Schlüsselbasierte RSA-Authentifizierung auf UNIX- und Linux®-Betriebssystemen aktivieren

Die schlüsselbasierte RSA-Authentifizierung kann als Alternative zur einfachen Authentifizierung über Kennwörter verwendet werden.

1. Verwenden Sie das Tool ssh-keygen, um ein Schlüsselpaar zu erstellen.
   1. Melden Sie sich als Administrator an, der auf dem Serviceformular definiert ist.
   2. Starten Sie das Tool ssh-keygen. Setzen Sie den folgenden Befehl ab.

      mydesktop$# ssh-keygen -t rsa

   3. Akzeptieren Sie an der folgenden Eingabeaufforderung die Standardvorgabe oder geben Sie den Dateipfad ein, in dem das Schlüsselpaar gespeichert werden soll. Drücken Sie dann die Eingabetaste.

      Generating public/private dsa key pair.
      Enter the file in which to save the key (home/root/.ssh/id_rsa):

   4. Akzeptieren Sie an der folgenden Eingabeaufforderung den Standardvorgabe oder geben Sie die Kennphrase ein. Drücken Sie dann die Eingabetaste.

      Enter the passphrase (empty for no passphrase): Kennphrase

   5. Bestätigen Sie an der folgenden Eingabeaufforderung die Auswahl der Kennphrase und drücken Sie dann die Eingabetaste.

      Enter the same passphrase again: Kennphrase

      Beispiel für eine Systemantwort:

      Your identification was saved in /home/root/.ssh/id_rsa.
      Your public key was saved in /home/root/.ssh/id_rsa.pub. 
      The key fingerprint is this value:
      2c:3f:a4:be:46:23:47:19:f7:dc:74:9b:69:24:4a:44 root@ps701

      Anmerkung: Obwohl das Tool ssh-keygen leere Kennphrasen akzeptiert, ist die Kennphrase auf dem Serviceformular erforderlich.
2. Prüfen Sie, ob die Schlüssel generiert wurden.
   1. Setzen Sie die folgenden Befehle ab.

      mydesktop$ cd $HOME/.ssh
        
       mydesktop$ ls -l

      Beispiel für eine Systemantwort:

      -rw------- 1 root   root   883 Jan 21 11:52 id_rsa
      -rw-r--r-- 1 root   root   223 Jan 21 11:52 id_rsa.pub

   2. Setzen Sie den folgenden Befehl ab.

      mydesktop$ cat id_rsa

      Beispiel für eine Systemantwort:

        -----BEGIN RSA PRIVATE KEY-----
      Proc-Type: 4,ENCRYPTED
      DEK-Info: DES-EDE3-CBC,7F4CF1E209817BA0
      
      GuIQh4EdIp2DY1KfgB3eHic1InCG5VC9/dumHd7AqEnlo241fRuIo8zgO87GV+tk
      cvKd/pPCGhmyCZy/are0wZt3KLYWUyoN7i+8H2Khk8LmaspD6Tx309VHTfCyoJsu
      jtuR5c4HbcRtOYhMByHEqllEst1azzlIrO75Qj5cUG01K1MbdTeXq1xUGjo97s+V
      gEOokMQ+JmaJD9lrbiMz4wjWRtREjHfc1VYTA+ZE1W3HT3PfrjCnHm9RKKFaA6kM
      fPInefQgdzhCa0mCz+HOKJfkpfPh8ufGM9Jfb99VjZdI77LHeNN4VqeQ/VyPH7pn
      wp7GbEJ8g6iX4BWUWpXUVStfYNQTV8Dis7ayZtr3g/o+AKnh/dGnk1SHHNFgUUFf/
      +E0EXMokHSqqOzwf4t8xp4upnnS/7ag5MIVcU5/iWGW4sDEw7xfB25zD4lbvVK5
      kSZeWLgm79wMipKP90iEELPqO6cS2yPXd+ADfHs7FWPQW0UYGFeMnHa/
      tlglO5Pxo7ek2iR57mazmx33cofIX6E/ZI9XLysp5TR6Npq1x8KCv2Dk2x3QSH8F54EQmQ2+
      5uDsPA9Hg1B+agkBh/1g3tfevT01cCtUkQGl2ubhrNGB2SiiyKgw9Ks0AL3TO0ul
      D69D18r6Y6s3pHQ9LYAs6EIq3/5dqNYW8eLQ5eINUIlHBp9ep8+quyqSfB3qPCBW
      Db+qI09pYhkTrGBD8l5eQqs1T1h2gJsY2yyYV/Cp2m4fI+uHItCgSlkPROnj27Xh
      p6HAPaFA0zWOz1lmVNYhTbJZlbbwYyf/OKmYuOklSuQ=
      -----END RSA PRIVATE KEY-----

   3. Setzen Sie den folgenden Befehl ab.

      mydesktop$ cat id_rsa.pub

      Beispiel für eine Systemantwort:

      ssh-rsaAAB3NzaC1yc2EAAAABIwAAAIEA9xjGJ+8DLrxSQfVxXYUx4lc9copCG4HwD3TLO5i
      fezBQx0e9UnIWNFi4Xan3S8mYd6L+TfCJkVZ+YplLAe367/vhc1nDzfNRPJ95YnATefj
      YEa48lElu7uq1uofM+sZ/b0p7fIWvIRRbuEDWHHUmneoX8U/ptKFZzRpb/
      vTE6nE= root@ps0701

3. Aktivieren Sie die schlüsselbasierte Authentifizierung im Verzeichnis /etc/ssh auf dem SSH-Server.
   1. Stellen Sie sicher, dass die folgenden Zeilen in der Datei sshd_config vorhanden sind:

      # Should we allow Identity (SSH version 1) authentication?
      	RSAAuthentication yes
        
      	# Should we allow Pubkey (SSH version 2) authentication?
      	PubkeyAuthentication yes
              
      	# Where do we look for authorized public keys?
      # If it doesn't start with a slash, then it is
      # relative to the user's home directory
      AuthorizedKeysFile .ssh/authorized_keys

   2. Starten Sie den SSH-Server erneut.
4. Kopieren Sie die Datei rsa.pub auf den SSH-Server.
5. Wenn die Datei authorized_keys bereits vorhanden ist, entfernen Sie alle no-pty-Einschränkungen.
6. Fügen Sie den öffentlichen Schlüssel zur Datei authorized_keys im Verzeichnis /.ssh hinzu.
   Setzen Sie den folgenden Befehl ab.

   ssh-server$ cat ../id_rsa.pub >> authorized_keys

   Anmerkung: Dieser Befehl verknüpft den öffentlichen RSA-Schlüssel mit der Datei authorized_keys.
   Beispiel: $HOME/.ssh/authorized_keys. Wenn die Datei nicht vorhanden ist, wird sie vom Befehl erstellt.
7. Kopieren Sie die Datei id_rsa mit dem privaten Schlüssel auf die Client-Workstation, auf der Tivoli Directory Integrator ausgeführt wird.
8. Legen Sie den Eigentumswert des privaten Schlüssels fest. Wenn es sich beim Tivoli Directory Integrator-Server um einen UNIX- oder Linuxserver handelt, verwenden Sie chmod, um den Berechtigungswert für den privaten Schlüssel auf 600 zu setzen.
   Anmerkung:

   • Führen Sie diese Schritte aus. Wenn Sie sich über den Client-Computer am Server anmelden, werden Sie nicht zur Eingabe eines Benutzerkennworts, sondern zur Eingabe einer Kennphrase für den Schlüssel aufgefordert.
   • Wenn der installierte SSH-Server die AES-128-CBC-Verschlüsselung verwendet, kann RXA den privaten Schlüssel nicht aus der Datei abrufen. Die schlüsselbasierte RSA-Authentifizierung funktioniert nicht. Zur Unterstützung der schlüsselbasierten RSA-Authentifizierung müssen Sie eine der folgenden Aktionen ausführen:
     • Installieren Sie einen SSH-Server, der die DES-EDE3-CBC-Verschlüsselung verwendet.
     • Installieren Sie das Paket RXA 2.3.0.9 in Ihrer Umgebung. RXA 2.3.0.9 unterstützt die AES-128-CBC-Verschlüsselung.

       RXA 2.3.0.9 ist im Basisrelease von Tivoli Directory Integrator Version 7.1.1 sowie in Tivoli Directory Integrator Version 7.0 Fixpack 8 und Tivoli Directory Integrator Version 7.1 Fixpack 7 enthalten.