第6回 OpenSSHの公開鍵をLDAPで管理 | gihyo.jp
公開鍵管理の概要 読者の皆さんの多くはリモートメンテナンスのために、各サーバでsshデーモンを動作させているはずです。しかしtelnetではなくsshにすればそれだけで安心安全、というわけではありません。共通鍵認証ではそれぞれの通信自体は暗号化されているとはいえ、近年では総当たり攻撃のターゲットとなっているケースも非常に多くセキュリティ的に安心できるものではないためです。皆さんはちゃんとRSAやDSAによる公開鍵認証を利用されていますか? 公開鍵認証のメリットは、共通鍵認証と比較して、より安全な認証を実現することができる点にあります。その一方、クライアント側には秘密鍵ファイルと多くの場合はパスフレーズが、サーバ側には公開鍵ファイルが必要になるため、デメリットとしてユーザ数が多いとそれらの管理も煩雑になることが挙げられます。 たとえば管理対象のサーバが100台あるとすれば、あるユーザの入社時
Linuxエンジニア日記 SSHの公開鍵をLDAPで管理
今回はOpenSSHの公開鍵をLDAPで管理してみます。 通常の鍵認証の場合はまず公開鍵と秘密鍵を作成し、ログイン対象 サーバのホームディレクトリに公開鍵を置いてあげなければいけません。 数台であれば手間ではないですが、大規模なシステムでは非常に面倒。 また、新規にユーザーを追加する場合も全台に鍵を追加しなければならない。 そこで、公開鍵をLDAPで管理させログイン時にユーザ情報と一緒に鍵も読み出すようにする。 そうすれば対象サーバが増えようが新規ユーザー追加しようがそのサーバが LDAPに対応してさえいれば一度の登録で全て事が済んでしまいます。 但しパッケージで入っているOpenSSHは公開鍵認証のLDAP化をサポートしていないので、 lpkパッチを当てたソースからインストールする事にします。 ①. OpenSSHのインストール。 # tar zxvf openssh-4.6p1.tar
OpenSSH DSA(RSA)認証方式で認証を行う
ここでのクライアントとは、メインのインターネットサーバーとなります。SSH サーバーに対する認証方法はいくつかありますが、ここではDSA(RSA)による認証鍵を使用した認証を行います。つまり、有効な鍵がなければ、セッションが確立できない認証方式です。 クライアント側の準備 流れとしては、サーバー管理者から証明書を発行する HTTPSのクライアント認証や、Zebedee とは違い、クライアント(ユーザー)側から公開鍵を提出し、サーバー管理者がそれを受理することで本人確認を行います。 Open SSH プロトコル2 DSA鍵の場合 先に説明したとおり、鍵にはプロトコル1 プロトコル2 があります。基本的に互いに互換はありません。鍵を作成する場合は、接続先がどのプロトコルなのか知っておく必要があります。ここでは、プロトコル2 に限定しています。 接続を行なうユーザーになり、ユーザーのホームディレ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
