9.2.3 ユーザ認証に公開鍵認証を使用する設定
- 〈この項の構成〉
(1) ユーザ公開鍵を転送する場合
クライアントで作成したユーザ鍵ペアのうち,ユーザ公開鍵を本装置のSSHサーバへ登録し,公開鍵認証をする設定例を示します。
- [設定のポイント]
-
あらかじめ,クライアントでユーザ公開鍵ファイルを作成し,本装置へ転送しておいてください。ユーザ公開鍵の転送にはftpを使用できますが,よりセキュリティを確保できるSCPまたはSFTPを使用することをお勧めします。
ここではSECSH形式のSSHv2 DSAのユーザ公開鍵で説明していますが,SSHv2 RSAやECDSAのユーザ公開鍵,OpenSSH形式やSSHv1形式のユーザ公開鍵も同様の方法で登録できます。
[コマンドによる設定]
-
(config)# ip ssh authentication publickey
ユーザ認証方式として公開鍵認証だけを許可します。
-
(config)# ip ssh authkey staff client-v2 load-key-file /usr/home/staff/id_dsa_1024_a.pub
ユーザ(staff)のSSHv2のユーザ公開鍵を,あらかじめ転送したファイル(/usr/home/staff/id_dsa_1024_a.pub)から読み込みます。このとき,この鍵の名前(インデックス名)をclient-v2とします。コンフィグレーションには,ユーザ公開鍵の内容が設定されます。
- [注意事項]
-
各ユーザのホームディレクトリ配下に,「.ssh」という名前のディレクトリを作成しないでください。さらに,「.ssh」ディレクトリ配下にファイルを転送,コピー,および生成しないでください。
「.ssh」ディレクトリは,本装置のSSHサーバ機能が自動的に生成し,使用します。ユーザがファイルを置いた場合,削除されたり上書きされたりします。
(2) SSHv2ユーザ公開鍵(SECSH形式)を直接入力する場合
公開鍵認証をするために,クライアントで作成したユーザ鍵ペアのうち,ユーザ公開鍵を本装置のSSHサーバへ登録します。
クライアントで,あらかじめSECSH形式のユーザ公開鍵を作成します。ip ssh authkeyコマンドでSECSH形式のユーザ公開鍵の内容を直接入力する場合は,ヘッダ(Comment:コメントなど),開始マーカ,終了マーカ,および改行コードを除いた,鍵の部分だけを入力してください。ユーザ公開鍵(SECSH形式)の入力部分を次の図に示します。
|
|
![[図データ]](./GRAPHICS/K3108680.GIF)
- [設定のポイント]
-
この例では,ユーザ公開鍵ファイルの内容をip ssh authkeyコマンドで直接入力して,ユーザ公開鍵を登録します。
ここではSECSH形式のSSHv2 DSAのユーザ公開鍵で説明していますが,SSHv2 RSAやECDSAのユーザ公開鍵も同様の方法で登録できます。
[コマンドによる設定]
-
(config)# ip ssh authkey staff client-v2 "AAAAB3NzaC…S+9zkdi7k="
SSHv2クライアントであらかじめ作成したユーザ(staff)のユーザ公開鍵(SECSH形式)の内容を,途中で改行しないようにダブルクォート(")で囲んで入力します。このとき,このユーザ公開鍵の名前(インデックス名)をclient-v2とします。
- [注意事項]
-
SECSH形式のユーザ公開鍵には改行コードが含まれているため,すべての改行を取り除いて1行の形式にしてください。また,変換後のユーザ公開鍵の部分に空白を含めないでください。空白のあとは,コメントと見なされます。
(3) SSHv2ユーザ公開鍵(OpenSSH鍵)を直接入力する場合
公開鍵認証をするために,クライアントで作成したユーザ鍵ペアのうち,ユーザ公開鍵を本装置のSSHサーバへ登録します。
クライアントで,あらかじめOpenSSH形式のユーザ公開鍵を作成します。ip ssh authkeyコマンドでSECSH形式のユーザ公開鍵の内容を直接入力する場合は,先頭にある「ssh-rsa」,「ecdsa-sha2-nistpXXX」,または「ssh-dss」を取り除いた部分を,改行コードを含めないでそのまま1行で入力してください。ユーザ公開鍵(OpenSSH鍵)の入力部分を次の図に示します。
|
|
![[図データ]](./GRAPHICS/K3108690.GIF)
- [設定のポイント]
-
この例では,ユーザ公開鍵ファイルの内容をip ssh authkeyコマンドで直接入力して,ユーザ公開鍵を登録します。
ここではOpenSSHのSSHv2 RSAユーザ公開鍵で説明していますが,SSHv2 DSAやECDSAのユーザ公開鍵も同様の方法で登録できます。
[コマンドによる設定]
-
(config)# ip ssh authkey staff client-O "AAAAB…n5hE= staff@OpenSSH-Client"
あらかじめ作成したユーザ(staff)のSSHv2のユーザ公開鍵(OpenSSH形式)を,途中で改行しないようにダブルクォート(")で囲んで入力します。このとき,このユーザ公開鍵の名前(インデックス名)をclient-Oとします。
(4) SSHv1ユーザ公開鍵を直接入力する場合
公開鍵認証をするために,クライアントで作成したユーザ鍵ペアのうち,ユーザ公開鍵を本装置のSSHサーバへ登録します。
クライアントで,あらかじめSSHv1ユーザ公開鍵を作成します。ユーザ公開鍵の入力部分を次の図に示します。
|
|
![[図データ]](./GRAPHICS/K3108700.GIF)
- [設定のポイント]
-
この例では,ユーザ公開鍵ファイルの内容をip ssh authkeyコマンドで直接入力して,ユーザ公開鍵を登録します。
[コマンドによる設定]
-
(config)# ip ssh authkey staff client-v1 "1024 37 14753…31397 staff@client"
あらかじめ作成したユーザ(staff)のSSHv1のユーザ公開鍵を,途中で改行しないようにダブルクォート(")で囲んで入力します。このとき,このユーザ公開鍵の名前(インデックス名)をclient-v1とします。