UNIX/LINUX ターゲットにアクセスするための SSH キー認証
UNIX/Linux ターゲット サーバへの SSH アクセスには、SSH サーバに対してクライアントを認証するのに、パスワードの代わりに SSH キー ペアを使用できます。
capam32
HID_SSHKeyPairPolicyPanel
UNIX/Linux ターゲット サーバへの SSH アクセスには、SSH サーバに対してクライアントを認証するのに、パスワードの代わりに SSH キー ペアを使用できます。
SSH キー認証を設定するには、以下の手順を実行する必要があります。
- UI を使用して SSH キー ペア ポリシーを作成するか、サードパーティ ユーティリティを使用してキー ペアを生成します。ユーティリティを使用する場合は、キー ペアをローカル システムにコピーし、そこから認証情報データベースにキー ペアをアップロードできるようにします。
- UNIX ターゲット アプリケーションを作成し、作成した SSH キー ペア ポリシーを選択します。
- UNIX ターゲット アプリケーションに関連付けられるターゲット アカウントを設定します。アカウントに対しては、[プロトコル]フィールドを[SSH-2 公開キー認証]に設定します。
- SSH キー ペアを使用するアクセス ポリシーを作成します。
以下の手順に従います。
2
UI を使用した SSH キー ペア ポリシーの作成
SSH キー ペアを生成するアプライアンスに対し、SSH キー ポリシーを設定します。キー ポリシーは、キー ペアの特徴(具体的には暗号化アルゴリズム)とキーのサイズを指定します。キー ペアを使用するターゲット アカウントを更新すると、アプライアンスは、ターゲット デバイスに公開キーをプッシュします。
以下の手順に従います。
- [認証情報]-[ターゲット管理]-[SSH キー ペア ポリシー]を選択します。
- [追加]を選択します。
- ポリシーに一意の[名前]を付けます。
- (オプション)ポリシーに[説明]を入力します。
- [キー タイプ]に RSA または DSA を選択します。
- [キー長]を指定します。ドロップダウン リストには、キー タイプに対して使用可能なオプションが表示されます。
- [テスト]を選択します。オプションが許容可能であることがメッセージで表示され、サンプル SSH 公開キー フィンガープリントが表示されます。
- [OK]を選択します。
キー ペアは、作成が完了すると、ターゲット アプリケーションを設定する際に選択できるようになります。
UNIX ターゲット アプリケーションに対する SSH キー ポリシーの選択
ターゲット アプリケーションを作成する前に、UNIX または LINUX のターゲット デバイスを必ず設定してください。
以下の手順に従います。
- [認証情報]-[ターゲット管理]-[アプリケーション]を選択します。
- [追加]を選択します。
- [ターゲット アプリケーションを追加する]ダイアログ ボックスで、[アプリケーション タイプ]に[UNIX]を選択し、各フィールドに入力します。このページには、さらにいくつかのタブがあります。
- [SSH-2]タブを選択します。
- [SSH キー ペア ポリシー]フィールドで、キー ペア ポリシーを選択します。
- [OK]を選択します。
ターゲット アカウントへの SSH キー ペアの追加
以下の手順に従います。
- [認証情報]-[ターゲットの管理]-[アカウント]を選択します。
- [追加]を選択します。
- 以下の具体的な入力値に注意して、各フィールドに値を入力します。
- アプリケーション名: 作成した UNIX ターゲット アプリケーションを検索し、それを選択します。
- アカウント名: ターゲット デバイス上で有効なアカウント名を入力します
- プロトコル: [SSH-2 公開キー認証]を選択します。
- 以下のタスクのいずれかを実行します。
- キー ペアを生成するアプリケーションについては、[秘密キー]ボックスの横にあるキー アイコンを選択します。
- ユーティリティによって生成されたキーをアップロードするには、[秘密キー]および[公開キー]ボックスの隣にある[ファイルの選択]を選択します。ローカル システムで、該当するファイルを参照します。
- [パスワード]タブを選択し、[同期済み]設定に対し、[Password Authority サーバとターゲット システムの両方を更新する]を選択します。
- [OK]を選択します。ターゲット アカウントのリストで、特定のアカウントの横にある[検証済み]列の緑のチェックマークは、キーが検証済みであることを示します。
SSH キーを使用するアクセス ポリシーの作成
ターゲット コンポーネントを設定したら、ポリシーを作成することにより、ターゲット サーバへのアクセスを管理できるようになります。
以下の手順に従います。
- [ポリシー]-[ポリシーの管理]を選択します。
- [追加]を選択します。
- [関連付け]タブで、ユーザを選択します。
- [アクセス]タブで、[SSH:22]を選択します。
- そのアクセス方法に対し、以前に作成したターゲット アカウントを検索します。
- [OK]を選択します。
SSH キー認証を使用した SSH アクセスのテスト
アプライアンスは、SSH キー ペアを使用して UNIX ターゲットへの認証ができるようになりました。ターゲット サーバでは、認証に公開キーを使用します。アプライアンスが SSH を使用してターゲットに接続する場合は、秘密キーを使用します。ターゲット サーバでは、公開キーを使用してアクセス リクエストを認証します。
以下の手順に従います。
- ユーザとして UI にログインし、[アクセス]ページを選択します。
- ターゲット サーバの[SSH]アイコンを選択し、SSH セッションを起動します。
- コマンド ウィンドウが開いたら、以下を入力することにより、公開キーを表示します。cat .ssh/authorized_keys
SSH キーを使用する特権アカウントのセキュリティ保護
Privileged Access Manager
では、アカウントのパスワードをユーザに知られないようにすることで、特権アカウントを保護します。アプライアンスをご使用の環境に最初に展開するときに、これらのアカウントのパスワードを変更するようにアプライアンスを設定します。これらの特権アカウントの SSH キーがアプライアンスの展開より前から存在していた場合、パスワードを変更しても、既存の SSH キーは動作します。そのため、これらの特権アカウントは、完全には安全ではありません。SSH キー ディスカバリを使用すると、それらのキーを探し出せるため、それらを削除できます。削除後は、特権アカウントはアプライアンス経由でのみ使用できるようになるため、完全に安全になります。SSH キー ディスカバリの使用方法については、「SSH キー ディスカバリを使用したキー ペアの検索」を参照してください。