連載
» 2009年06月12日 00時00分 公開

実践でも役立つLPICドリル(12):OpenSSHの認証手順 (1/3)

本連載は、Linux 認定試験 LPICに対応しています。一般的なLinuxユーザーレベルのトピックは省略し、システム管理とサーバ管理の内容を取り上げています。また、LPIC対策だけでなく、関連するトピックについて系統的な理解を問う問題も出題しています。連載の特徴は、対象となるプログラムのバージョンを可能な限り明記していること、比較的新しくまとまった解説がまだ少ないトピック、重要だが理解しにくいトピックを優先して取り上げていることです。問題を解き、その解説を読むことにより実践でLinuxを活用できる力を身に付けます。

[大竹龍史,ナレッジデザイン]

今回のアプリケーション/ディストリビューション:OpenSSH-4.7/Fedora 8、OpenSSH--3.9/CentOS 4.4

問題を解く鍵

 このトピックに関連した設定や試験問題を解く際には、以下の項目がポイントになります。

【1】複数の認証方式の優先順位が付けられている

  • 主な認証方式としてパスワード認証(password)、公開鍵認証(publickey)、ホストベース認証(hostbased)がある

  • どの認証方式を提供するかはサーバの設定ファイル(/etc/ssh/sshd_config)で設定する

  • 複数の認証方式をリクエストする場合の優先順位はクライアントの設定ファイル(/etc/ssh/ssh_config)で設定する

(注)ユーザーの個人設定ファイルとしては~/.ssh/config があります。


 主な認証方式についてのデフォルトの優先順位は、

ホストベース認証→公開鍵認証→パスワード認証

の順です。

  • クライアントがリクエストする優先順位に従い、サーバ側で提供される認証方式が順番に試みられて、どれか1つの認証が成功した時点でログインできる

【2】公開鍵認証の仕組み

  • 公開鍵認証を使用する場合は、サーバの設定ファイルとクライアントの設定ファイルに、次のキーワードで指定する
SSHバージョン2の場合:PubkeyAuthentication yes
SSHバージョン1の場合:RSAAuthentication yes
  • ユーザーはクライアント側でssh-keygenコマンドで秘密鍵と公開鍵のキーペアを生成し、ファイルに格納する
(例1)SSHバージョン2用のRSAキーペアを生成する
(キーを格納したファイルは、$HOME/.sshディレクトリの下に作成される)
$ ssh-keygen -t rsa
(例2)SSHバージョン2用のDSAキーペアを作成する
(キーを格納したファイルは、$HOME/.sshディレクトリの下に作成される)
$ ssh-keygen -t dsa
  • 公開鍵はサーバ側にコピーしておく

  • クライアント上のユーザーが自分のユーザー名、公開鍵を含むデータに秘密鍵での署名を付けてサーバに送り、サーバは送られて来た公開鍵がサーバに登録されているものかを調べた後、その公開鍵によって署名が正しいものかどうかを検証し、正しければ正当なユーザとして認証する(OpenSSHプロトコルバージョン2の場合)

【3】ホストベース認証の仕組み

  • ホストベース認証を使用する場合はサーバの設定ファイルとクライアントの設定ファイルで、次のキーワードで指定する
SSHバージョン2の場合:HostbasedAuthentication yes
SSHバージョン1の場合:RhostsRSAAuthentication yes
  • ホストベース認証は公開鍵認証のバリエーションである

  • クライアントホストのインストール後の最初の立ち上げ時に生成されたホストの秘密鍵と公開鍵を使用する(ホストベース認証で使用する秘密鍵と公開鍵のペアは/etc/sshディレクトリの下に置かれている)

  • ホストの秘密鍵は暗号化されていないので、パスフレーズの入力で復号する必要がない

【4】パスワード認証の仕組み

  • パスワード認証を使用する場合はサーバの設定ファイルとクライアントの設定ファイルで、次のキーワードで指定する
PasswordAuthentication yes
  • PAM(Pluggable Authentication Module)の設定により、/etc/passwdと/etc/shadowやLDAPのアカウント/パスワードが参照される

(注)PAM認証を使用するかどうかは“UsePAM yes”あるいは“UsePAM no”指定できます。


       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。