Activation de l'authentification par clé RSA sur les systèmes d'exploitation UNIX et Linux

Une autre solution consiste à utiliser l'authentification par clé RSA pour l'authentification par mot de passe simple.

1. Créez une paire de clés à l'aide de l'outil ssh-keygen.
   1. Connectez-vous en tant qu'administrateur défini sur le formulaire de service.
   2. Démarrez l'outil ssh-keygen. Saisissez la commande :

      mydesktop$# ssh-keygen -t rsa

   3. A l'invite suivante, acceptez le chemin par défaut ou entrez le chemin du fichier dans lequel vous souhaitez enregistrer la paire de clés, puis appuyez sur la touche Entrée.

      Generating public/private dsa key pair.
      Enter the file in which to save the key (home/root/.ssh/id_rsa):

   4. A l'invite suivante, acceptez la valeur par défaut ou entrez la phrase passe appropriée, puis appuyez sur la touche Entrée.

      Enter the passphrase (empty for no passphrase): phrase passe

   5. A l'invite suivante, confirmez la phrase passe définie et appuyez sur la touche Entrée.

      Enter the same passphrase again: phrase passe

      Un exemple de réponse système est illustré ci-dessous :

      Your identification was saved in /home/root/.ssh/id_rsa.
      Your public key was saved in /home/root/.ssh/id_rsa.pub. 
      The key fingerprint is this value:
      2c:3f:a4:be:46:23:47:19:f7:dc:74:9b:69:24:4a:44 root@ps701

      Remarque : Bien que l'outil ssh-keygen accepte une phrase passe vide, la phrase passe est requise sur le formulaire de service.
2. Validez la génération des clés.
   1. Saisissez les commandes :

      mydesktop$ cd $HOME/.ssh
        
       mydesktop$ ls -l

      Un exemple de réponse système est illustré ci-dessous :

      -rw------- 1 root   root   883 Jan 21 11:52 id_rsa
      -rw-r--r-- 1 root   root   223 Jan 21 11:52 id_rsa.pub

   2. Saisissez la commande :

      mydesktop$ cat id_rsa

      Un exemple de réponse système est illustré ci-dessous :

        -----BEGIN RSA PRIVATE KEY-----
      Proc-Type: 4,ENCRYPTED
      DEK-Info: DES-EDE3-CBC,7F4CF1E209817BA0
      
      GuIQh4EdIp2DY1KfgB3eHic1InCG5VC9/dumHd7AqEnlo241fRuIo8zgO87GV+tk
      cvKd/pPCGhmyCZy/are0wZt3KLYWUyoN7i+8H2Khk8LmaspD6Tx309VHTfCyoJsu
      jtuR5c4HbcRtOYhMByHEqllEst1azzlIrO75Qj5cUG01K1MbdTeXq1xUGjo97s+V
      gEOokMQ+JmaJD9lrbiMz4wjWRtREjHfc1VYTA+ZE1W3HT3PfrjCnHm9RKKFaA6kM
      fPInefQgdzhCa0mCz+HOKJfkpfPh8ufGM9Jfb99VjZdI77LHeNN4VqeQ/VyPH7pn
      wp7GbEJ8g6iX4BWUWpXUVStfYNQTV8Dis7ayZtr3g/o+AKnh/dGnk1SHHNFgUUFf/
      +E0EXMokHSqqOzwf4t8xp4upnnS/7ag5MIVcU5/iWGW4sDEw7xfB25zD4lbvVK5
      kSZeWLgm79wMipKP90iEELPqO6cS2yPXd+ADfHs7FWPQW0UYGFeMnHa/
      tlglO5Pxo7ek2iR57mazmx33cofIX6E/ZI9XLysp5TR6Npq1x8KCv2Dk2x3QSH8F54EQmQ2+
      5uDsPA9Hg1B+agkBh/1g3tfevT01cCtUkQGl2ubhrNGB2SiiyKgw9Ks0AL3TO0ul
      D69D18r6Y6s3pHQ9LYAs6EIq3/5dqNYW8eLQ5eINUIlHBp9ep8+quyqSfB3qPCBW
      Db+qI09pYhkTrGBD8l5eQqs1T1h2gJsY2yyYV/Cp2m4fI+uHItCgSlkPROnj27Xh
      p6HAPaFA0zWOz1lmVNYhTbJZlbbwYyf/OKmYuOklSuQ=
      -----END RSA PRIVATE KEY-----

   3. Exécutez la commande :

      mydesktop$ cat id_rsa.pub

      Un exemple de réponse système est illustré par le message suivant :

      ssh-rsaAAB3NzaC1yc2EAAAABIwAAAIEA9xjGJ+8DLrxSQfVxXYUx4lc9copCG4HwD3TLO5i
      fezBQx0e9UnIWNFi4Xan3S8mYd6L+TfCJkVZ+YplLAe367/vhc1nDzfNRPJ95YnATefj
      YEa48lElu7uq1uofM+sZ/b0p7fIWvIRRbuEDWHHUmneoX8U/ptKFZzRpb/
      vTE6nE= root@ps0701

3. Activez l'authentification par clé dans le répertoire /etc/ssh du serveur SSH, à savoir la ressource gérée.
   1. Vérifiez que les lignes suivantes figurent dans le fichier sshd_config :

      # Should we allow Identity (SSH version 1) authentication?
      	RSAAuthentication yes
        
      	# Should we allow Pubkey (SSH version 2) authentication?
      	PubkeyAuthentication yes
              
      	# Where do we look for authorized public keys?
      # If it doesn't start with a slash, then it is
      # relative to the user's home directory
      AuthorizedKeysFile .ssh/authorized_keys

   2. Redémarrez le serveur SSH.
4. Copiez le fichier rsa.pub sur le serveur SSH, à savoir la ressource gérée.
5. Si un fichier authorized_keys existe, modifiez-le de manière à supprimer toute restriction no-pty.
6. Ajoutez la clé publique au fichier authorized_keys à partir du répertoire /.ssh. Saisissez la commande :

   ssh-server$ cat ../id_rsa.pub >> authorized_keys

   Remarque : Cette commande concatène la clé publique RSA dans le fichier authorized_keys.
   Par exemple, $HOME/.ssh/authorized_keys. Si ce fichier n'existe pas encore, la commande le crée.
7. Copiez le fichier de clé privée id_rsa sur le poste de travail client et définissez sa valeur de propriété sur 755.
   Remarque :

   • Procédez comme suit. Lorsque vous vous connectez au serveur à partir de l'ordinateur client, vous devez entrer une phrase passe associée à la clé au lieu d'un mot de passe utilisateur.
   • Si le SSH installé utilise le chiffrement AES-128-CBC, RXA ne peut pas extraire la clé privée du fichier. L'authentification par clé RSA ne fonctionne pas. Pour prendre en charge l'authentification par clé RSA, effectuez l'une des opérations suivantes :
     • Installez un SSH qui utilise le chiffrement DES-EDE3-CBC.
     • Installez le package RXA 2.3.0.9 dans votre environnement. RXA 2.3.0.9 prend en charge le chiffrement AES-128-CBC.

       RXA 2.3.0.9 est inclus dans l'édition de base de Tivoli Directory Integrator version 7.1.1, ainsi que dans Tivoli Directory Integrator version 7.0 groupe de correctifs 8 et Tivoli Directory Integrator version 7.1 groupe de correctifs 7.