Activation de l'authentification par clé DSA sur les systèmes d'exploitation UNIX et Linux

Une autre solution consiste à utiliser l'authentification par clé DSA pour l'authentification par mot de passe simple.

1. Créez une paire de clés à l'aide de l'outil ssh-keygen.
   1. Connectez-vous en tant qu'administrateur défini sur le formulaire de service.
   2. Démarrez l'outil ssh-keygen. Saisissez la commande :

      [root@ps2372 root]# ssh-keygen -t dsa

   3. A l'invite suivante, acceptez le chemin par défaut ou entrez le chemin du fichier dans lequel vous souhaitez enregistrer la paire de clés, puis appuyez sur la touche Entrée.

      Generating public/private dsa key pair.
      Enter the file in which to save the key (/root/.ssh/id_dsa):

   4. A l'invite suivante, acceptez la valeur par défaut ou entrez la phrase passe appropriée, puis appuyez sur la touche Entrée.

      Enter the passphrase (empty for no passphrase): phrase passe

   5. A l'invite suivante, confirmez la phrase passe définie et appuyez sur la touche Entrée.

      Enter the same passphrase again: phrase passe

      Un exemple de réponse système est illustré ci-dessous :

      Your identification is saved in /root/.ssh/id_dsa.
      Your public key is saved in /root/.ssh/id_dsa.pub. 
      The key fingerprint is this one:
      9e:6c:0e:e3:d9:4f:37:f1:dd:34:fc:20:36:67:b2:94 root@ps2372.persistent.co.in

      Remarque : Bien que l'outil ssh-keygen accepte une phrase passe vide, la phrase passe est requise sur le formulaire de service.
2. Validez la génération des clés.
   1. Saisissez les commandes :

       [root@ps2372 root]# cd root/.ssh
        
       [root@ps2372 .ssh]# ls –l

      Un exemple de réponse système est illustré par le message suivant :

       -rwxr-xr-x 1 root root 736 Dec 20 14:33 id_dsa 
       -rw-r--r-- 1 root root 618 Dec 20 14:33 id_dsa.pub

   2. Saisissez la commande :

      [root@ps2372 .ssh]# cat id_dsa 

      Un exemple de réponse système est illustré par le message suivant :

      -----BEGIN DSA PRIVATE KEY----- 
      Proc-Type: 4,ENCRYPTED 
      DEK-Info: DES-EDE3-CBC,32242D3525AEDC64 
      MOZ0m/BCLFNS+ujlcnQR3gOIb5w5hwu1jByw8/kyvTMIHqAx1ANgqV1gFBGX7F0
      vdfmNQKnjLcH8cGueUYnmx4vSu9FnKK91abNW9Nd67MDtJEztHckahXDYy7oX1t
      LNh3QtaZ32AgHro7QxxCGIHQeDaiGePg7WhVqH8EXo3c+/L/5sQpfx0eG30nrDjl
      +cmXgmzU2uQsPL2ckP9NQTgRU4QgWYDBle0YhUXTAG8eW9XG9iCm9iFO4WLWtWd24
      Q799A1w6UJReHKQq+vdrN76PgK32NMNmindOqzKVzFL4TsjLyGyWofImpG65oO
      FSc4GXTsRkZ0OQxixakpKShRpJ5pW6V1PN4tR/RCRWmpW/yZTr4qtQzcw+AY6ONA
      QEVtJQeN69LJncuy9MY/K2F7hn5lCYy/TOnM1OOD6/a1R6U4xoH6qkasLGchiTIP
      /NIfrITQho49I7cIJ9HmW54Bmeqh2U9WiSD4aSyxL1Mm6vGoc81U2XjJmcUmQ9XHmhx
      R4iWaATaz6RTsxBksNhn7jVx34DDvRDJ4MSjLaNpjnvAdYTM7YislsBulDTr8ZF6P9
      Fa7VyFP4TyCjUM1w== 
                        -----END DSA PRIVATE KEY----- 

   3. Exécutez la commande :

       [root@ps2372 .ssh]# cat id_dsa.pub 

      Un exemple de réponse système est illustré par le message suivant :

            ssh-dsa   
      AAAAB3NzaC1kc3MAAACBAIHozHi6CHwvGDt7uEYkEmn4STOj2neOo5mPOZFpBjs
      KzzWBqBuAxoMwMgHy3zZAIgmzMwIVQum4/uIHlhOx0Q4QDLJbveFShuXxBjm5BOU1
      rCCSeqYCOPdub9hx3uzZaTNqfFIvO4/NTcjp7pgQqBdvWs0loyYViYVWpVQmMdif
      AAAAFQDhaD9m//n07C+R+X46g5iTYFA9/QAAAIBVbBXXL3/+cHfbyKgCCe2CqjRESQ
      i2nwiCPwyVzzwfHw4MyoYe5Nk8sfTiweY8Lus7YXXUZCPbnCMkashsbFVO9w
      /q3xmbrKfBTS+QOjs6nebftnxwk/RrwPmb9MS/kdWMEigdCoum9MmyJlOw5fwGl
      P1ufVHn+v9uTKWpPgr0egAAAIArKV4Yr3mFciTbzcGCicW+axekoCKq520Y68mQ
      1xrI4HJVnTOb6J1SqvyK68eC2I5lo1kJ6aUixJt/D3d/GHnA+i5McbJgLsNuiDs
      RI3Q6v3ygKeQaPtgITKS7UY4S0FBQlw9q7qjHVphSOPvo2VUHkG6hYiyaLvLrX
      Jo7JPk6tQ== root@ps2372.persistent.co.in 

3. Activez l'authentification par clé dans le répertoire /etc/ssh du serveur SSH, à savoir la ressource gérée.
   1. Vérifiez que les lignes suivantes figurent dans le fichier sshd_config :

      # Should we allow Identity (SSH version 1) authentication?
      	DSAAuthentication yes
        
      	# Should we allow Pubkey (SSH version 2) authentication?
      	PubkeyAuthentication yes
              
      	# Where do we look for authorized public keys?
      # If it doesn't start with a slash, then it is
      # relative to the user's home directory
      AuthorizedKeysFile .ssh/authorized_keys

   2. Redémarrez le serveur SSH.
4. Copiez le fichier dsa.pub sur le serveur SSH, à savoir la ressource gérée.
5. Si un fichier authorized_keys existe, modifiez-le de manière à supprimer toute restriction no-pty.
6. Ajoutez la clé publique au fichier authorized_keys à partir du répertoire /.ssh. Saisissez la commande :

   [root@ps2372 .ssh]# cat id_dsa.pub >> authorized_keys

   Remarque : Cette commande concatène la clé publique DSA dans le fichier authorized_keys.
   Par exemple, $HOME/.ssh/ authorized_keys. Si ce fichier n'existe pas encore, la commande le crée.
7. Copiez le fichier de clé privée id_dsa sur le poste de travail client et définissez sa valeur de propriété sur 755.
   Remarque :

   • Procédez comme suit. Lorsque vous vous connectez au serveur à partir de l'ordinateur client, vous devez entrer une phrase passe associée à la clé au lieu d'un mot de passe utilisateur.
   • Si le SSH installé utilise le chiffrement AES-128-CBC, RXA ne peut pas extraire la clé privée du fichier. L'authentification par clé DSA ne fonctionne pas. Pour prendre en charge l'authentification par clé DSA, effectuez l'une des opérations suivantes :
     • Installez un SSH qui utilise le chiffrement DES-EDE3-CBC.
     • Installez le package RXA 2.3.0.9 dans votre environnement. RXA 2.3.0.9 prend en charge le chiffrement AES-128-CBC.

       RXA 2.3.0.9 est inclus dans l'édition de base de Tivoli Directory Integrator version 7.1.1, ainsi que dans Tivoli Directory Integrator version 7.0 groupe de correctifs 8 et Tivoli Directory Integrator version 7.1 groupe de correctifs 7.