Schlüsselbasierte DSA-Authentifizierung auf UNIX- und Linux®-Betriebssystemen aktivieren
Die schlüsselbasierte DSA-Authentifizierung kann als Alternative zur einfachen Authentifizierung über Kennwörter verwendet werden.
Informationen zu diesem Vorgang
Führen Sie diese Tasks abhängig von der Verfügbarkeit von ssh-keygen auf der Maschine, auf der
Tivoli Directory Integrator installiert ist, auf einer der folgenden Maschinen aus.
- Wenn ssh-keygen auf der Maschine, auf der Tivoli Directory Integrator installiert ist, nicht installiert oder nicht verfügbar ist, führen Sie diese Task auf der verwalteten Ressource aus.
- Wenn ssh-keygen installiert oder verfügbar ist, sollten Sie diese Task auf der Maschine ausführen, auf der Tivoli Directory Integrator installiert ist.
Vorgehensweise
- Verwenden Sie das Tool ssh-keygen, um ein Schlüsselpaar zu erstellen.
- Melden Sie sich als Administrator an, der auf dem Serviceformular definiert ist.
- Starten Sie das Tool ssh-keygen. Setzen Sie den folgenden Befehl ab.
[root@ps2372 root]# ssh-keygen -t dsa
- Akzeptieren Sie an der folgenden Eingabeaufforderung die Standardvorgabe oder geben Sie den
Dateipfad ein, in dem das Schlüsselpaar gespeichert werden soll. Drücken Sie dann die Eingabetaste.
Generating public/private dsa key pair. Enter the file in which to save the key (/root/.ssh/id_dsa):
- Akzeptieren Sie an der folgenden Eingabeaufforderung den Standardvorgabe oder geben Sie die
Kennphrase ein. Drücken Sie dann die Eingabetaste.
Enter the passphrase (empty for no passphrase): Kennphrase
- Bestätigen Sie an der folgenden Eingabeaufforderung die Auswahl der Kennphrase und drücken Sie dann die Eingabetaste.
Enter the same passphrase again: Kennphrase
Beispiel für eine Systemantwort:Your identification is saved in /root/.ssh/id_dsa. Your public key is saved in /root/.ssh/id_dsa.pub. The key fingerprint is this one: 9e:6c:0e:e3:d9:4f:37:f1:dd:34:fc:20:36:67:b2:94 root@ps2372.persistent.co.in
Anmerkung: Obwohl das Tool ssh-keygen leere Kennphrasen akzeptiert, ist die Kennphrase auf dem Serviceformular erforderlich.
- Prüfen Sie, ob die Schlüssel generiert wurden.
- Setzen Sie die folgenden Befehle ab.
Beispiel für eine Systemantwort:[root@ps2372 root]# cd root/.ssh [root@ps2372 .ssh]# ls –l
-rwxr-xr-x 1 root root 736 Dec 20 14:33 id_dsa -rw-r--r-- 1 root root 618 Dec 20 14:33 id_dsa.pub
- Setzen Sie den folgenden Befehl ab.
Beispiel für eine Systemantwort:[root@ps2372 .ssh]# cat id_dsa
-----BEGIN DSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,32242D3525AEDC64 MOZ0m/BCLFNS+ujlcnQR3gOIb5w5hwu1jByw8/kyvTMIHqAx1ANgqV1gFBGX7F0 vdfmNQKnjLcH8cGueUYnmx4vSu9FnKK91abNW9Nd67MDtJEztHckahXDYy7oX1t LNh3QtaZ32AgHro7QxxCGIHQeDaiGePg7WhVqH8EXo3c+/L/5sQpfx0eG30nrDjl +cmXgmzU2uQsPL2ckP9NQTgRU4QgWYDBle0YhUXTAG8eW9XG9iCm9iFO4WLWtWd24 Q799A1w6UJReHKQq+vdrN76PgK32NMNmindOqzKVzFL4TsjLyGyWofImpG65oO FSc4GXTsRkZ0OQxixakpKShRpJ5pW6V1PN4tR/RCRWmpW/yZTr4qtQzcw+AY6ONA QEVtJQeN69LJncuy9MY/K2F7hn5lCYy/TOnM1OOD6/a1R6U4xoH6qkasLGchiTIP /NIfrITQho49I7cIJ9HmW54Bmeqh2U9WiSD4aSyxL1Mm6vGoc81U2XjJmcUmQ9XHmhx R4iWaATaz6RTsxBksNhn7jVx34DDvRDJ4MSjLaNpjnvAdYTM7YislsBulDTr8ZF6P9 Fa7VyFP4TyCjUM1w== -----END DSA PRIVATE KEY-----
- Setzen Sie den folgenden Befehl ab.
Beispiel für eine Systemantwort:[root@ps2372 .ssh]# cat id_dsa.pub
ssh-dsa AAAAB3NzaC1kc3MAAACBAIHozHi6CHwvGDt7uEYkEmn4STOj2neOo5mPOZFpBjs KzzWBqBuAxoMwMgHy3zZAIgmzMwIVQum4/uIHlhOx0Q4QDLJbveFShuXxBjm5BOU1 rCCSeqYCOPdub9hx3uzZaTNqfFIvO4/NTcjp7pgQqBdvWs0loyYViYVWpVQmMdif AAAAFQDhaD9m//n07C+R+X46g5iTYFA9/QAAAIBVbBXXL3/+cHfbyKgCCe2CqjRESQ i2nwiCPwyVzzwfHw4MyoYe5Nk8sfTiweY8Lus7YXXUZCPbnCMkashsbFVO9w /q3xmbrKfBTS+QOjs6nebftnxwk/RrwPmb9MS/kdWMEigdCoum9MmyJlOw5fwGl P1ufVHn+v9uTKWpPgr0egAAAIArKV4Yr3mFciTbzcGCicW+axekoCKq520Y68mQ 1xrI4HJVnTOb6J1SqvyK68eC2I5lo1kJ6aUixJt/D3d/GHnA+i5McbJgLsNuiDs RI3Q6v3ygKeQaPtgITKS7UY4S0FBQlw9q7qjHVphSOPvo2VUHkG6hYiyaLvLrX Jo7JPk6tQ== root@ps2372.persistent.co.in
- Setzen Sie die folgenden Befehle ab.
- Aktivieren Sie die schlüsselbasierte Authentifizierung im Verzeichnis /etc/ssh
auf dem SSH-Server.
- Stellen Sie sicher, dass die folgenden Zeilen in der Datei sshd_config vorhanden sind:
# Should we allow Identity (SSH version 1) authentication? DSAAuthentication yes # Should we allow Pubkey (SSH version 2) authentication? PubkeyAuthentication yes # Where do we look for authorized public keys? # If it doesn't start with a slash, then it is # relative to the user's home directory AuthorizedKeysFile .ssh/authorized_keys
- Starten Sie den SSH-Server erneut.
- Stellen Sie sicher, dass die folgenden Zeilen in der Datei sshd_config vorhanden sind:
- Kopieren Sie die Datei dsa.pub auf den SSH-Server.
- Wenn eine Datei authorized_keys bereits vorhanden ist, entfernen Sie alle no-pty-Einschränkungen.
- Fügen Sie den öffentlichen Schlüssel zur Datei authorized_keys im Verzeichnis
/.ssh hinzu. Setzen Sie den folgenden Befehl ab:
[root@ps2372 .ssh]# cat id_dsa.pub >> authorized_keys
Anmerkung: Dieser Befehl verknüpft den öffentlichen DSA-Schlüssel mit der Datei authorized_keys.Beispiel: $HOME/.ssh/ authorized_keys. Wenn die Datei nicht vorhanden ist, wird sie vom Befehl erstellt. - Kopieren Sie die Datei id_dsa mit dem privaten Schlüssel auf die Client-Workstation, auf der Tivoli Directory Integrator ausgeführt wird.
- Legen Sie den Eigentumswert des privaten Schlüssels fest. Wenn es sich beim
Tivoli Directory Integrator-Server um einen UNIX- oder Linuxserver handelt, verwenden Sie
chmod, um den Berechtigungswert für den privaten Schlüssel auf 600 zu setzen. Anmerkung:
- Führen Sie diese Schritte aus. Wenn Sie sich über den Client-Computer am Server anmelden, werden Sie nicht zur Eingabe eines Benutzerkennworts, sondern zur Eingabe einer Kennphrase für den Schlüssel aufgefordert.
- Wenn der installierte SSH-Server die AES-128-CBC-Verschlüsselung verwendet, kann RXA den privaten
Schlüssel nicht aus der Datei abrufen. Die schlüsselbasierte RSA-Authentifizierung funktioniert
nicht. Zur Unterstützung der schlüsselbasierten RSA-Authentifizierung müssen Sie eine der folgenden Aktionen
ausführen:
- Installieren Sie einen SSH-Server, der die DES-EDE3-CBC-Verschlüsselung verwendet.
- Installieren Sie das Paket RXA 2.3.0.9 in Ihrer Umgebung. RXA 2.3.0.9 unterstützt die
AES-128-CBC-Verschlüsselung.
RXA 2.3.0.9 ist im Basisrelease von Tivoli Directory Integrator Version 7.1.1 sowie in Tivoli Directory Integrator Version 7.0 Fixpack 8 und Tivoli Directory Integrator Version 7.1 Fixpack 7 enthalten.