UNIX ve Linux® işletim sistemlerinde RSA anahtar tabanlı kimlik doğrulamasının etkinleştirilmesi

Çevrimiçi düzenle

Basit parola kimlik doğrulamasına alternatif olarak RSA anahtar tabanlı kimlik doğrulamasını kullanabilirsiniz.

Bu görev hakkında

Security Directory Integrator ürününün kurulu olduğu makineden ssh-keygen kullanılabilirliğine bağlı olarak, bu görevi aşağıdaki makinelerden birinde gerçekleştirin.
  • ssh-keygen kurulu değilse ya da Security Directory Integrator ' in kurulu olduğu makinede kurulu değilse, yönetilen kaynaktaki bu görevi gerçekleştirin.
  • ssh-keygen kuruluysa ya da kullanılabilir durumda ise, bu görevi Security Directory Integrator ' in kurulu olduğu makinede gerçekleştirmeyi tercih edin.

İşlem

  1. Bir anahtar çifti oluşturmak için ssh-keygen aracını kullanın.
    1. Hizmet formunda tanımlanan yönetici kullanıcı olarak oturum açın.
    2. ssh-keygen aracını başlatın. Aşağıdaki komutu verin.
      mydesktop$# ssh-keygen -t rsa
    3. Aşağıdaki komut isteminde, varsayılan değeri kabul edin ya da anahtar çiftini kaydetmek istediğiniz dosya yolunu girin ve Enter tuşuna basın.
      Genel/özel dsa anahtar çifti oluşturuluyor.
Anahtarın kaydedileceği dosyayı girin (home/root/.ssh/id_rsa):
    4. Aşağıdaki komut isteminde, varsayılan değeri kabul edin ya da geçiş tümcecisini girin ve Enter tuşuna basın.
      Geçiş tümcecisini girin (geçiş tümcecisi için boş): passphrase
    5. Aşağıdaki komut isteminde, geçiş tümcecik seçiminizi onaylayın ve Enter tuşuna basın.
      Aynı geçiş tümcecisini yeniden girin: passphrase
      Bu örnek, sistem yanıtına ilişkin bir örnektir:
      Kimliğiniz /home/root/.ssh/id_rsaiçinde kaydedildi.
Genel anahtarınız /home/root/.ssh/id_rsa.pubiçinde kaydedildi. 
Anahtar parmak izi şu değerde:
2c:3f:a4:be:46:23:47:19:f7:dc:74:9b:69:24:4a:44 root@ps701
      Not: ssh-keygen aracı boş bir geçiş tümcecisini kabul etse de, hizmet formunda geçiş tümcecisi gereklidir.
  2. Anahtarların oluşturulduğunu doğrulayın.
    1. Aşağıdaki komutları yazın.
      mydesktop$ cd $HOME/.ssh
  
 mydesktop$ ls -l
      Örnek sistem yanıtı:
      -rw ------- 1 root root 883 oca 21 11:52 id_rsa
-rw-r -- r -- 1 root root 223 oca 21 11:52 id_rsa.pub
    2. Aşağıdaki komutu verin.
      mydesktop$ cat id_rsa
      Örnek sistem yanıtı:
        ----- RSA öZEL TUşU -----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,7F4CF1E209817BA0

GuIQh4EdIp2DY1KfgB3eHic1InCG5VC9/dumHd7AqEnlo241fRuIo8zgO87GV+tk
cvKd/pPCGhmyCZy/are0wZt3KLYWUyoN7i+8H2Khk8LmaspD6Tx309VHTfCyoJsu
jtuR5c4HbcRtOYhMByHEqllEst1azzlIrO75Qj5cUG01K1MbdTeXq1xUGjo97s+V
gEOokMQ+JmaJD9lrbiMz4wjWRtREjHfc1VYTA+ZE1W3HT3PfrjCnHm9RKKFaA6kM
fPInefQgdzhCa0mCz+HOKJfkpfPh8ufGM9Jfb99VjZdI77LHeNN4VqeQ/VyPH7pn
wp7GbEJ8g6iX4BWUWpXUVStfYNQTV8Dis7ayZtr3g/o+AKnh/dGnk1SHHNFgUUFf/
+E0EXMokHSqqOzwf4t8xp4upnnS/7ag5MIVcU5/iWGW4sDEw7xfB25zD4lbvVK5
kSZeWLgm79wMipKP90iEELPqO6cS2yPXd+ADfHs7FWPQW0UYGFeMnHa/
tlglO5Pxo7ek2iR57mazmx33cofIX6E/ZI9XLysp5TR6Npq1x8KCv2Dk2x3QSH8F54EQmQ2+
5uDsPA9Hg1B+agkBh/1g3tfevT01cCtUkQGl2ubhrNGB2SiiyKgw9Ks0AL3TO0ul
D69D18r6Y6s3pHQ9LYAs6EIq3/5dqNYW8eLQ5eINUIlHBp9ep8+quyqSfB3qPCBW
Db+qI09pYhkTrGBD8l5eQqs1T1h2gJsY2yyYV/Cp2m4fI+uHItCgSlkPROnj27Xh
p6HAPaFA0zWOz1lmVNYhTbJZlbbwYyf/OKmYuOklSuQ=
----- BITIş RSA öZEL
    3. Aşağıdaki komutu verin.
      mydesktop$ cat id_rsa.pub
      Örnek bir sistem yanıtı şu iletidir:
      ssh-rsaAAB3NzaC1yc2EAAAABIwAAAIEA9xjGJ+8DLrxSQfVxXYUx4lc9copCG4HwD3TLO5i
fezBQx0e9UnIWNFi4Xan3S8mYd6L+TfCJkVZ+YplLAe367/vhc1nDzfNRPJ95YnATefj
YEa48lElu7uq1uofM+sZ/b0p7fIWvIRRbuEDWHHUmneoX8U/ptKFZzRpb/
vTE6nE= root@ps0701
  3. SSH sunucusunun /etc/ssh dizininde anahtar tabanlı kimlik doğrulamasını etkinleştirin.
    1. sshd_config dosyasında aşağıdaki satırların var olduğundan emin olun: 
      # Should we allow Identity (SSH version 1) authentication?
	RSAAuthentication yes
  
	# Should we allow Pubkey (SSH version 2) authentication?
	PubkeyAuthentication yes
        
	# Where do we look for authorized public keys?
# If it doesn't start with a slash, then it is
# relative to the user's home directory
AuthorizedKeysFile .ssh/authorized_keys
    2. SSH sunucusunu yeniden başlatın.
  4. rsa.pub dosyasını SSH sunucusuna kopyalayın.
  5. Var olan bir authorized_keys dosyanınız varsa, no-pty kısıtlamalarını kaldırmak için bu dosyayı düzenleyin.
  6. Genel anahtarı, /.ssh dizininden authorized_keys dosyasına ekleyin.
    Aşağıdaki komutu verin.
    ssh-server$ cat ../id_rsa.pub >> authorized_keys
    Not: Bu komut, RSA genel anahtarını authorized_keys kütüğüde birleştirir.
    Örneğin, $HOME/.ssh/authorized_keys. Bu dosya yoksa, komut bu dosyayı yaratır.
  7. id_rsa özel anahtar dosyasını, Security Directory Integrator olanağının çalıştığı istemci iş istasyonuna kopyalayın.
  8. Özel anahtar sahiplik değerini ayarlayın. Security Directory Integrator sunucusu Unix ya da Linuxise, özel anahtar izinleri değerini 600olarak ayarlamak için chmod kullanın.
    Not:
    • Aşağıdaki adımları tamamlayın. İstemci bilgisayarından sunucuda oturum açtığınızda, kullanıcı parolası yerine anahtar için bir geçiş tümceciği girmeniz istenir.
    • Kurulu ssh, AES-128-CBC şifrelemesi kullanıyorsa, RXA, özel anahtarı dosyadan getiremez. RSA anahtar tabanlı kimlik doğrulaması işe yaramaz. RSA anahtar tabanlı kimlik doğrulamasını desteklemek için aşağıdaki eylemlerden birini gerçekleştirin:
      • DES-EDE3-CBC şifrelemesi kullanan bir ssh kurun.
      • Ortamınıza RXA 2.3.0.9 paketini kurun. RXA 2.3.0.9 , AES-128-CBC şifrelemeyi destekler.

        RXA 2.3.0.9 , Security Directory Integrator sürüm 7.1.1temel yayınına eklenir ve Security Directory Integrator sürüm 7.0 düzeltme paketi 8 ve Security Directory Integrator sürüm 7.1 düzeltme paketi 7 'de de bulunur.