UNIX ve Linux® işletim sistemlerinde DSA anahtar tabanlı kimlik doğrulamasının etkinleştirilmesi

Çevrimiçi düzenle

Basit parola kimlik doğrulamasına alternatif olarak DSA anahtar tabanlı kimlik doğrulamasını kullanabilirsiniz.

Bu görev hakkında

Security Directory Integrator ürününün kurulu olduğu makineden ssh-keygen kullanılabilirliğine bağlı olarak, bu görevi aşağıdaki makinelerden birinde gerçekleştirin.
  • ssh-keygen kurulu değilse ya da Security Directory Integrator ' in kurulu olduğu makinede kurulu değilse, yönetilen kaynaktaki bu görevi gerçekleştirin.
  • ssh-keygen kuruluysa ya da kullanılabilir durumda ise, bu görevi Security Directory Integrator ' in kurulu olduğu makinede gerçekleştirmeyi tercih edin.

İşlem

  1. Bir anahtar çifti oluşturmak için ssh-keygen aracını kullanın.
    1. Hizmet formunda tanımlanan yönetici kullanıcı olarak oturum açın.
    2. ssh-keygen aracını başlatın.
      Aşağıdaki komutu verin.
      [root@ps2372 root]# ssh-keygen -t dsa
    3. Aşağıdaki komut isteminde, varsayılan değeri kabul edin ya da anahtar çiftini kaydetmek istediğiniz dosya yolunu girin ve Enter tuşuna basın.
      Genel/özel dsa anahtar çifti oluşturuluyor.
Anahtarın saklanacak dosyayı girin (/root/.ssh/id_dsa):
    4. Aşağıdaki komut isteminde, varsayılan değeri kabul edin ya da geçiş tümcecisini girin ve Enter tuşuna basın.
      Geçiş tümcecisini girin (geçiş tümcecisi için boş): passphrase
    5. Aşağıdaki komut isteminde, geçiş tümcecik seçiminizi onaylayın ve Enter tuşuna basın.
      Aynı geçiş tümcecisini yeniden girin: passphrase
      Bu, sistem yanıtının bir örneğidir:
      Kimliğiniz /root/.ssh/id_dsaiçinde saklanır.
Genel anahtarınız /root/.ssh/id_dsa.pubiçinde saklanır. 
Anahtar parmak izi şu:
9e:6c:0e:e3:d9:4f:37:f1:dd:34:fc:20:36:67:b2:94 root@ps2372.persistent.co.in
      Not: ssh-keygen aracı boş bir geçiş tümcecisini kabul etse de, hizmet formunda geçiş tümcecisi gereklidir.
  2. Anahtarların oluşturulduğunu doğrulayın.
    1. Aşağıdaki komutları yazın.
       [root@ps2372 root]# cd root/.ssh
  
 [root@ps2372 .ssh]# ls –l
      Örnek bir sistem yanıtı şu iletidir:
       -rwxr-xr-x 1 root root 736 Dec 20 14:33 id_dsa 
 -rw-r -- r -- 1 root root 618 Dec 20 14:33 id_dsa.pub
    2. Aşağıdaki komutu verin.
      [root@ps2372 .ssh]# cat id_dsa
      Örnek bir sistem yanıtı şu iletidir:
      ----- DSA ÖZEL ANAHTARıNı 
Proc-Type: 4,ENCRYPTED 
DEK-Info: DES-EDE3-CBC,32242D3525AEDC64 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 
                  ----- DSA ÖZEL ANAHTARı
    3. Aşağıdaki komutu verin.
       [root@ps2372 .ssh]# cat id_dsa.pub
      Örnek bir sistem yanıtı şu iletidir:
            ssh-dsa   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 root@ps2372.persistent.co.in
  3. SSH sunucusunun /etc/ssh dizininde anahtar tabanlı kimlik doğrulamasını etkinleştirin.
    1. sshd_config dosyasında aşağıdaki satırların var olduğundan emin olun: 
      # Should we allow Identity (SSH version 1) authentication?
	DSAAuthentication yes
  
	# Should we allow Pubkey (SSH version 2) authentication?
	PubkeyAuthentication yes
        
	# Where do we look for authorized public keys?
# If it doesn't start with a slash, then it is
# relative to the user's home directory
AuthorizedKeysFile .ssh/authorized_keys
    2. SSH sunucusunu yeniden başlatın.
  4. dsa.pub dosyasını SSH sunucusuna kopyalayın.
  5. Var olan bir authorized_keys dosyanınız varsa, no-pty kısıtlamalarını kaldırmak için bunu düzenleyin
  6. Genel anahtarı, /.ssh dizininden authorized_keys dosyasına ekleyin.
    Komutu verin:
    [root@ps2372 .ssh]# cat id_dsa.pub >> authorized_keys
    Not: Bu komut, DSA genel anahtarını authorized_keys dosyası ile birleştirir.
    Örneğin, $HOME/.ssh/ authorized_keys. Bu dosya yoksa, komut bu dosyayı yaratır.
  7. id_dsa özel anahtar dosyasını, Security Directory Integrator olanağının çalıştığı istemci iş istasyonuna kopyalayın.
  8. Özel anahtar sahiplik değerini ayarlayın. Security Directory Integrator sunucusu Unix ya da Linuxise, özel anahtar izinleri değerini 600olarak ayarlamak için chmod kullanın.
    Not:
    • Aşağıdaki adımları tamamlayın. İstemci bilgisayarından sunucuda oturum açtığınızda, kullanıcı parolası yerine anahtar için bir geçiş tümceciği girmeniz istenir.
    • Kurulu ssh, AES-128-CBC şifrelemesi kullanıyorsa, RXA, özel anahtarı dosyadan getiremez. RSA anahtar tabanlı kimlik doğrulaması işe yaramaz. RSA anahtar tabanlı kimlik doğrulamasını desteklemek için aşağıdaki eylemlerden birini gerçekleştirin:
      • DES-EDE3-CBC şifrelemesi kullanan bir ssh kurun.
      • Ortamınıza RXA 2.3.0.9 paketini kurun. RXA 2.3.0.9 , AES-128-CBC şifrelemeyi destekler.

        RXA 2.3.0.9 , Security Directory Integrator sürüm 7.1.1temel yayınına eklenir ve Security Directory Integrator sürüm 7.0 düzeltme paketi 8 ve Security Directory Integrator sürüm 7.1 düzeltme paketi 7 'de de bulunur.