Schlüsselbasierte DSA-Authentifizierung auf UNIX- und Linux-Betriebssystemen aktivieren

Die schlüsselbasierte DSA-Authentifizierung kann als Alternative zur einfachen Authentifizierung über Kennwörter verwendet werden.

1. Verwenden Sie das Tool ssh-keygen, um ein Schlüsselpaar zu erstellen.
   1. Melden Sie sich als Administrator an, der auf dem Serviceformular definiert ist.
   2. Starten Sie das Tool ssh-keygen. Setzen Sie den folgenden Befehl ab:

      [root@ps2372 root]# ssh-keygen -t dsa

   3. Akzeptieren Sie an der folgenden Eingabeaufforderung die Standardvorgabe oder geben Sie den Dateipfad ein, in dem das Schlüsselpaar gespeichert werden soll. Drücken Sie dann die Eingabetaste.

      Generating public/private dsa key pair.
      Enter the file in which to save the key (/root/.ssh/id_dsa):

   4. Akzeptieren Sie an der folgenden Eingabeaufforderung den Standardvorgabe oder geben Sie die Kennphrase ein. Drücken Sie dann die Eingabetaste.

      Enter the passphrase (empty for no passphrase): Kennphrase

   5. Bestätigen Sie an der folgenden Eingabeaufforderung die Auswahl der Kennphrase und drücken Sie dann die Eingabetaste.

      Enter the same passphrase again: Kennphrase

      Beispiel für eine Systemantwort:

      Your identification is saved in /root/.ssh/id_dsa.
      Your public key is saved in /root/.ssh/id_dsa.pub. 
      The key fingerprint is this one:
      9e:6c:0e:e3:d9:4f:37:f1:dd:34:fc:20:36:67:b2:94 root@ps2372.persistent.co.in

      Anmerkung: Obwohl das Tool ssh-keygen leere Kennphrasen akzeptiert, ist die Kennphrase auf dem Serviceformular erforderlich.
2. Prüfen Sie, ob die Schlüssel generiert wurden.
   1. Setzen Sie die folgenden Befehle ab:

       [root@ps2372 root]# cd root/.ssh
        
       [root@ps2372 .ssh]# ls –l

      Beispiel für eine Systemantwort:

       -rwxr-xr-x 1 root root 736 Dec 20 14:33 id_dsa 
       -rw-r--r-- 1 root root 618 Dec 20 14:33 id_dsa.pub

   2. Setzen Sie den folgenden Befehl ab:

      [root@ps2372 .ssh]# cat id_dsa 

      Beispiel für eine Systemantwort:

      -----BEGIN DSA PRIVATE KEY----- 
      Proc-Type: 4,ENCRYPTED 
      DEK-Info: DES-EDE3-CBC,32242D3525AEDC64 
      MOZ0m/BCLFNS+ujlcnQR3gOIb5w5hwu1jByw8/kyvTMIHqAx1ANgqV1gFBGX7F0
      vdfmNQKnjLcH8cGueUYnmx4vSu9FnKK91abNW9Nd67MDtJEztHckahXDYy7oX1t
      LNh3QtaZ32AgHro7QxxCGIHQeDaiGePg7WhVqH8EXo3c+/L/5sQpfx0eG30nrDjl
      +cmXgmzU2uQsPL2ckP9NQTgRU4QgWYDBle0YhUXTAG8eW9XG9iCm9iFO4WLWtWd24
      Q799A1w6UJReHKQq+vdrN76PgK32NMNmindOqzKVzFL4TsjLyGyWofImpG65oO
      FSc4GXTsRkZ0OQxixakpKShRpJ5pW6V1PN4tR/RCRWmpW/yZTr4qtQzcw+AY6ONA
      QEVtJQeN69LJncuy9MY/K2F7hn5lCYy/TOnM1OOD6/a1R6U4xoH6qkasLGchiTIP
      /NIfrITQho49I7cIJ9HmW54Bmeqh2U9WiSD4aSyxL1Mm6vGoc81U2XjJmcUmQ9XHmhx
      R4iWaATaz6RTsxBksNhn7jVx34DDvRDJ4MSjLaNpjnvAdYTM7YislsBulDTr8ZF6P9
      Fa7VyFP4TyCjUM1w== 
                        -----END DSA PRIVATE KEY----- 

   3. Setzen Sie den folgenden Befehl ab:

       [root@ps2372 .ssh]# cat id_dsa.pub 

      Beispiel für eine Systemantwort:

            ssh-dsa   
      AAAAB3NzaC1kc3MAAACBAIHozHi6CHwvGDt7uEYkEmn4STOj2neOo5mPOZFpBjs
      KzzWBqBuAxoMwMgHy3zZAIgmzMwIVQum4/uIHlhOx0Q4QDLJbveFShuXxBjm5BOU1
      rCCSeqYCOPdub9hx3uzZaTNqfFIvO4/NTcjp7pgQqBdvWs0loyYViYVWpVQmMdif
      AAAAFQDhaD9m//n07C+R+X46g5iTYFA9/QAAAIBVbBXXL3/+cHfbyKgCCe2CqjRESQ
      i2nwiCPwyVzzwfHw4MyoYe5Nk8sfTiweY8Lus7YXXUZCPbnCMkashsbFVO9w
      /q3xmbrKfBTS+QOjs6nebftnxwk/RrwPmb9MS/kdWMEigdCoum9MmyJlOw5fwGl
      P1ufVHn+v9uTKWpPgr0egAAAIArKV4Yr3mFciTbzcGCicW+axekoCKq520Y68mQ
      1xrI4HJVnTOb6J1SqvyK68eC2I5lo1kJ6aUixJt/D3d/GHnA+i5McbJgLsNuiDs
      RI3Q6v3ygKeQaPtgITKS7UY4S0FBQlw9q7qjHVphSOPvo2VUHkG6hYiyaLvLrX
      Jo7JPk6tQ== root@ps2372.persistent.co.in 

3. Aktivieren Sie die schlüsselbasierte Authentifizierung im Verzeichnis /etc/ssh auf dem SSH-Server (verwaltete Ressource).
   1. Stellen Sie sicher, dass die folgenden Zeilen in der Datei sshd_config vorhanden sind:

      # Should we allow Identity (SSH version 1) authentication?
      	DSAAuthentication yes
        
      	# Should we allow Pubkey (SSH version 2) authentication?
      	PubkeyAuthentication yes
              
      	# Where do we look for authorized public keys?
      # If it doesn't start with a slash, then it is
      # relative to the user's home directory
      AuthorizedKeysFile .ssh/authorized_keys

   2. Starten Sie den SSH-Server erneut.
4. Kopieren Sie die Datei dsa.pub auf den SSH-Server (verwaltete Ressource).
5. Wenn eine Datei authorized_keys bereits vorhanden ist, entfernen Sie alle no-pty-Einschränkungen.
6. Fügen Sie den öffentlichen Schlüssel zur Datei authorized_keys im Verzeichnis /.ssh hinzu. Setzen Sie den folgenden Befehl ab:

   [root@ps2372 .ssh]# cat id_dsa.pub >> authorized_keys

   Anmerkung: Dieser Befehl verknüpft den öffentlichen DSA-Schlüssel mit der Datei authorized_keys.
   Beispiel: $HOME/.ssh/ authorized_keys. Wenn die Datei nicht vorhanden ist, wird sie vom Befehl erstellt.
7. Kopieren Sie die Datei id_dsa mit dem privatem Schlüssel auf die Client-Workstation und legen Sie den zugehörigen Eigentumswert auf 755 fest.
   Anmerkung:

   • Führen Sie diese Schritte aus. Wenn Sie sich über den Client-Computer am Server anmelden, werden Sie nicht zur Eingabe eines Benutzerkennworts, sondern zur Eingabe einer Kennphrase für den Schlüssel aufgefordert.
   • Wenn der installierte SSH-Server die AES-128-CBC-Verschlüsselung verwendet, kann RXA den privaten Schlüssel nicht aus der Datei abrufen. Die schlüsselbasierte DSA-Authentifizierung funktioniert nicht. Zur Unterstützung der schlüsselbasierten DSA-Authentifizierung müssen Sie eine der folgenden Aktionen ausführen:
     • Installieren Sie einen SSH-Server, der die DES-EDE3-CBC-Verschlüsselung verwendet.
     • Installieren Sie das Paket RXA 2.3.0.9 in Ihrer Umgebung. RXA 2.3.0.9 unterstützt die AES-128-CBC-Verschlüsselung.

       RXA 2.3.0.9 ist im Basisrelease von Tivoli Directory Integrator Version 7.1.1 sowie in Tivoli Directory Integrator Version 7.0 Fixpack 8 und Tivoli Directory Integrator Version 7.1 Fixpack 7 enthalten.