Mi sesión SSH no se inicia
Las sesiones SSH enrutadas a través de VaultPAM dependen de que el connector alcance el host de destino en el puerto TCP 22 (o un puerto SSH personalizado). Cuando una sesión no se abre, casi siempre hay cinco causas raíz responsables. Trabaje a través de ellas en el orden indicado aquí — los problemas del connector y de red son mucho más comunes que los problemas de credenciales o claves.
Síntomas
- Hacer clic en Launch Session muestra un indicador de carga y luego un banner de error.
- La ventana de sesión se abre brevemente y luego se cierra con un mensaje como:
SSH connection refusedHost unreachableAuthentication failedHost key verification failedPermission denied (publickey)
- La sesión nunca aparece en la vista Active Sessions.
Causas
1. El connector está desconectado
El connector que enruta al host de destino debe estar Online. Si está Offline, Degraded o Needs recovery, todos los intentos de sesión a través de él fallarán.
Verificación: Abra Connectors en la barra lateral. Busque el connector asignado al Safe de destino. Confirme que la columna de estado muestra Online.
Solución: Siga el manual My connector is offline.
2. El puerto 22 está bloqueado entre el connector y el host de destino
La máquina del connector debe poder alcanzar el host de destino en el puerto SSH (por defecto 22). Una regla de cortafuegos, grupo de seguridad o cortafuegos basado en host (p. ej., ufw, Windows Firewall) puede estar bloqueándolo.
Verificación: Desde la máquina del connector, ejecute:
nc -zv <target-host> 22
o
ssh -v <username>@<target-host>
Una respuesta Connection refused o timeout confirma un bloqueo de red.
Solución: Actualice el cortafuegos o grupo de seguridad para permitir TCP 22 desde la IP del connector hacia el destino. Si el host de destino utiliza un puerto SSH no estándar, verifique que el puerto correcto esté configurado en la configuración del Safe: Safes → seleccionar Safe → Edit → Connection settings → Port.
3. Nombre de usuario incorrecto
El nombre de usuario utilizado para la conexión SSH debe existir en el host de destino y debe coincidir exactamente (los nombres de usuario de Linux distinguen entre mayúsculas y minúsculas).
Verificación: En Safes → seleccionar Safe → Edit → Credentials, confirme que el nombre de usuario es correcto. Errores comunes: root vs ubuntu, admin vs administrator, o un valor por defecto residual de una plantilla.
Solución: Actualice el registro de credencial para usar el nombre de usuario correcto.
4. Discrepancia de clave de host
VaultPAM registra la clave de host SSH en la primera conexión. Si el host de destino fue reconstruido y sus claves de servidor SSH cambiaron (p. ej., después de una reinstalación del SO), VaultPAM se negará a conectar para proteger contra ataques de intermediario.
Síntomas: El mensaje de error contiene Host key verification failed o REMOTE HOST IDENTIFICATION HAS CHANGED.
Verificación: Abra Safes → seleccionar Safe → Edit → Connection settings. Si hay una huella digital de clave de host almacenada visible, compárela con la clave de host actual ejecutando en la máquina de destino:
ssh-keygen -lf /etc/ssh/ssh_host_ed25519_key.pub
Solución: Si el cambio de clave es esperado (reconstrucción legítima), haga clic en Reset host key en la configuración de conexión del Safe. VaultPAM aceptará la nueva clave en el siguiente intento de conexión y la almacenará para verificaciones futuras.
5. Clave SSH faltante o rechazada
Si el Safe está configurado para usar autenticación de clave pública en lugar de checkout de contraseña, el connector debe tener acceso a una clave privada que esté autorizada en el host de destino.
Verificación: En Safes → seleccionar Safe → Edit → Credentials, confirme que el tipo de credencial está establecido en SSH Key y que hay una clave adjunta. Verifique que la clave pública correspondiente esté listada en ~/.ssh/authorized_keys en el host de destino para el usuario configurado.
Solución: Cargue la clave privada correcta al registro de credencial, o agregue la clave pública del connector a authorized_keys en el host de destino.
Pasos de resolución
- Abra Connectors en la barra lateral y confirme que el connector asignado al Safe de destino muestra Online. Si no es así, siga My connector is offline antes de continuar.
- Desde la máquina del connector, ejecute
nc -zv <target-host> 22para confirmar que el puerto TCP 22 es accesible. Si está bloqueado, actualice la regla de cortafuegos o grupo de seguridad relevante. - Abra Safes → seleccionar Safe → Edit → Credentials y verifique el nombre de usuario. Corríjalo si no coincide con la cuenta del host de destino.
- Si el error menciona una discrepancia de clave de host, abra Safes → seleccionar Safe → Edit → Connection settings y haga clic en Reset host key, luego reintente la sesión.
- Si el Safe utiliza autenticación de clave SSH, confirme que una clave privada está adjunta al registro de credencial y que la clave pública coincidente está en
~/.ssh/authorized_keysen el host de destino. - Después de cada cambio, reintente la sesión haciendo clic en Launch Session en el Safe.
Ruta de escalamiento
Si ha trabajado a través de las cinco causas y la sesión aún falla:
- Anote el mensaje de error exacto mostrado en el banner de sesión.
- En la máquina del connector, recopile las últimas 100 líneas del registro del connector:
- Docker:
docker logs -n 100 vaultpam-connector - systemd:
journalctl -u vaultpam-connector -n 100
- Docker:
- Ejecute
nc -zv <target-host> 22desde la máquina del connector e incluya la salida. - Abra un ticket de soporte con: nombre del connector, host de destino (enmascarado si es sensible), mensaje de error exacto, salida del registro y resultado de
nc.