Configuration d'Oracle Solaris Secure Shell (tâches)

Par défaut, l'authentification basée sur l'hôte et l'utilisation des deux protocoles ne sont pas activées dans Secure Shell. La modification de ces valeurs par défaut nécessite une intervention de l'administrateur. L'administrateur doit également intervenir pour que le transfert de port de fonctionne.

Configuration de l'authentification basée sur l'hôte pour Secure Shell

La procédure suivante définit un système de clé publique où la clé publique du client est utilisée pour l'authentification sur le serveur. L'utilisateur doit également créer une paire de clés publiques ou privées.

Dans cette procédure, les termes client et hôte local désignent la machine sur laquelle un utilisateur saisit la commande ssh. Les termes serveur et hôte distant désignent la machine que le client tente d'atteindre.

Endossez le rôle de d'administrateur principal ou connectez-vous en tant que superutilisateur.
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.
Sur le client, activez l'authentification basée sur l'hôte.
Dans le fichier de configuration du client, /etc/ssh/ssh_config, tapez l'entrée suivante :
```
HostbasedAuthentication yes
```
Pour connaître la syntaxe du fichier de configuration, reportez-vous à la page de manuel ssh_config(4)
Sur le serveur, activez l'authentification basée sur l'hôte.
Dans le fichier de configuration du serveur, /etc/ssh/sshd_config, saisissez la même entrée :
```
HostbasedAuthentication yes
```
Pour connaître la syntaxe du fichier de configuration, reportez-vous à la page de manuel sshd_config(4)
Sur le serveur, vous devez configurer un fichier qui permet au client d'être reconnu en tant qu'hôte de confiance.
Pour plus d'informations, reportez-vous à la section FILES de la page de manuel sshd(1M).
- Ajoutez le client sous la forme d'une entrée pour le fichier /etc/ssh/shosts.equiv du serveur.
```
client-host
```
- Ou bien, vous pouvez demander aux utilisateurs d'ajouter une entrée pour le client dans leur fichier ~/.shosts sur le serveur.
```
client-host
```
Sur le serveur, vérifiez que le démon sshd peut accéder à la liste des hôtes de confiance.
Définissez IgnoreRhosts sur no dans le fichier /etc/ssh/sshd_config.
```
## sshd_config
IgnoreRhosts no
```
Assurez-vous que les utilisateurs de Secure Shell sur votre site possèdent des comptes sur les deux hôtes.
Procédez de l'une des manières suivantes pour placer la clé publique du client sur le serveur.
- Modifiez le fichier sshd_config sur le serveur, puis demandez à vos utilisateurs d'ajouter les clés d'hôte publiques du client à leur fichier ~/.ssh/known_hosts.
```
## sshd_config
IgnoreUserKnownHosts no
```
  Pour des instructions d'utilisation, reportez-vous à la section Génération d'une paire de clés publiques ou privées à utiliser avec Secure Shell .
- Copiez la clé publique du client sur le serveur.
  Les clés d'hôte sont stockées dans le répertoire /etc/ssh. Ces clés sont généralement générées par le démon sshd au premier démarrage.
  1. Ajoutez la clé au fichier /etc/ssh/ssh_known_hosts sur le serveur.
    Sur le client, saisissez la commande sur une seule ligne, sans barre oblique inverse.
```
# cat /etc/ssh/ssh_host_dsa_key.pub | ssh RemoteHost \
'cat >> /etc/ssh/ssh_known_hosts && echo "Host key copied"'
```
  2. Lorsque vous y êtes invité, indiquez votre mot de passe de connexion.
    Lorsque le fichier est copié, le message "Host key copied" (Clé d'hôte copiée) s'affiche.
    Chaque ligne du fichier /etc/ssh/ssh_known_hosts se compose de champs séparés par des espaces :
```
hostnames algorithm-name publickey comment
```
  3. Modifiez le fichier /etc/ssh/ssh_known_hosts et ajoutez RemoteHost comme premier champ de l'entrée copiée.
```
## /etc/ssh/ssh_known_hosts File
RemoteHost <copied entry>
```

Exemple 19-1 Configuration de l'authentification basée sur l'hôte

Dans l'exemple ci-dessous, chaque hôte est configuré en tant que serveur et en tant que client. Un utilisateur de l'un ou l'autre hôte peut lancer une connexion ssh à l'autre hôte. La configuration suivante convertit chaque hôte en serveur et client :

Sur chaque hôte, les fichiers de configuration Secure Shell contiennent les entrées suivantes :

## /etc/ssh/ssh_config
HostBasedAuthentication yes
# 
## /etc/ssh/sshd_config
HostBasedAuthentication yes
IgnoreRhosts no

Sur chaque hôte, le fichier shosts.equiv contient une entrée pour l'autre hôte :

## /etc/ssh/shosts.equiv on machine2
machine1

## /etc/ssh/shosts.equiv on machine1
machine2

La clé publique pour chaque hôte est dans le fichier /etc/ssh/ssh_known_hosts sur l'autre hôte :

## /etc/ssh/ssh_known_hosts on machine2
… machine1

## /etc/ssh/ssh_known_hosts on machine1
… machine2

Les utilisateurs ont un compte sur les deux hôtes :

## /etc/passwd on machine1
jdoe:x:3111:10:J Doe:/home/jdoe:/bin/sh

## /etc/passwd on machine2
jdoe:x:3111:10:J Doe:/home/jdoe:/bin/sh

Activation de Secure Shell v1

Cette procédure est utile lorsqu'un hôte interagit avec les hôtes qui exécutent v1 et v2.

Endossez le rôle de d'administrateur principal ou connectez-vous en tant que superutilisateur.
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.
Configurez l'hôte pour qu'il utilise les deux protocoles Secure Shell.
Modifier le fichier /etc/ssh/sshd_config.
```
# Protocol 2
Protocol 2,1
```
Fournissez un fichier distinct pour la clé d'hôte du protocole v1.
Ajouter une entrée HostKey au fichier /etc/ssh/sshd_config.
```
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_rsa1_key
```
Générez une clé d'hôte pour v1.
```
# ssh-keygen -t rsa1 -f /etc/ssh/ssh_host_rsa1_key -N ''
```
-t rsa1

Indique l'algorithme RSA pour v1.

-f

Indique le fichier qui contient la clé d'hôte.

-N ''

Indique qu'aucune phrase de passe n'est requise.
Redémarrez le démon sshd.
```
# svcadm restart network/ssh:default
```
Vous pouvez également redémarrer le système.

Configuration du transfert de port dans Secure Shell

Le transfert de port permet à un port local d'être transmis à un hôte distant. En réalité, un socket est alloué pour écouter le port côté local. De la même façon, un port peut être spécifié côté distant.

Remarque - Le transfert de port Secure Shell doit utiliser des connexions TCP. Secure Shell ne prend pas en charge les connexions UDP pour le transfert de port.

Endossez le rôle de d'administrateur principal ou connectez-vous en tant que superutilisateur.
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.
Configurez une définition Secure Shell sur le serveur distant pour autoriser le transfert de port.
Définissez la valeur de AllowTcpForwarding sur yes dans le fichier /etc/ssh/sshd_config.
```
# Port forwarding
AllowTcpForwarding yes
```
Redémarrez le service Secure Shell.
```
remoteHost# svcadm restart network/ssh:default
```
Pour plus d'informations sur la gestion des services persistants, reportez-vous au Chapitre 18, Gestion des services (présentation) du Guide d’administration système : administration de base et à la page de manuel svcadm(1M).

Vérifiez que le transfert de port peut être utilisé.

remoteHost# /usr/bin/pgrep -lf sshd
 1296 ssh -L 2001:remoteHost:23 remoteHost

Ignorer les liens de navigation
Quitter l'aperu
	Guide d'administration système : Services de sécurité