第12回　OpenSSHの認証手順

大竹龍史（ナレッジデザイン）
2009/6/12

第11回｜1　2　3｜次のページ

本連載は、Linux 認定試験 LPICに対応しています。一般的なLinuxユーザーレベルのトピックは省略し、システム管理とサーバ管理の内容を取り上げています。また、LPIC対策だけでなく、関連するトピックについて系統的な理解を問う問題も出題しています。連載の特徴は、対象となるプログラムのバージョンを可能な限り明記していること、比較的新しくまとまった解説がまだ少ないトピック、重要だが理解しにくいトピックを優先して取り上げていることです。問題を解き、その解説を読むことにより実践でLinuxを活用できる力を身に付けます。

実践でも役立つLPICドリル バックナンバー 第1回 表示結果から読み解け！ ハードウェア構成の調査 第2回 RPMによるパッケージ管理を理解する 第3回 ファイルシステムの管理と保守 第4回 X Window System の仕組みと設定 第5回 Linuxカーネルのコンフィグレーション手順 第6回 Linuxシステムの起動と停止の手順 第7回 Linux印刷システムの仕組みと設定 第8回 Linux時刻管理の仕組みと設定 第9回 Sambaのユーザー認証とファイルアクセス権の設定 第10回 DNSセキュリティの設定 第11回 Apache＆Squidアクセス制御／ユーザー認証の設定 最終回 OpenSSHの認証手順

今回のアプリケーション／ディストリビューション：OpenSSH-4.7／Fedora 8、OpenSSH--3.9／CentOS 4.4

■問題を解く鍵

　このトピックに関連した設定や試験問題を解く際には、以下の項目がポイントになります。

【1】複数の認証方式の優先順位が付けられている

・主な認証方式としてパスワード認証（password）、公開鍵認証（publickey）、ホストベース認証（hostbased）がある

・どの認証方式を提供するかはサーバの設定ファイル（/etc/ssh/sshd_config）で設定する

・複数の認証方式をリクエストする場合の優先順位はクライアントの設定ファイル（/etc/ssh/ssh_config）で設定する

（注）ユーザーの個人設定ファイルとしては~/.ssh/config があります。

　主な認証方式についてのデフォルトの優先順位は、

ホストベース認証→公開鍵認証→パスワード認証

の順です。

・クライアントがリクエストする優先順位に従い、サーバ側で提供される認証方式が順番に試みられて、どれか1つの認証が成功した時点でログインできる

【2】公開鍵認証の仕組み

・公開鍵認証を使用する場合は、サーバの設定ファイルとクライアントの設定ファイルに、次のキーワードで指定する

SSHバージョン2の場合：PubkeyAuthentication yes SSHバージョン1の場合：RSAAuthentication yes

・ユーザーはクライアント側でssh-keygenコマンドで秘密鍵と公開鍵のキーペアを生成し、ファイルに格納する

（例1）SSHバージョン2用のRSAキーペアを生成する
（キーを格納したファイルは、$HOME/.sshディレクトリの下に作成される）

$ ssh-keygen -t rsa

（例2）SSHバージョン2用のDSAキーペアを作成する
（キーを格納したファイルは、$HOME/.sshディレクトリの下に作成される）

$ ssh-keygen -t dsa

・公開鍵はサーバ側にコピーしておく

・クライアント上のユーザーが自分のユーザー名、公開鍵を含むデータに秘密鍵での署名を付けてサーバに送り、サーバは送られて来た公開鍵がサーバに登録されているものかを調べた後、その公開鍵によって署名が正しいものかどうかを検証し、正しければ正当なユーザとして認証する（OpenSSHプロトコルバージョン2の場合）

【3】ホストベース認証の仕組み

・ホストベース認証を使用する場合はサーバの設定ファイルとクライアントの設定ファイルで、次のキーワードで指定する

SSHバージョン2の場合：HostbasedAuthentication yes SSHバージョン1の場合：RhostsRSAAuthentication yes

・ホストベース認証は公開鍵認証のバリエーションである

・クライアントホストのインストール後の最初の立ち上げ時に生成されたホストの秘密鍵と公開鍵を使用する（ホストベース認証で使用する秘密鍵と公開鍵のペアは/etc/sshディレクトリの下に置かれている）

・ホストの秘密鍵は暗号化されていないので、パスフレーズの入力で復号する必要がない

【4】パスワード認証の仕組み

・パスワード認証を使用する場合はサーバの設定ファイルとクライアントの設定ファイルで、次のキーワードで指定する

PasswordAuthentication yes

・PAM（Pluggable Authentication Module）の設定により、/etc/passwdと/etc/shadowやLDAPのアカウント／パスワードが参照される

（注）PAM認証を使用するかどうかは“UsePAM　yes”あるいは“UsePAM　no”指定できます。

演習問題に挑戦してみよう！

第11回｜1　2　3｜次のページ

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）