自分戦略研究所 | 自分戦略研究室 | キャリア実現研究室 | スキル創造研究室 | 生活向上研究室 | 組み込みキャリア研究室 | コミュニティ活動支援室 | エンジニアライフ | IT業界就職ラボ |
スラッシュドット    はてなブックマーク  Yahoo!ブックマークに登録  印刷

第12回 OpenSSHの認証手順

大竹龍史(ナレッジデザイン)
2009/6/12

第11回1 2 3次のページ

本連載は、Linux 認定試験 LPICに対応しています。一般的なLinuxユーザーレベルのトピックは省略し、システム管理とサーバ管理の内容を取り上げています。また、LPIC対策だけでなく、関連するトピックについて系統的な理解を問う問題も出題しています。連載の特徴は、対象となるプログラムのバージョンを可能な限り明記していること、比較的新しくまとまった解説がまだ少ないトピック、重要だが理解しにくいトピックを優先して取り上げていることです。問題を解き、その解説を読むことにより実践でLinuxを活用できる力を身に付けます。

実践でも役立つLPICドリル バックナンバー

  今回のアプリケーション/ディストリビューション:OpenSSH-4.7/Fedora 8、OpenSSH--3.9/CentOS 4.4

問題を解く鍵

 このトピックに関連した設定や試験問題を解く際には、以下の項目がポイントになります。

【1】複数の認証方式の優先順位が付けられている

・主な認証方式としてパスワード認証(password)、公開鍵認証(publickey)、ホストベース認証(hostbased)がある

・どの認証方式を提供するかはサーバの設定ファイル(/etc/ssh/sshd_config)で設定する

・複数の認証方式をリクエストする場合の優先順位はクライアントの設定ファイル(/etc/ssh/ssh_config)で設定する

(注)ユーザーの個人設定ファイルとしては~/.ssh/config があります。

 主な認証方式についてのデフォルトの優先順位は、

ホストベース認証→公開鍵認証→パスワード認証

の順です。

・クライアントがリクエストする優先順位に従い、サーバ側で提供される認証方式が順番に試みられて、どれか1つの認証が成功した時点でログインできる

【2】公開鍵認証の仕組み

・公開鍵認証を使用する場合は、サーバの設定ファイルとクライアントの設定ファイルに、次のキーワードで指定する

SSHバージョン2の場合:PubkeyAuthentication yes
SSHバージョン1の場合:RSAAuthentication yes

・ユーザーはクライアント側でssh-keygenコマンドで秘密鍵と公開鍵のキーペアを生成し、ファイルに格納する

(例1)SSHバージョン2用のRSAキーペアを生成する
(キーを格納したファイルは、$HOME/.sshディレクトリの下に作成される)

$ ssh-keygen -t rsa

(例2)SSHバージョン2用のDSAキーペアを作成する
(キーを格納したファイルは、$HOME/.sshディレクトリの下に作成される)

$ ssh-keygen -t dsa

・公開鍵はサーバ側にコピーしておく

・クライアント上のユーザーが自分のユーザー名、公開鍵を含むデータに秘密鍵での署名を付けてサーバに送り、サーバは送られて来た公開鍵がサーバに登録されているものかを調べた後、その公開鍵によって署名が正しいものかどうかを検証し、正しければ正当なユーザとして認証する(OpenSSHプロトコルバージョン2の場合)

【3】ホストベース認証の仕組み

・ホストベース認証を使用する場合はサーバの設定ファイルとクライアントの設定ファイルで、次のキーワードで指定する

SSHバージョン2の場合:HostbasedAuthentication yes
SSHバージョン1の場合:RhostsRSAAuthentication yes

・ホストベース認証は公開鍵認証のバリエーションである

・クライアントホストのインストール後の最初の立ち上げ時に生成されたホストの秘密鍵と公開鍵を使用する(ホストベース認証で使用する秘密鍵と公開鍵のペアは/etc/sshディレクトリの下に置かれている)

・ホストの秘密鍵は暗号化されていないので、パスフレーズの入力で復号する必要がない

【4】パスワード認証の仕組み

・パスワード認証を使用する場合はサーバの設定ファイルとクライアントの設定ファイルで、次のキーワードで指定する

PasswordAuthentication yes

・PAM(Pluggable Authentication Module)の設定により、/etc/passwdと/etc/shadowやLDAPのアカウント/パスワードが参照される

(注)PAM認証を使用するかどうかは“UsePAM yes”あるいは“UsePAM no”指定できます。

演習問題に挑戦してみよう!

第11回1 2 3次のページ



@IT Special 注目企業
【転職体験談】「もっと多くのユーザーに使って欲しい」⇒ mixiへの転職に成功!
8年間のSIer生活で得た経験とスキルを生かして転職活動。評価のポイントはどこ?
@IT Special ラーニング
【経営戦略】⇒「いつか勉強しよう」ではなく「いまこそ勉強すべき」スキル
50%のユーザー企業が「戦略を立案できるIT技術者」と仕事をしたがっている
気になる「社会人大学院」という選択肢
仕事との両立は本当に可能? 独学とは何が違う? 実際の学生・卒業生6人に聞いた
関連キーワード
Linuxスキル

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

@IT自分戦略研究所 新着記事

スキルアップに役立つサービス
ITトレメ 1日1問、模擬試験問題をメールで届けます
ラーニングカレンダー ITスキル研修4000件、最新情報の検索できます

キャリアアップに役立つサービス
3分で診断→わたしは社外で通用するエンジニアか?
今の年収で納得できますか? 匿名査定で適正年収を確認してみましょう
起業まではフリーエンジニアで 派遣エンジニア列伝8回目

スキルアップ/キャリアアップ(JOB@IT)

スポンサーからのお知らせ

・ケ・ュ・チマツ、クヲオ貍シ・ケ・ン・・オ。シ

- PR -

お勧め求人情報


@IT Special ラーニング
◆クライアント企業から求められる人材
⇒IT技術と経営戦略を併せ持つ「戦略家」
New!
◆気になる社会人大学院。興味はあるけど仕
事と両立可能?実際に通った6人に聞いた
→ インデックス


ITトレメ・今日の問題

基本情報技術者試験

エンドユーザーヘの障害対応窓口としてヘルプデスクを設置した。報告を受けた障害の根本的な原因は不明であるが、応急処置を必要としているとき、ヘルプデスクが対応する順番として、最も適切なものはどれか。<13年秋FE問57>

»出題ページへ