UNIX および Linux® オペレーティング・システムでの DSA 鍵ベースの認証の使用可能化

単純なパスワード認証の代わりに DSA 鍵ベースの認証を使用できます。

このタスクについて

Tivoli® Directory Integrator がインストールされているマシンで ssh-keygen が使用可能であるかどうかに応じて、以下のいずれかのマシンでこのタスクを実行します。

Tivoli Directory Integrator がインストールされているマシンに ssh-keygen がインストールされていない、または当該マシンでこれを使用できない場合は、管理対象リソースでこのタスクを実行します。
ssh-keygen がインストールされている、または使用可能な場合は、Tivoli Directory Integrator がインストールされているマシンでこのタスクを実行します。

手順

ssh-keygen ツールを使用して、鍵ペアを作成します。
1. サービス・フォームに定義されている管理者ユーザーとしてログインします。
2. ssh-keygen ツールを起動します。
  以下のコマンドを出します。
```
[root@ps2372 root]# ssh-keygen -t dsa
```
3. 以下のプロンプトで、鍵ペアの保存先として、デフォルトを受け入れるかファイル・パスを入力して、Enter キーを押します。
```
Generating public/private dsa key pair.
Enter the file in which to save the key (/root/.ssh/id_dsa):
```
4. 以下のプロンプトで、デフォルトを受け入れるかパスフレーズを入力して、Enter キーを押します。
```
Enter the passphrase (empty for no passphrase): passphrase
```
5. 以下のプロンプトで、選択したパスフレーズを確認して Enter キーを押します。
```
Enter the same passphrase again: passphrase
```
  以下はシステム応答のサンプルです。
```
Your identification is saved in /root/.ssh/id_dsa.
Your public key is saved in /root/.ssh/id_dsa.pub. 
The key fingerprint is this one:
9e:6c:0e:e3:d9:4f:37:f1:dd:34:fc:20:36:67:b2:94 root@ps2372.persistent.co.in
```
  注: ssh-keygen ツールはブランクのパスフレーズを受け入れますが、サービス・フォームではパスフレーズが必要です。

生成されたキーを検証します。

以下のコマンドを出します。

 [root@ps2372 root]# cd root/.ssh
  
 [root@ps2372 .ssh]# ls –l

以下のメッセージはシステム応答のサンプルです。

 -rwxr-xr-x 1 root root 736 Dec 20 14:33 id_dsa 
 -rw-r--r-- 1 root root 618 Dec 20 14:33 id_dsa.pub

以下のコマンドを出します。

[root@ps2372 .ssh]# cat id_dsa

以下のメッセージはシステム応答のサンプルです。

以下のコマンドを出します。

 [root@ps2372 .ssh]# cat id_dsa.pub

以下のメッセージはシステム応答のサンプルです。

      ssh-dsa   
AAAAB3NzaC1kc3MAAACBAIHozHi6CHwvGDt7uEYkEmn4STOj2neOo5mPOZFpBjs
KzzWBqBuAxoMwMgHy3zZAIgmzMwIVQum4/uIHlhOx0Q4QDLJbveFShuXxBjm5BOU1
rCCSeqYCOPdub9hx3uzZaTNqfFIvO4/NTcjp7pgQqBdvWs0loyYViYVWpVQmMdif
AAAAFQDhaD9m//n07C+R+X46g5iTYFA9/QAAAIBVbBXXL3/+cHfbyKgCCe2CqjRESQ
i2nwiCPwyVzzwfHw4MyoYe5Nk8sfTiweY8Lus7YXXUZCPbnCMkashsbFVO9w
/q3xmbrKfBTS+QOjs6nebftnxwk/RrwPmb9MS/kdWMEigdCoum9MmyJlOw5fwGl
P1ufVHn+v9uTKWpPgr0egAAAIArKV4Yr3mFciTbzcGCicW+axekoCKq520Y68mQ
1xrI4HJVnTOb6J1SqvyK68eC2I5lo1kJ6aUixJt/D3d/GHnA+i5McbJgLsNuiDs
RI3Q6v3ygKeQaPtgITKS7UY4S0FBQlw9q7qjHVphSOPvo2VUHkG6hYiyaLvLrX
Jo7JPk6tQ== root@ps2372.persistent.co.in

SSH サーバーの /etc/ssh ディレクトリーで、鍵ベースの認証を使用可能にします。

sshd_config ファイルに以下の行が存在することを確認します。

# Should we allow Identity (SSH version 1) authentication?
	DSAAuthentication yes
  
	# Should we allow Pubkey (SSH version 2) authentication?
	PubkeyAuthentication yes
        
	# Where do we look for authorized public keys?
# If it doesn't start with a slash, then it is
# relative to the user's home directory
AuthorizedKeysFile .ssh/authorized_keys

SSH サーバーを再始動します。

dsa.pub ファイルを SSH サーバーにコピーします。
既存の authorized_keys ファイルがある場合、それを編集してすべての no-pty 制限を削除します。
/.ssh ディレクトリーから、公開鍵を authorized_keys ファイルに追加します。
以下のコマンドを実行します。
```
[root@ps2372 .ssh]# cat id_dsa.pub >> authorized_keys
```
注: このコマンドにより、DSA 公開鍵が authorized_keys ファイルに連結されます。
例えば、$HOME/.ssh/ authorized_keys のようになります。このファイルが存在しない場合は、コマンドによって作成されます。
id_dsa 秘密鍵ファイルを、Tivoli Directory Integrator が実行されているクライアント・ワークステーションにコピーします。
秘密鍵の所有権値を設定します。Tivoli Directory Integrator サーバーが Unix または Linux である場合は、chmod を使用して秘密鍵の権限値を 600 に設定します。
注:
- 以下のステップを実行します。クライアント・コンピューターからサーバーにログインすると、ユーザー・パスワードではなく、鍵のパスフレーズを求めるプロンプトが出されます。
- インストールされた SSH が AES-128-CBC 暗号を使用する場合、RXA はファイルから秘密鍵をフェッチできません。RSA 鍵ベースの認証は機能しません。 RSA 鍵ベースの認証をサポートするには、以下のいずれかの操作を行います。
  - DES-EDE3-CBC 暗号を使用する SSH をインストールする。
  - 環境に RXA 2.3.0.9 パッケージをインストールする。RXA 2.3.0.9 は、AES-128-CBC 暗号をサポートしています。
    RXA 2.3.0.9 は、Tivoli Directory Integrator バージョン 7.1.1 の基本リリースに含まれており、Tivoli Directory Integrator バージョン 7.0 フィックスパック 8 および Tivoli Directory Integrator バージョン 7.1 フィックスパック 7 でも提供されています。