Provided by: manpages-de_4.23.1-1_all bug

BEZEICHNUNG

     ssh-add — Fügt Identitäten aus privaten Schlüsseln zum OpenSSH-Authentifizierungsvermittler
     hinzu

ÜBERSICHT

     ssh-add [-CcDdKkLlqvXx] [-E Fingerabdruck-Hash] [-H Rechnerschlüsseldatei] [-h
     Zielbeschränkung] [-S Anbieter] [-t Lebensdauer] [file ...] ssh-add -s pkcs11 ssh-add -e
     pkcs11 [-Cv] [Zertifikat ] ssh-add -T öffentlicher_Schlüssel 

BESCHREIBUNG

     ssh-add fügt private Schlüsselidentitäten zu dem Authentifizierungsvermittler ssh-agent(1)
     hinzu. Wird es ohne Argumente ausgeführt, fügt es die Dateien ~/.ssh/id_rsa,
     ~/.ssh/id_ecdsa, ~/.ssh/id_ecdsa_sk, ~/.ssh/id_ed25519, ~/.ssh/id_ed25519_sk und
     ~/.ssh/id_dsa hinzu. Nach dem Laden des privaten Schlüssels wird ssh-add versuchen, die
     entsprechenden Zertifikatsinformationen zu erlangen, wobei die Dateinamen gebildet werden,
     indem -cert.pub an die Namen der privaten Schlüsseldateien angehängt wird. Alternativ können
     Dateinamen auf der Befehlszeile angegeben werden.

     Falls eine Datei eine Passphrase benötigt, fragt ssh-add den Benutzer nach der Passphrase.
     Die Passphrase wird vom TTY des Benutzers eingelesen. ssh-add versucht die letzte Passphrase
     erneut zu verwenden, falls mehrere Identitäten angegeben wurden.

     Der Authentifizierungsvermittler muss laufen und die Umgebungsvariable SSH_AUTH_SOCK muss
     den Namen seines Sockets enthalten, damit ssh-add funktioniert.

     Folgende Optionen stehen zur Verfügung:

     -C      Beim Laden von Schlüsseln in den oder Löschen von Schlüsseln aus dem Vermittler
             werden nur Zertifikate verarbeitet und einfache private Schlüssel übersprungen.

     -c      Zeigt an, dass hinzugefügte Identitäten bestätigt werden sollen, bevor sie zur
             Authentifizierung verwandt werden. Die Bestätigung erfolgt mit ssh-askpass(1). Die
             erfolgreiche Bestätigung wird durch den Exit-Status 0 von ssh-askpass(1) angezeigt,
             statt durch Text, den der Anfragende eingibt.

     -D      Löscht alle Identitäten aus dem Vermittler.

     -d      Statt Identitäten hinzuzufügen, werden Identitäten aus dem Vermittler entfernt.
             Falls ssh-add ohne Argumente ausgeführt wurde, werden die Schlüssel für die
             Vorgabeidentitäten und ihre entsprechenden Zertifikate entfernt. Andernfalls wird
             die Argumentenliste als Liste von Pfaden zu öffentlichen Schlüsseln interpretiert,
             die Schlüssel und Zertifikate angeben, die aus dem Vermittler entfernt werden
             sollen. Falls unter den angegebenen Pfaden kein öffentlicher Schlüssel gefunden
             wird, wird ssh-add .pub anhängen und es erneut versuchen. Falls die Argumentenliste
             aus »-« besteht, wird ssh-add die zu entfernenden Schlüssel aus der Standardeingabe
             lesen.

     -E Fingerabdruck-Hash
             Gibt den bei der Anzeige von Schlüssel-Fingerabdrücken zu verwendenden Hash-
             Algorithmus an. Gültige Optionen sind »md5« und »sha256«. Die Vorgabe ist »sha256«.

     -e pkcs11
             Entfernt Schlüssel, die von der dynamischen PKCS#11-Bibliothek pkcs11 bereitgestellt
             werden.

     -H Rechnerschlüsseldatei
             Gibt eine Datei bekannter Rechner an, in denen nach Rechnerschlüsseln mit
             zielbeschränkten Schlüsseln über den Schalter -h nachgeschaut wird. Diese Option
             kann mehrfach angegeben werden, um das Durchsuchen mehrerer Dateien zu erlauben.
             Falls keine Dateien angegeben sind, wird ssh-add die standardmäßigen bekannten
             Rechner aus ssh_config(5) verwenden: ~/.ssh/known_hosts, ~/.ssh/known_hosts2,
             /etc/ssh/ssh_known_hosts und /etc/ssh/ssh_known_hosts2.

     -h Zielbeschränkung
             Beim Hinzufügen von Schlüsseln werden sie beschränkt, so dass sie nur über bestimmte
             Rechner oder zu bestimmten Zielen einsetzbar sind.

             Zielbeschränkungen der Form »[Benutzer@]Zielrechnername« erlauben die Verwendung des
             Schlüssels nur vom ursprünglichen Rechner (der ssh-agent(1) ausführt) zu dem
             aufgeführten Zielrechner, mit dem optionalen Benutzernamen.

             Beschränkungen der Form »Quellenrechnername>[Benutzer@]Zielrechnername« erlauben es
             einem Schlüssel, der in einem weitergeleiteten ssh-agent(1) verfügbar ist, über
             einen bestimmten Rechner verwandt zu werden (wie in »Quellrechnername« angegeben),
             um sich bei einem weiteren Rechner zu authentifizieren, angegeben durch
             »Zielrechnername«.

             Beim Laden von Schlüsseln können mehrere Schlüsselbeschränkungen angegeben werden.
             Beim Versuch, sich mit einem Schlüssel zu authentifizieren, der eine
             Zielbeschränkung hat, wird der gesamte Verbindungspfad, einschließlich der
             Weiterleitung mit ssh-agent(1), gegen die Beschränkungen geprüft und jeder Sprung
             muss erlaubt sein, damit der Versuch gelingt. Wird der Schlüssel beispielsweise an
             einen fernen Rechner »host-b« weitergeleitet und es wird eine Authentifizierung an
             einen anderen Rechner »host-c« versucht, dann wird die Aktion nur erfolgreich sein,
             falls »host-b« vom ursprünglichen Rechner aus und der nachfolgende Sprung »host-
             b>host-c« auch durch die Zielbeschränkungen erlaubt ist.

             Rechner werden durch ihre Rechnerschlüssel identifiziert und werden in den Dateien
             bekannter Rechner von ssh-add nachgeschlagen. Platzhaltermuster können für
             Rechnernamen verwandt werden und Zertifikat-Rechnerschlüssel werden unterstützt.
             Standardmäßig sind durch ssh-add hinzugefügte Schlüssel nicht zielbeschränkt.

             Zielbeschränkungen wurde in OpenSSH Veröffentlichung 8.9 hinzugefügt. Bei der
             Verwendung von zielbeschränkten Schlüsseln über einen weitergeleiteten ssh-agent(1)
             -Kanal ist es notwendig, dass sowohl der ferne Client als auch Server dies
             unterstützen.

             Es ist auch wichtig anzumerken, dass die Zielbeschränkungen nur mit ssh-agent(1)
             durchgesetzt werden können, wenn ein Schlüssel verwandt oder wenn er durch einen
             kooperierenden ssh(1) weitergeleitet wird. Insbesondere verhindert dies nicht, dass
             ein Angreifer mit Zugang zu einem fernen SSH_AUTH_SOCK ihn wieder weiterleitet und
             auf einem anderen Rechner verwendet (aber nur zu einem erlaubten Ziel).

     -K      Lädt residente Schlüssel von einem FIDO-Authentifikator.

     -k      Beim Laden von Schlüsseln in den oder Löschen von Schlüsseln aus dem Vermittler
             werden nur einfache private Schlüssel verarbeitet und Zertifikate übersprungen.

     -L      Listet Parameter der öffentlichen Schlüssel von allen in dem Vermittler
             dargestellten Identitäten auf.

     -l      Listet Fingerabdrücke von allen in dem Vermittler dargestellten Identitäten auf.

     -q      Keine Ausgabe nach einer erfolgreichen Aktion.

     -S Anbieter
             Gibt einen Pfad zu einer Bibliothek an, die beim Hinzufügen eines auf einem FIDO-
             Authentifikator liegenden Schlüssels verwandt wird und die Vorgabe der internen USB-
             HID-Unterstützung außer Kraft setzt.

     -s pkcs11
             Fügt von der dynamischen PKCS#11-Bibliothek pkcs11 bereitgestellte Schlüssel hinzu.
             Zertifikatsdateien können optional als Befehlszeilenargumente aufgelistet werden.
             Falls diese vorhanden sind, dann werden sie in den Vermittler mittels entsprechender
             privater Schlüssel, die vom PKCS#11-Token geladen wurden, geladen.

     -T öffentlicher_Schlüssel 
             Prüft, ob die privaten Schlüssel, die dem angegebenen öffentlichen_Schlüssel
             entsprechen, funktionieren, indem mit jedem Schlüssel Signier- und
             Signaturüberprüfungsaktionen erfolgen.

     -t Lebensdauer
             Setzt eine maximale Lebensdauer beim Hinzufügen von Identitäten zum Vermittler. Die
             Lebensdauer kann in Sekunden oder in einem in sshd_config(5) spezifizierten
             Zeitformat angegeben werden.

     -v      Ausführlicher Modus. Führt dazu, dass ssh-add Fehlersuchmeldungen über seinen
             Fortschritt ausgibt. Dies ist zur Fehlersuche bei Problemen hilfreich. Wird die
             Option -v mehrmals angegeben, erhöht dies die Ausführlichkeit. Maximal drei sind
             möglich.

     -X      Entsperrt den Vermittler.

     -x      Sperrt den Vermittler mit einem Passwort.

UMGEBUNGSVARIABLEN

     DISPLAY, SSH_ASKPASS und SSH_ASKPASS_REQUIRE
             Falls ssh-add eine Passphrase benötigt, wird es diese vom aktuellen Terminal
             einlesen, falls es von einem Terminal ausgeführt wurde. Falls ssh-add über kein
             zugeordnetes Terminal verfügt, sondern mit gesetztem DISPLAY und SSH_ASKPASS
             ausgeführt wurde, wird es das durch SSH_ASKPASS festgelegte Programm (standardmäßig
             »ssh-askpass«) ausführen und ein X11-Fenster öffnen, um die Passphrase einzulesen.
             Dies ist insbesondere nützlich, wenn ssh-add von einer .xsession oder einem
             zugehörigen Skript ausgeführt wird.

             SSH_ASKPASS_REQUIRE erlaubt weitere Kontrolle über die Verwendung eines Programms
             zur Abfrage eines Passworts. Falls diese Variable auf »never« gesetzt ist, dann wird
             ssh-add niemals versuchen, ein solches zu verwenden. Falls sie auf »prefer« gesetzt
             ist, dann wird ssh-add bevorzugt das Programm zur Abfrage eines Passworts statt des
             TTY verwenden, wenn es Passwörter anfordert. Falls diese Variable schließlich auf
             »force« gesetzt ist, dann wird das Programm zur Abfrage eines Passworts für
             sämtliche Passphraseneingaben verwandt, unabhängig davon, ob DISPLAY gesetzt ist.

     SSH_AUTH_SOCK
             Kennzeichnet den Pfad eines zur Kommunikation mit dem Vermittler verwandten
             UNIX-domain -Sockets.

     SSH_SK_PROVIDER
             Gibt einen Pfad zu einer Bibliothek an, die beim Laden jedes FIDO-Authentifikator-
             basierten Schlüssels verwandt wird. Dies setzt die standardmäßige, eingebaute USB-
             HID-Unterstützung außer Kraft.

DATEIEN

     ~/.ssh/id_dsa
     ~/.ssh/id_ecdsa
     ~/.ssh/id_ecdsa_sk
     ~/.ssh/id_ed25519
     ~/.ssh/id_ed25519_sk
     ~/.ssh/id_rsa
             Enthält die DSA-, ECDSA-, Authentifikator-basierende ECDSA-, Ed25519-,
             Authentifikator-basierende Ed25519- oder RSA-Authentifizierungsidentität des
             Benutzers.

     Identitätsdateien sollten ausschließlich durch den Benutzer lesbar sein. Beachten Sie, dass
     ssh-add Identitätsdateien ignoriert, auf die andere zugreifen können.

EXIT-STATUS

     Bei Erfolg ist der Exit-Status 0; 1 falls der angegebene Befehl fehlschlägt und 2 falls
     ssh-add nicht in der Lage ist, den Authentifzierungsvermittler zu erreichen.

SIEHE AUCH

     ssh(1), ssh-agent(1), ssh-askpass(1), ssh-keygen(1), sshd(8)

AUTOREN

     OpenSSH ist eine Ableitung der ursprünglichen und freien SSH-1.2.12-Veröffentlichung durch
     Tatu Ylonen. Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos, Theo de Raadt und Dug
     Song entfernten viele Fehler, fügten neuere Funktionalitäten wieder hinzu und erstellten
     OpenSSH. Markus Friedl steuerte die Unterstützung für SSH-Protokollversion 1.5 und 2.0 bei.

ÜBERSETZUNG

     Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann
     <debian@helgefjell.de> erstellt.

     Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version
     3: https://www.gnu.org/licenses/gpl-3.0.html oder neuer bezüglich der Copyright-Bedingungen.
     Es wird KEINE HAFTUNG übernommen.

     Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-
     Mail an die Mailingliste der Übersetzer: debian-l10n-german@lists.debian.org .