OpenSSHの認証手順：実践でも役立つLPICドリル（12）（1/3 ページ）

■今回のアプリケーション／ディストリビューション：OpenSSH-4.7／Fedora 8、OpenSSH--3.9／CentOS 4.4

問題を解く鍵

　このトピックに関連した設定や試験問題を解く際には、以下の項目がポイントになります。

【1】複数の認証方式の優先順位が付けられている

• 主な認証方式としてパスワード認証（password）、公開鍵認証（publickey）、ホストベース認証（hostbased）がある
  
  
• どの認証方式を提供するかはサーバの設定ファイル（/etc/ssh/sshd_config）で設定する
  
  
• 複数の認証方式をリクエストする場合の優先順位はクライアントの設定ファイル（/etc/ssh/ssh_config）で設定する

　主な認証方式についてのデフォルトの優先順位は、

の順です。

• クライアントがリクエストする優先順位に従い、サーバ側で提供される認証方式が順番に試みられて、どれか1つの認証が成功した時点でログインできる

【2】公開鍵認証の仕組み

• 公開鍵認証を使用する場合は、サーバの設定ファイルとクライアントの設定ファイルに、次のキーワードで指定する

SSHバージョン2の場合：PubkeyAuthentication yes
SSHバージョン1の場合：RSAAuthentication yes

• ユーザーはクライアント側でssh-keygenコマンドで秘密鍵と公開鍵のキーペアを生成し、ファイルに格納する

$ ssh-keygen -t rsa

$ ssh-keygen -t dsa

• 公開鍵はサーバ側にコピーしておく
  
  
• クライアント上のユーザーが自分のユーザー名、公開鍵を含むデータに秘密鍵での署名を付けてサーバに送り、サーバは送られて来た公開鍵がサーバに登録されているものかを調べた後、その公開鍵によって署名が正しいものかどうかを検証し、正しければ正当なユーザとして認証する（OpenSSHプロトコルバージョン2の場合）

【3】ホストベース認証の仕組み

• ホストベース認証を使用する場合はサーバの設定ファイルとクライアントの設定ファイルで、次のキーワードで指定する

SSHバージョン2の場合：HostbasedAuthentication yes
SSHバージョン1の場合：RhostsRSAAuthentication yes

• ホストベース認証は公開鍵認証のバリエーションである
  
  
• クライアントホストのインストール後の最初の立ち上げ時に生成されたホストの秘密鍵と公開鍵を使用する（ホストベース認証で使用する秘密鍵と公開鍵のペアは/etc/sshディレクトリの下に置かれている）
  
  
• ホストの秘密鍵は暗号化されていないので、パスフレーズの入力で復号する必要がない

【4】パスワード認証の仕組み

• パスワード認証を使用する場合はサーバの設定ファイルとクライアントの設定ファイルで、次のキーワードで指定する

PasswordAuthentication yes

• PAM（Pluggable Authentication Module）の設定により、/etc/passwdと/etc/shadowやLDAPのアカウント／パスワードが参照される