Ativando a Autenticação Baseada em Chave RSA nos Sistemas Operacionais UNIX e Linux

É possível utilizar a autenticação baseada em chave RSA como uma alternativa para a autenticação de senha simples.

1. Use a ferramenta ssh-keygen para criar um par de chaves.
   1. Efetue login como o usuário administrador definido no formulário de serviço.
   2. Inicie a ferramenta ssh-keygen. Emita o comando:

      mydesktop$# ssh-keygen -t rsa

   3. No prompt a seguir, aceite o padrão ou insira o caminho de arquivo no qual deseja salvar o par de chaves e pressione Enter.

      Gerando o par de chaves pública/privada dsa.
      Insira o arquivo no qual deseja salvar a chave (home/root/.ssh/id_rsa):

   4. No prompt a seguir, aceite o padrão ou insira a passphrase e pressione Enter.

      Enter the passphrase (empty for no passphrase): passphrase

   5. No prompt a seguir, confirme sua seleção de passphrase e pressione Enter.

      Enter the same passphrase again: passphrase

      Este exemplo é uma amostra da resposta do sistema:

      Your identification was saved in /home/root/.ssh/id_rsa.
      Your public key was saved in /home/root/.ssh/id_rsa.pub. 
      The key fingerprint is this value:
      2c:3f:a4:be:46:23:47:19:f7:dc:74:9b:69:24:4a:44 root@ps701

      Nota: Embora a ferramenta ssh-keygen aceite uma passphrase em branco, a passphrase é necessária no formulário de serviço.
2. Valide as chaves geradas.
   1. Digite os comandos:

      mydesktop$ cd $HOME/.ssh
        
       mydesktop$ ls -l

      Uma resposta de amostra do sistema é:

      -rw------- 1 root   root   883 Jan 21 11:52 id_rsa
      -rw-r--r-- 1 root   root   223 Jan 21 11:52 id_rsa.pub

   2. Emita o comando:

      mydesktop$ cat id_rsa

      Uma resposta de amostra do sistema é:

        -----BEGIN RSA PRIVATE KEY-----
      Proc-Type: 4,ENCRYPTED
      DEK-Info: DES-EDE3-CBC,7F4CF1E209817BA0
      
      GuIQh4EdIp2DY1KfgB3eHic1InCG5VC9/dumHd7AqEnlo241fRuIo8zgO87GV+tk
      cvKd/pPCGhmyCZy/are0wZt3KLYWUyoN7i+8H2Khk8LmaspD6Tx309VHTfCyoJsu
      jtuR5c4HbcRtOYhMByHEqllEst1azzlIrO75Qj5cUG01K1MbdTeXq1xUGjo97s+V
      gEOokMQ+JmaJD9lrbiMz4wjWRtREjHfc1VYTA+ZE1W3HT3PfrjCnHm9RKKFaA6kM
      fPInefQgdzhCa0mCz+HOKJfkpfPh8ufGM9Jfb99VjZdI77LHeNN4VqeQ/VyPH7pn
      wp7GbEJ8g6iX4BWUWpXUVStfYNQTV8Dis7ayZtr3g/o+AKnh/dGnk1SHHNFgUUFf/
      +E0EXMokHSqqOzwf4t8xp4upnnS/7ag5MIVcU5/iWGW4sDEw7xfB25zD4lbvVK5
      kSZeWLgm79wMipKP90iEELPqO6cS2yPXd+ADfHs7FWPQW0UYGFeMnHa/
      tlglO5Pxo7ek2iR57mazmx33cofIX6E/ZI9XLysp5TR6Npq1x8KCv2Dk2x3QSH8F54EQmQ2+
      5uDsPA9Hg1B+agkBh/1g3tfevT01cCtUkQGl2ubhrNGB2SiiyKgw9Ks0AL3TO0ul
      D69D18r6Y6s3pHQ9LYAs6EIq3/5dqNYW8eLQ5eINUIlHBp9ep8+quyqSfB3qPCBW
      Db+qI09pYhkTrGBD8l5eQqs1T1h2gJsY2yyYV/Cp2m4fI+uHItCgSlkPROnj27Xh
      p6HAPaFA0zWOz1lmVNYhTbJZlbbwYyf/OKmYuOklSuQ=
      -----END RSA PRIVATE KEY-----

   3. Emita o comando

      mydesktop$ cat id_rsa.pub

      Uma amostra de resposta do sistema é esta mensagem:

      ssh-rsaAAB3NzaC1yc2EAAAABIwAAAIEA9xjGJ+8DLrxSQfVxXYUx4lc9copCG4HwD3TLO5i
      fezBQx0e9UnIWNFi4Xan3S8mYd6L+TfCJkVZ+YplLAe367/vhc1nDzfNRPJ95YnATefj
      YEa48lElu7uq1uofM+sZ/b0p7fIWvIRRbuEDWHHUmneoX8U/ptKFZzRpb/
      vTE6nE= root@ps0701

3. Ative a autenticação baseada em chave no diretório /etc/ssh no servidor SSH, o recurso gerenciado.
   1. Assegure que as linhas a seguir existam no arquivo sshd_config:

      # Should we allow Identity (SSH version 1) authentication?
      	RSAAuthentication yes
        
      	# Should we allow Pubkey (SSH version 2) authentication?
      	PubkeyAuthentication yes
              
      	# Where do we look for authorized public keys?
      # If it doesn't start with a slash, then it is
      # relative to the user's home directory
      AuthorizedKeysFile    .ssh/authorized_keys

   2. Reinicie o servidor SSH.
4. Copie o arquivo rsa.pub no servidor SSH, o recurso gerenciado.
5. Se você tiver um arquivo authorized_keys existente, edite-o para remover qualquer restrição no-pty
6. Inclua a chave pública no arquivo authorized_keys a partir do diretório /.ssh. Emita o comando:

   ssh-server$ cat ../id_rsa.pub >> authorized_keys

   Nota: Esse comando concatena o RSA Pubkey para o arquivo authorized_keys.
   Por exemplo, $HOME/.ssh/authorized_keys. Se esse arquivo não existir, o comando o criará.
7. Copie o arquivo de chave privado id_rsa na estação de trabalho do cliente e configure seu valor de propriedade como 755.
   Nota:

   • Conclua estas etapas. Ao efetuar login no servidor a partir do computador cliente, será solicitada a passphrase para a chave em vez de uma senha de usuário.
   • Se o ssh instalado usar a cifra AES-128-CBC, RXA não poderá buscar a chave privada no arquivo. A autenticação baseada em chave RSA não funciona. Para suportar a autenticação baseada em chave RSA, execute uma das ações a seguir:
     • Instale um ssh que usa a cifra DES-EDE3-CBC.
     • Instale o pacote RXA 2.3.0.9 em seu ambiente. O RXA 2.3.0.9 suporta a cifra AES-128-CBC.

       O RXA 2.3.0.9 está incluso na liberação base do Tivoli Directory Integrator versão 7.1.1 e também está disponível no Tivoli Directory Integrator versão 7.0 fix pack 8 e no Tivoli Directory Integrator versão 7.1 fix pack 7.