HOST 1" ou 2, je n'ai pas de .ssh dans mon > répertoire home de mon utilisateur. Cependant je peux faire le test si > cela peut corriger le problème. Il ne s'agit pas des clefs "utilisateur" mais des clefs de serveur, stockées dans known_hosts. Petite procédure pour récupérer les deux clefs : - effectuer une première connexion vers host1 (pas la VIP) et accepter la clef de serveur si nécessaire - refaire la même opération vers host2. Le fichier known_hosts contient alors la clef publique des deux serveurs : - éditer le fichier - supprimer les lignes faisant référence à la VIP - dupliquer les clefs de host1 et host2, de préférence sur des lignes consécutives, ce sera plus facile à suivre en exploitation par la suite puisqu'elles seront côte à côte - remplacer le nom et l'IP présents en début des lignes dupliquées par le nom et l'IP de la VIP. Tester ensuite la connexion vers la VIP, peu importe le host qui l'héberge, ça devrait marcher. Puis basculer la VIP sur l'autre noeud et recommencer le test, tout devrait bien se passer. Patrice > > Alexandre > > On 08/07/13 13:29, Denis F. wrote: > > Bonjour, > > > > Le 08/07/2013 13:22, Alexandre a écrit : > >> > >> Le message d'erreur est légitime, mais auriez-vous une solution pour > >> corriger la problème ? > > > > > > Juste en copiant la clé de HOST-1 vers HOST-2 ? > > > > Denis > > ___ > > Liste de diffusion du FRsAG > > http://www.frsag.org/ > ___ > Liste de diffusion du FRsAG > http://www.frsag.org/ Accédez aux meilleurs tarifs Air France, gérez vos réservations et enregistrez-vous en ligne sur http://www.airfrance.com Find best Air France fares, manage your reservations and check in online at http://www.airfrance.com Les données et renseignements contenus dans ce message peuvent être de nature confidentielle et soumis au secret professionnel et sont destinés à l'usage exclusif du destinataire dont les coordonnées figurent ci-dessus. Si vous recevez cette communication par erreur, nous vous demandons de ne pas la copier, l'utiliser ou la divulguer. Nous vous prions de notifier cette erreur à l'expéditeur et d'effacer immédiatement cette communication de votre système. Société Air France - Société anonyme au capital de 126 748 775 euros - RCS Bobigny (France) 420 495 178 - 45, rue de Paris, 95 747 Roissy CDG CEDEX The data and information contained in this message may be confidential and subject to professional secrecy and are intended for the exclusive use of the recipient at the address shown above. If you receive this message by mistake, we ask you not to copy, use or disclose it. Please notify this error to the sender immediately and delete this message from your system. Société Air France - Limited company with capital of 126,748,775 euros - Bobigny register of companies (France) 420 495 178 - 45, rue de Paris, 95 747 Roissy CDG CEDEX Pensez à l'environnement avant d'imprimer ce message. Think of the environment before printing this mail. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Migration serveur vers VIP
Bonjour On 08/07/13 14:30, Patrice Guerlais wrote: > De quelle clé parlez-vous ? Dans mon test je n'utilise pas de clé pub > pour me connecter à "HOST 1" ou 2, je n'ai pas de .ssh dans mon > répertoire home de mon utilisateur. Cependant je peux faire le test si > cela peut corriger le problème. Il ne s'agit pas des clefs "utilisateur" mais des clefs de serveur, stockées dans known_hosts. Petite procédure pour récupérer les deux clefs : - effectuer une première connexion vers host1 (pas la VIP) et accepter la clef de serveur si nécessaire - refaire la même opération vers host2. Le fichier known_hosts contient alors la clef publique des deux serveurs : - éditer le fichier - supprimer les lignes faisant référence à la VIP - dupliquer les clefs de host1 et host2, de préférence sur des lignes consécutives, ce sera plus facile à suivre en exploitation par la suite puisqu'elles seront côte à côte - remplacer le nom et l'IP présents en début des lignes dupliquées par le nom et l'IP de la VIP. Tester ensuite la connexion vers la VIP, peu importe le host qui l'héberge, ça devrait marcher. Puis basculer la VIP sur l'autre noeud et recommencer le test, tout devrait bien se passer. Patrice Bonjour Patrice, je comprends bien le principe mais je ne sais pas comment tu édites les IP/NOM du fichier. voici mes infos environnement de test : srvweb1 : 192.168.218.1 node1 : 192.168.218.31 node2 : 192.168.218.32 vip : 192.168.218.30 eximg : 192.168.218.29 accès à eximg depuis srvweb1 --- |1|qSeHyyrRhLKz5UjeRLIzRlzSyc0=|rPNALxD3kHPE4Gx6ueL0VWdy0I0= ecdsa-sha2-nistp256 E2VjZHNhLXNoYTItbmlzdHAyNTYIbmlzdHAyNTYAAABBBFbQfqfJHwRAf8kHox27vqpHUtKHNg4eMYzMW8Hy4+Q0D5zu2rObagHFq5kQnAXVYTPVPMzuSn9/OrNneIXUSE0= |1|BJAK5jCAywvk6IP/NsVn1rmzpoQ=|y638BHTDbBDfnpNFR8GLmr4J0AA= ecdsa-sha2-nistp256 E2VjZHNhLXNoYTItbmlzdHAyNTYIbmlzdHAyNTYAAABBBFbQfqfJHwRAf8kHox27vqpHUtKHNg4eMYzMW8Hy4+Q0D5zu2rObagHFq5kQnAXVYTPVPMzuSn9/OrNneIXUSE0= -- accès à node1 depuis srvweb1 --- |1|71PMIVLxKOdZe1djy/C04ESh4+c=|b5x473E7AJGDS3GXXUtcb12DYXs= ecdsa-sha2-nistp256 E2VjZHNhLXNoYTItbmlzdHAyNTYIbmlzdHAyNTYAAABBBKT1gpM9RdWPRihfYbIgMXdyyHm18tJhdD3gCnN284u+UlJ7OjlMfhz3+JM+ja1a1GunMeeYPZNoeicejQrcQWw= |1|da3qzavV+CEMnPousqM0tKQZ6h8=|5xcmdBGD/QRdmMWX2odrtjbdoOk= ecdsa-sha2-nistp256 E2VjZHNhLXNoYTItbmlzdHAyNTYIbmlzdHAyNTYAAABBBKT1gpM9RdWPRihfYbIgMXdyyHm18tJhdD3gCnN284u+UlJ7OjlMfhz3+JM+ja1a1GunMeeYPZNoeicejQrcQWw= --- accès à node2 depuis srvweb1 --- |1|yFww8PiWm+aQCdz3HuyGPWjNvIE=|kTkL6u2vqZyjxQvcjWpdXIbBrLo= ecdsa-sha2-nistp256 E2VjZHNhLXNoYTItbmlzdHAyNTYIbmlzdHAyNTYAAABBBFbQfqfJHwRAf8kHox27vqpHUtKHNg4eMYzMW8Hy4+Q0D5zu2rObagHFq5kQnAXVYTPVPMzuSn9/OrNneIXUSE0= |1|2qRkWz5HFJXLtXvaBwgsl9G+gjo=|3OKSgC5DMP0XmMuuJcq01jqbV/Q= ecdsa-sha2-nistp256 E2VjZHNhLXNoYTItbmlzdHAyNTYIbmlzdHAyNTYAAABBBFbQfqfJHwRAf8kHox27vqpHUtKHNg4eMYzMW8Hy4+Q0D5zu2rObagHFq5kQnAXVYTPVPMzuSn9/OrNneIXUSE0= --- Dans l'état, si je coupe eximg et que je monte la .29 (pour simuler la bascule) sur le node1 et je m'y connecte, forcément je suis rejeté. Il faut donc modifier l'entrée de "eximg" du fichier "known_hosts" avec les infos du node1 et node2. J'ai essayé d'extraire les infos avec ssh-keyscan --- ssh-keyscan -t rsa,dsa eximg # eximg SSH-2.0-OpenSSH_6.0p1 Debian-4 eximg ssh-rsa B3NzaC1yc2EDAQABAAABAQDBSik+Mcvv0BETUZX3z3SPOrfPShP2EZppMZLicPkAdpTiW/Pf8llGKePAZjrkpUMm6+z1vsHEIVSLIJv3NKPkNwP80nh1sXtZfma/RnjPR1XzvZqjXtoUKAmXvIH4kpC2QYxZgnFo+cjKcoFvIl797R9mKEWVcbQu2pgPIrlcNanAvegwOVgxgcwiwSNdhVW7nmbAUEGmykOULBSY72F6EXT6vGru+0fFkgDhGK866DXg3gD8w5qcFciAT+U9RFh+6ompreNmChkPDPNoVtxenU9ip6saH0aloX5KB1ZkTegq3k23ot1aVUVknuA2QdAW6GFxX8/x3/u+f44GRtwn # eximg SSH-2.0-OpenSSH_6.0p1 Debian-4 eximg ssh-dss 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 --- Je n'arrive pas à ce que je veux et je ne sais pas comment réinjecter les infos dans le "known_hosts". Alexandre > > Alexandre > > On 08/07/13 13:29, Denis F. wrote: > > Bonjour, > > > > Le 08/07/2013 13:22, Alexandre a écrit : > >> > >> Le message d'erreur est légitime, mais auriez-vous une solution pour > >> corriger la problème ? > > > > > > Juste en copiant la clé de HOST-1 vers HOST-2 ? > > > > Denis > > ___ > > Liste de diffusion du FRsAG > > http://www.frsag.org/ > ___ > Liste de diffusion du
Re: [FRsAG] Migration serveur vers VIP
Bonsoir, désolé du dérangement, effectivement patrice avait la solution, voici le résultat accès à eximg --- |1|SQDGfu2zt+um7cI81i38twMBl8Y=|t8mpqG4lA3NEOTN1pM8haBkllRY= ecdsa-sha2-nistp256 E2VjZHNhLXNoYTItbmlzdHAyNTYIbmlzdHAyNTYAAABBBFbQfqfJHwRAf8kHox27vqpHUtKHNg4eMYzMW8Hy4+Q0D5zu2rObagHFq5kQnAXVYTPVPMzuSn9/OrNneIXUSE0= |1|0nDaxAV8dnHDleYJFxsXJfQiHP4=|gSyXrOizdiOkTkLZI8ZdJNrtO1s= ecdsa-sha2-nistp256 E2VjZHNhLXNoYTItbmlzdHAyNTYIbmlzdHAyNTYAAABBBFbQfqfJHwRAf8kHox27vqpHUtKHNg4eMYzMW8Hy4+Q0D5zu2rObagHFq5kQnAXVYTPVPMzuSn9/OrNneIXUSE0= --- je pense que les lignes se composent de : |ip|nom|hash| Pour que la bascule soit transparente, il faut associer au groupe "ip|nom" le hash de chaque node : --- |1|SQDGfu2zt+um7cI81i38twMBl8Y=|t8mpqG4lA3NEOTN1pM8haBkllRY= ecdsa-sha2-nistp256 E2VjZHNhLXNoYTItbmlzdHAyNTYIbmlzdHAyNTYAAABBBKT1gpM9RdWPRihfYbIgMXdyyHm18tJhdD3gCnN284u+UlJ7OjlMfhz3+JM+ja1a1GunMeeYPZNoeicejQrcQWw= |1|0nDaxAV8dnHDleYJFxsXJfQiHP4=|gSyXrOizdiOkTkLZI8ZdJNrtO1s= ecdsa-sha2-nistp256 E2VjZHNhLXNoYTItbmlzdHAyNTYIbmlzdHAyNTYAAABBBKT1gpM9RdWPRihfYbIgMXdyyHm18tJhdD3gCnN284u+UlJ7OjlMfhz3+JM+ja1a1GunMeeYPZNoeicejQrcQWw= |1|SQDGfu2zt+um7cI81i38twMBl8Y=|t8mpqG4lA3NEOTN1pM8haBkllRY= ecdsa-sha2-nistp256 E2VjZHNhLXNoYTItbmlzdHAyNTYIbmlzdHAyNTYAAABBBFbQfqfJHwRAf8kHox27vqpHUtKHNg4eMYzMW8Hy4+Q0D5zu2rObagHFq5kQnAXVYTPVPMzuSn9/OrNneIXUSE0= |1|0nDaxAV8dnHDleYJFxsXJfQiHP4=|gSyXrOizdiOkTkLZI8ZdJNrtO1s= ecdsa-sha2-nistp256 E2VjZHNhLXNoYTItbmlzdHAyNTYIbmlzdHAyNTYAAABBBFbQfqfJHwRAf8kHox27vqpHUtKHNg4eMYzMW8Hy4+Q0D5zu2rObagHFq5kQnAXVYTPVPMzuSn9/OrNneIXUSE0= --- Et effectivement cela fonctionne Merci Patrice. On 08/07/13 19:03, Alexandre wrote: Bonjour On 08/07/13 14:30, Patrice Guerlais wrote: > De quelle clé parlez-vous ? Dans mon test je n'utilise pas de clé pub > pour me connecter à "HOST 1" ou 2, je n'ai pas de .ssh dans mon > répertoire home de mon utilisateur. Cependant je peux faire le test si > cela peut corriger le problème. Il ne s'agit pas des clefs "utilisateur" mais des clefs de serveur, stockées dans known_hosts. Petite procédure pour récupérer les deux clefs : - effectuer une première connexion vers host1 (pas la VIP) et accepter la clef de serveur si nécessaire - refaire la même opération vers host2. Le fichier known_hosts contient alors la clef publique des deux serveurs : - éditer le fichier - supprimer les lignes faisant référence à la VIP - dupliquer les clefs de host1 et host2, de préférence sur des lignes consécutives, ce sera plus facile à suivre en exploitation par la suite puisqu'elles seront côte à côte - remplacer le nom et l'IP présents en début des lignes dupliquées par le nom et l'IP de la VIP. Tester ensuite la connexion vers la VIP, peu importe le host qui l'héberge, ça devrait marcher. Puis basculer la VIP sur l'autre noeud et recommencer le test, tout devrait bien se passer. Patrice Bonjour Patrice, je comprends bien le principe mais je ne sais pas comment tu édites les IP/NOM du fichier. voici mes infos environnement de test : srvweb1 : 192.168.218.1 node1 : 192.168.218.31 node2 : 192.168.218.32 vip : 192.168.218.30 eximg : 192.168.218.29 accès à eximg depuis srvweb1 --- |1|qSeHyyrRhLKz5UjeRLIzRlzSyc0=|rPNALxD3kHPE4Gx6ueL0VWdy0I0= ecdsa-sha2-nistp256 E2VjZHNhLXNoYTItbmlzdHAyNTYIbmlzdHAyNTYAAABBBFbQfqfJHwRAf8kHox27vqpHUtKHNg4eMYzMW8Hy4+Q0D5zu2rObagHFq5kQnAXVYTPVPMzuSn9/OrNneIXUSE0= |1|BJAK5jCAywvk6IP/NsVn1rmzpoQ=|y638BHTDbBDfnpNFR8GLmr4J0AA= ecdsa-sha2-nistp256 E2VjZHNhLXNoYTItbmlzdHAyNTYIbmlzdHAyNTYAAABBBFbQfqfJHwRAf8kHox27vqpHUtKHNg4eMYzMW8Hy4+Q0D5zu2rObagHFq5kQnAXVYTPVPMzuSn9/OrNneIXUSE0= -- accès à node1 depuis srvweb1 --- |1|71PMIVLxKOdZe1djy/C04ESh4+c=|b5x473E7AJGDS3GXXUtcb12DYXs= ecdsa-sha2-nistp256 E2VjZHNhLXNoYTItbmlzdHAyNTYIbmlzdHAyNTYAAABBBKT1gpM9RdWPRihfYbIgMXdyyHm18tJhdD3gCnN284u+UlJ7OjlMfhz3+JM+ja1a1GunMeeYPZNoeicejQrcQWw= |1|da3qzavV+CEMnPousqM0tKQZ6h8=|5xcmdBGD/QRdmMWX2odrtjbdoOk= ecdsa-sha2-nistp256 E2VjZHNhLXNoYTItbmlzdHAyNTYIbmlzdHAyNTYAAABBBKT1gpM9RdWPRihfYbIgMXdyyHm18tJhdD3gCnN284u+UlJ7OjlMfhz3+JM+ja1a1GunMeeYPZNoeicejQrcQWw= --- accès à node2 depuis srvweb1 --- |1|yFww8PiWm+aQCdz3HuyGPWjNvIE=|kTkL6u2vqZyjxQvcjWpdXIbBrLo= ecdsa-sha2-nistp256 E2VjZHNhLXNoYTItbmlzdHAyNTYIbmlzdHAyNTYAAABBBFbQfqfJHwRAf8kHox27vqpHUtKHNg4eMYzMW8Hy4+Q0D5zu2rObagHFq5kQnAXVYTPVPMzuSn9/OrNneIXUSE0= |1|2qRkWz5HFJXLtXvaBwgsl9G+gjo=|3OKSgC5DMP0XmMuuJcq01jqbV/Q= ecdsa-sha2-nistp256 E2VjZHNhLXNoYTItbmlzdHAyNTYIbmlzdHAyNTYAAABBBFbQfqfJHwRAf8kHox27vqpHUtKHNg4eMYzMW8Hy4+Q0D5zu2rObagHFq5kQnAXVYTPVPMzuSn9/OrNneIXUSE0= --- Dans l'état, si je coupe eximg et que je monte la .29 (pour simuler la bascule) sur le node1 et je m'y connecte, forcément je suis rejeté. Il faut donc modifier l'entrée de "eximg" du fichier "known_hosts" avec les infos du node1 et node2. J'ai essayé d'extraire les infos avec ssh-keyscan --- ssh-keyscan -t rsa,dsa eximg # e
