UNIX および Linux® オペレーティング・システムでの RSA 鍵ベースの認証の使用可能化

単純なパスワード認証の代わりに RSA 鍵ベースの認証を使用できます。

このタスクについて

Tivoli® Directory Integrator がインストールされているマシンで ssh-keygen が使用可能であるかどうかに応じて、以下のいずれかのマシンでこのタスクを実行します。
  • Tivoli Directory Integrator がインストールされているマシンに ssh-keygen がインストールされていない、または当該マシンでこれを使用できない場合は、管理対象リソースでこのタスクを実行します。
  • ssh-keygen がインストールされている、または使用可能な場合は、Tivoli Directory Integrator がインストールされているマシンでこのタスクを実行します。

手順

  1. ssh-keygen ツールを使用して、鍵ペアを作成します。
    1. サービス・フォームに定義されている管理者ユーザーとしてログインします。
    2. ssh-keygen ツールを起動します。以下のコマンドを出します。 
      mydesktop$# ssh-keygen -t rsa
    3. 以下のプロンプトで、鍵ペアの保存先として、デフォルトを受け入れるかファイル・パスを入力して、Enter キーを押します。 
      Generating public/private dsa key pair.
Enter the file in which to save the key (home/root/.ssh/id_rsa):
    4. 以下のプロンプトで、デフォルトを受け入れるかパスフレーズを入力して、Enter キーを押します。 
      Enter the passphrase (empty for no passphrase): passphrase
    5. 以下のプロンプトで、選択したパスフレーズを確認して Enter キーを押します。 
      Enter the same passphrase again: passphrase
      これは、システム応答のサンプルです。 
      Your identification was saved in /home/root/.ssh/id_rsa.
Your public key was saved in /home/root/.ssh/id_rsa.pub. 
The key fingerprint is this value:
2c:3f:a4:be:46:23:47:19:f7:dc:74:9b:69:24:4a:44 root@ps701
      注: ssh-keygen ツールはブランクのパスフレーズを受け入れますが、サービス・フォームではパスフレーズが必要です。
  2. 生成されたキーを検証します。
    1. 以下のコマンドを出します。 
      mydesktop$ cd $HOME/.ssh
  
 mydesktop$ ls -l
      以下はシステム応答のサンプルです。 
      -rw------- 1 root   root   883 Jan 21 11:52 id_rsa
-rw-r--r-- 1 root   root   223 Jan 21 11:52 id_rsa.pub
    2. 以下のコマンドを出します。 
      mydesktop$ cat id_rsa
      以下はシステム応答のサンプルです。 
        -----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,7F4CF1E209817BA0

GuIQh4EdIp2DY1KfgB3eHic1InCG5VC9/dumHd7AqEnlo241fRuIo8zgO87GV+tk
cvKd/pPCGhmyCZy/are0wZt3KLYWUyoN7i+8H2Khk8LmaspD6Tx309VHTfCyoJsu
jtuR5c4HbcRtOYhMByHEqllEst1azzlIrO75Qj5cUG01K1MbdTeXq1xUGjo97s+V
gEOokMQ+JmaJD9lrbiMz4wjWRtREjHfc1VYTA+ZE1W3HT3PfrjCnHm9RKKFaA6kM
fPInefQgdzhCa0mCz+HOKJfkpfPh8ufGM9Jfb99VjZdI77LHeNN4VqeQ/VyPH7pn
wp7GbEJ8g6iX4BWUWpXUVStfYNQTV8Dis7ayZtr3g/o+AKnh/dGnk1SHHNFgUUFf/
+E0EXMokHSqqOzwf4t8xp4upnnS/7ag5MIVcU5/iWGW4sDEw7xfB25zD4lbvVK5
kSZeWLgm79wMipKP90iEELPqO6cS2yPXd+ADfHs7FWPQW0UYGFeMnHa/
tlglO5Pxo7ek2iR57mazmx33cofIX6E/ZI9XLysp5TR6Npq1x8KCv2Dk2x3QSH8F54EQmQ2+
5uDsPA9Hg1B+agkBh/1g3tfevT01cCtUkQGl2ubhrNGB2SiiyKgw9Ks0AL3TO0ul
D69D18r6Y6s3pHQ9LYAs6EIq3/5dqNYW8eLQ5eINUIlHBp9ep8+quyqSfB3qPCBW
Db+qI09pYhkTrGBD8l5eQqs1T1h2gJsY2yyYV/Cp2m4fI+uHItCgSlkPROnj27Xh
p6HAPaFA0zWOz1lmVNYhTbJZlbbwYyf/OKmYuOklSuQ=
-----END RSA PRIVATE KEY-----
    3. 以下のコマンドを出します。 
      mydesktop$ cat id_rsa.pub
      以下のメッセージはシステム応答のサンプルです。 
      ssh-rsaAAB3NzaC1yc2EAAAABIwAAAIEA9xjGJ+8DLrxSQfVxXYUx4lc9copCG4HwD3TLO5i
fezBQx0e9UnIWNFi4Xan3S8mYd6L+TfCJkVZ+YplLAe367/vhc1nDzfNRPJ95YnATefj
YEa48lElu7uq1uofM+sZ/b0p7fIWvIRRbuEDWHHUmneoX8U/ptKFZzRpb/
vTE6nE= root@ps0701
  3. SSH サーバーの /etc/ssh ディレクトリーで、鍵ベースの認証を使用可能にします。
    1. sshd_config ファイルに以下の行が存在することを確認します。 
      # Should we allow Identity (SSH version 1) authentication?
	RSAAuthentication yes
  
	# Should we allow Pubkey (SSH version 2) authentication?
	PubkeyAuthentication yes
        
	# Where do we look for authorized public keys?
# If it doesn't start with a slash, then it is
# relative to the user's home directory
AuthorizedKeysFile .ssh/authorized_keys
    2. SSH サーバーを再始動します。
  4. rsa.pub ファイルを SSH サーバーにコピーします。
  5. 既存の authorized_keys ファイルがある場合、それを編集してすべての no-pty 制限を削除します。
  6. /.ssh ディレクトリーから、公開鍵を authorized_keys ファイルに追加します。
    以下のコマンドを出します。
    ssh-server$ cat ../id_rsa.pub >> authorized_keys
    注: このコマンドにより、RSA 公開鍵が authorized_keys ファイルに連結されます。
    例えば、 $HOME/.ssh/authorized_keys。 このファイルが存在しない場合は、コマンドによって作成されます。
  7. id_rsa 秘密鍵ファイルを、Tivoli Directory Integrator が実行されているクライアント・ワークステーションにコピーします。
  8. 秘密鍵の所有権値を設定します。Tivoli Directory Integrator サーバーが Unix または Linux である場合は、chmod を使用して秘密鍵の権限値を 600 に設定します。
    注:
    • 以下のステップを実行します。クライアント・コンピューターからサーバーにログインすると、ユーザー・パスワードではなく、鍵のパスフレーズを求めるプロンプトが出されます。
    • インストールされた SSH が AES-128-CBC 暗号を使用する場合、RXA はファイルから秘密鍵をフェッチできません。RSA 鍵ベースの認証は機能しません。 RSA 鍵ベースの認証をサポートするには、以下のいずれかの操作を行います。
      • DES-EDE3-CBC 暗号を使用する SSH をインストールする。
      • 環境に RXA 2.3.0.9 パッケージをインストールする。RXA 2.3.0.9 は、AES-128-CBC 暗号をサポートしています。

        RXA 2.3.0.9 は、Tivoli Directory Integrator バージョン 7.1.1 の基本リリースに含まれており、Tivoli Directory Integrator バージョン 7.0 フィックスパック 8 および Tivoli Directory Integrator バージョン 7.1 フィックスパック 7 でも提供されています。