Schlüsselbasierte DSA-Authentifizierung auf UNIX- und Linux®-Betriebssystemen aktivieren

Die schlüsselbasierte DSA-Authentifizierung kann als Alternative zur einfachen Authentifizierung über Kennwörter verwendet werden.

Informationen zu diesem Vorgang

Führen Sie diese Tasks abhängig von der Verfügbarkeit von ssh-keygen auf der Maschine, auf der Tivoli Directory Integrator installiert ist, auf einer der folgenden Maschinen aus.
  • Wenn ssh-keygen auf der Maschine, auf der Tivoli Directory Integrator installiert ist, nicht installiert oder nicht verfügbar ist, führen Sie diese Task auf der verwalteten Ressource aus.
  • Wenn ssh-keygen installiert oder verfügbar ist, sollten Sie diese Task auf der Maschine ausführen, auf der Tivoli Directory Integrator installiert ist.

Vorgehensweise

  1. Verwenden Sie das Tool ssh-keygen, um ein Schlüsselpaar zu erstellen.
    1. Melden Sie sich als Administrator an, der auf dem Serviceformular definiert ist.
    2. Starten Sie das Tool ssh-keygen.
      Setzen Sie den folgenden Befehl ab.
      [root@ps2372 root]# ssh-keygen -t dsa
    3. Akzeptieren Sie an der folgenden Eingabeaufforderung die Standardvorgabe oder geben Sie den Dateipfad ein, in dem das Schlüsselpaar gespeichert werden soll. Drücken Sie dann die Eingabetaste.
      Generating public/private dsa key pair.
      Enter the file in which to save the key (/root/.ssh/id_dsa):
    4. Akzeptieren Sie an der folgenden Eingabeaufforderung den Standardvorgabe oder geben Sie die Kennphrase ein. Drücken Sie dann die Eingabetaste.
      Enter the passphrase (empty for no passphrase): Kennphrase
    5. Bestätigen Sie an der folgenden Eingabeaufforderung die Auswahl der Kennphrase und drücken Sie dann die Eingabetaste.
      Enter the same passphrase again: Kennphrase
      Beispiel für eine Systemantwort:
      Your identification is saved in /root/.ssh/id_dsa.
      Your public key is saved in /root/.ssh/id_dsa.pub. 
      The key fingerprint is this one:
      9e:6c:0e:e3:d9:4f:37:f1:dd:34:fc:20:36:67:b2:94 root@ps2372.persistent.co.in
      Anmerkung: Obwohl das Tool ssh-keygen leere Kennphrasen akzeptiert, ist die Kennphrase auf dem Serviceformular erforderlich.
  2. Prüfen Sie, ob die Schlüssel generiert wurden.
    1. Setzen Sie die folgenden Befehle ab.
       [root@ps2372 root]# cd root/.ssh
        
       [root@ps2372 .ssh]# ls –l
      Beispiel für eine Systemantwort:
       -rwxr-xr-x 1 root root 736 Dec 20 14:33 id_dsa 
       -rw-r--r-- 1 root root 618 Dec 20 14:33 id_dsa.pub
    2. Setzen Sie den folgenden Befehl ab.
      [root@ps2372 .ssh]# cat id_dsa 
      Beispiel für eine Systemantwort:
      -----BEGIN DSA PRIVATE KEY----- 
      Proc-Type: 4,ENCRYPTED 
      DEK-Info: DES-EDE3-CBC,32242D3525AEDC64 
      MOZ0m/BCLFNS+ujlcnQR3gOIb5w5hwu1jByw8/kyvTMIHqAx1ANgqV1gFBGX7F0
      vdfmNQKnjLcH8cGueUYnmx4vSu9FnKK91abNW9Nd67MDtJEztHckahXDYy7oX1t
      LNh3QtaZ32AgHro7QxxCGIHQeDaiGePg7WhVqH8EXo3c+/L/5sQpfx0eG30nrDjl
      +cmXgmzU2uQsPL2ckP9NQTgRU4QgWYDBle0YhUXTAG8eW9XG9iCm9iFO4WLWtWd24
      Q799A1w6UJReHKQq+vdrN76PgK32NMNmindOqzKVzFL4TsjLyGyWofImpG65oO
      FSc4GXTsRkZ0OQxixakpKShRpJ5pW6V1PN4tR/RCRWmpW/yZTr4qtQzcw+AY6ONA
      QEVtJQeN69LJncuy9MY/K2F7hn5lCYy/TOnM1OOD6/a1R6U4xoH6qkasLGchiTIP
      /NIfrITQho49I7cIJ9HmW54Bmeqh2U9WiSD4aSyxL1Mm6vGoc81U2XjJmcUmQ9XHmhx
      R4iWaATaz6RTsxBksNhn7jVx34DDvRDJ4MSjLaNpjnvAdYTM7YislsBulDTr8ZF6P9
      Fa7VyFP4TyCjUM1w== 
                        -----END DSA PRIVATE KEY----- 
    3. Setzen Sie den folgenden Befehl ab.
       [root@ps2372 .ssh]# cat id_dsa.pub 
      Beispiel für eine Systemantwort:
            ssh-dsa   
      AAAAB3NzaC1kc3MAAACBAIHozHi6CHwvGDt7uEYkEmn4STOj2neOo5mPOZFpBjs
      KzzWBqBuAxoMwMgHy3zZAIgmzMwIVQum4/uIHlhOx0Q4QDLJbveFShuXxBjm5BOU1
      rCCSeqYCOPdub9hx3uzZaTNqfFIvO4/NTcjp7pgQqBdvWs0loyYViYVWpVQmMdif
      AAAAFQDhaD9m//n07C+R+X46g5iTYFA9/QAAAIBVbBXXL3/+cHfbyKgCCe2CqjRESQ
      i2nwiCPwyVzzwfHw4MyoYe5Nk8sfTiweY8Lus7YXXUZCPbnCMkashsbFVO9w
      /q3xmbrKfBTS+QOjs6nebftnxwk/RrwPmb9MS/kdWMEigdCoum9MmyJlOw5fwGl
      P1ufVHn+v9uTKWpPgr0egAAAIArKV4Yr3mFciTbzcGCicW+axekoCKq520Y68mQ
      1xrI4HJVnTOb6J1SqvyK68eC2I5lo1kJ6aUixJt/D3d/GHnA+i5McbJgLsNuiDs
      RI3Q6v3ygKeQaPtgITKS7UY4S0FBQlw9q7qjHVphSOPvo2VUHkG6hYiyaLvLrX
      Jo7JPk6tQ== root@ps2372.persistent.co.in 
  3. Aktivieren Sie die schlüsselbasierte Authentifizierung im Verzeichnis /etc/ssh auf dem SSH-Server.
    1. Stellen Sie sicher, dass die folgenden Zeilen in der Datei sshd_config vorhanden sind:
      # Should we allow Identity (SSH version 1) authentication?
      	DSAAuthentication yes
        
      	# Should we allow Pubkey (SSH version 2) authentication?
      	PubkeyAuthentication yes
              
      	# Where do we look for authorized public keys?
      # If it doesn't start with a slash, then it is
      # relative to the user's home directory
      AuthorizedKeysFile .ssh/authorized_keys
    2. Starten Sie den SSH-Server erneut.
  4. Kopieren Sie die Datei dsa.pub auf den SSH-Server.
  5. Wenn eine Datei authorized_keys bereits vorhanden ist, entfernen Sie alle no-pty-Einschränkungen.
  6. Fügen Sie den öffentlichen Schlüssel zur Datei authorized_keys im Verzeichnis /.ssh hinzu.
    Setzen Sie den folgenden Befehl ab:
    [root@ps2372 .ssh]# cat id_dsa.pub >> authorized_keys
    Anmerkung: Dieser Befehl verknüpft den öffentlichen DSA-Schlüssel mit der Datei authorized_keys.
    Beispiel: $HOME/.ssh/ authorized_keys. Wenn die Datei nicht vorhanden ist, wird sie vom Befehl erstellt.
  7. Kopieren Sie die Datei id_dsa mit dem privaten Schlüssel auf die Client-Workstation, auf der Tivoli Directory Integrator ausgeführt wird.
  8. Legen Sie den Eigentumswert des privaten Schlüssels fest. Wenn es sich beim Tivoli Directory Integrator-Server um einen UNIX- oder Linuxserver handelt, verwenden Sie chmod, um den Berechtigungswert für den privaten Schlüssel auf 600 zu setzen.
    Anmerkung:
    • Führen Sie diese Schritte aus. Wenn Sie sich über den Client-Computer am Server anmelden, werden Sie nicht zur Eingabe eines Benutzerkennworts, sondern zur Eingabe einer Kennphrase für den Schlüssel aufgefordert.
    • Wenn der installierte SSH-Server die AES-128-CBC-Verschlüsselung verwendet, kann RXA den privaten Schlüssel nicht aus der Datei abrufen. Die schlüsselbasierte RSA-Authentifizierung funktioniert nicht. Zur Unterstützung der schlüsselbasierten RSA-Authentifizierung müssen Sie eine der folgenden Aktionen ausführen:
      • Installieren Sie einen SSH-Server, der die DES-EDE3-CBC-Verschlüsselung verwendet.
      • Installieren Sie das Paket RXA 2.3.0.9 in Ihrer Umgebung. RXA 2.3.0.9 unterstützt die AES-128-CBC-Verschlüsselung.

        RXA 2.3.0.9 ist im Basisrelease von Tivoli Directory Integrator Version 7.1.1 sowie in Tivoli Directory Integrator Version 7.0 Fixpack 8 und Tivoli Directory Integrator Version 7.1 Fixpack 7 enthalten.