UNIX및 Linux® 운영 체제에서 DSA키 기반 인증 사용

온라인 편집

단순 비밀번호 인증 대신 DSA 키 기반 인증을 사용할 수 있습니다.

이 태스크 정보

Security Directory Integrator 가 설치된 시스템의 ssh-keygen 가용성에 따라 다음 시스템 중 하나에서 이 태스크를 수행하십시오.
  • Security Directory Integrator 가 설치된 시스템에 ssh-keygen 가 설치되어 있지 않거나 사용 불가능한 경우, 관리 자원에서 이 태스크를 수행하십시오.
  • ssh-keygen 이 설치되어 있거나 사용 가능한 경우, Security Directory Integrator 가 설치된 시스템에서 이 태스크를 수행하는 것이 좋습니다.

프로시저

  1. ssh-keygen 도구를 사용하여 키 쌍을 작성하십시오.
    1. 서비스 양식에 사용자가 정의한 관리자로 로그인하십시오.
    2. ssh-keygen 도구를 시작하십시오.
      다음 명령을 실행하십시오.
      [root@ps2372 root]# ssh-keygen -t dsa
    3. 다음 프롬프트에서 기본값을 승인하거나 키 쌍을 저장할 파일 경로를 입력하고 Enter를 누르십시오.
      Generating public/private dsa key pair.
Enter the file in which to save the key (/root/.ssh/id_dsa):
    4. 다음 프롬프트에서 기본값을 승인하거나 비밀번호 문구를 입력한 후 Enter를 누르십시오.
      비밀번호 문구 입력(비밀번호 문구가 없는 경우 비어 있음): passphrase
    5. 다음 프롬프트에서 비밀번호 문구 선택사항을 확인하고 Enter를 누르십시오.
      동일한 비밀번호 문구 다시 입력: passphrase
      다음은 시스템 응답 샘플입니다.
      Your identification is saved in /root/.ssh/id_dsa.
Your public key is saved in /root/.ssh/id_dsa.pub. 
The key fingerprint is this one:
9e:6c:0e:e3:d9:4f:37:f1:dd:34:fc:20:36:67:b2:94 root@ps2372.persistent.co.in
      주: ssh-keygen 도구가 공백 비밀번호 문구를 채택하더라도 서비스 양식에 비밀번호 문구가 필요합니다.
  2. 키가 생성되었는지 유효성 검증하십시오.
    1. 다음 명령을 실행하십시오.
       [root@ps2372 root]# cd root/.ssh
  
 [root@ps2372 .ssh]# ls –l
      샘플 시스템 응답은 다음 메시지입니다.
       -rwxr-xr-x 1 root root 736 Dec 20 14:33 id_dsa 
 -rw-r--r-- 1 root root 618 Dec 20 14:33 id_dsa.pub
    2. 다음 명령을 실행하십시오.
      [root@ps2372 .ssh]# cat id_dsa
      샘플 시스템 응답은 다음 메시지입니다.
      -----BEGIN DSA PRIVATE KEY----- 
Proc-Type: 4,ENCRYPTED 
DEK-Info: DES-EDE3-CBC,32242D3525AEDC64 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 
                  -----END DSA PRIVATE KEY-----
    3. 다음 명령을 실행하십시오.
       [root@ps2372 .ssh]# cat id_dsa.pub
      샘플 시스템 응답은 다음 메시지입니다.
            ssh-dsa   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 root@ps2372.persistent.co.in
  3. SSH 서버의 /etc/ssh 디렉토리에서 키 기반 인증을 사용 가능하게 하십시오.
    1. 다음 라인이 sshd_config 파일에 있는지 확인하십시오. 
      # Should we allow Identity (SSH version 1) authentication?
	DSAAuthentication yes
  
	# Should we allow Pubkey (SSH version 2) authentication?
	PubkeyAuthentication yes
        
	# Where do we look for authorized public keys?
# If it doesn't start with a slash, then it is
# relative to the user's home directory
AuthorizedKeysFile .ssh/authorized_keys
    2. SSH 서버를 다시 시작하십시오.
  4. dsa.pub 파일을 SSH 서버로 복사하십시오.
  5. 기존 authorized_keys 파일이 있는 경우 no-pty 제한사항을 제거하도록 편집하십시오.
  6. /.ssh 디렉토리에서 authorized_keys 파일에 공개 키를 추가하십시오.
    다음 명령을 실행하십시오.
    [root@ps2372 .ssh]# cat id_dsa.pub >> authorized_keys
    주: 이 명령은 DSA 공개 키를 authorized_keys 파일에 연결합니다.
    예: $HOME/.ssh/ authorized_keys. 이 파일이 없는 경우, 이 명령이 작성합니다.
  7. Security Directory Integrator 가 실행 중인 클라이언트 워크스테이션에 id_dsa 개인 키 파일을 복사하십시오.
  8. 개인 키 소유권 값을 설정하십시오. Security Directory Integrator 서버가 Unix 또는 Linux경우 chmod 를 사용하여 개인 키 권한 값을 600으로 설정하십시오.
    주:
    • 다음 단계를 완료하십시오. 클라이언트 컴퓨터에서 서버에 로그인하는 경우 사용자 비밀번호 대신 비밀번호 문구에 대한 프롬프트가 표시됩니다.
    • 설치된 SSH가 AES-128-CBC 암호를 사용하는 경우, RXA는 파일에서 개인 키를 페치할 수 없습니다. RSA 키 기반 인증이 작동하지 않습니다. RSA 키 기반 인증을 지원하려면 다음 조치 중 하나를 수행하십시오.
      • DES-EDE3-CBC 암호를 사용하는 SSH를 설치하십시오.
      • 사용자 환경에 RXA 2.3.0.9 패키지를 설치하십시오. RXA 2.3.0.9는 AES-128-CBC 암호를 지원합니다.

        RXA 2.3.0.9 는 Security Directory Integrator 버전 7.1.1의 기본 릴리스에 포함되어 있으며 Security Directory Integrator 버전 7.0 수정팩 8및 Security Directory Integrator 버전 7.1 수정팩 7에서도 사용 가능합니다.