Secure Shell プロトコルは、クライアントユーザー/ホストの認証、およびサーバーホストの認証をサポートしています。Secure Shell セッションを保護するために、暗号化鍵が交換されます。Secure Shell は、認証と鍵交換のためのさまざまな方法を提供します。その中には、任意のものもあります。クライアント認証メカニズムは、Table 1–1 に示されています。サーバーは、既知のホスト公開鍵を使用して認証されます。
認証については、Secure Shell はユーザー認証と、通常はパスワードを必要とする汎用対話型認証をサポートしています。Secure Shell はまた、ユーザー公開鍵と信頼できるホスト公開鍵による認証もサポートしています。鍵は、RSA の場合と DSA の場合があります。セッション鍵の交換は、サーバー認証手順で署名される Diffie-Hellman 短期鍵の交換で構成されます。さらに、Secure Shell は認証に GSS 資格を使用することもできます。
Secure Shell で認証のために GSS-API を使用するには、サーバーが GSS-API のアクセプタの資格を持ち、クライアントが GSS-API のイニシエータの資格を持つ必要があります。mech_dh および mech_krb5 がサポートされています。
mech_dh では、サーバーは、root が keylogin コマンドを実行すると、GSS-API アクセプタの資格を持ちます。
mech_krb5 では、サーバーは、サーバーに対応するホスト主体が /etc/krb5/krb5.keytab で有効なエントリを持つと、GSS-API アクセプタの資格を持ちます。
クライアントは、次のどちらかによって、mech_dh に対するイニシエータの資格を持ちます。
keylogin コマンドが実行された。
pam_dhkeys モジュールが pam.conf ファイルで使用されている。
クライアントは、次のどちらかによって、mech_krb5 に対するイニシエータの資格を持ちます。
kinit コマンドが実行された。
pam_krb5 モジュールが pam.conf ファイルで使用されている。
Secure RPC での mech_dh の使用の詳細は、Oracle Solaris 11.2 での Kerberos およびその他の認証サービスの管理 の第 10 章ネットワークサービスの認証の構成を参照してください。mech_krb5 の使用の詳細は、Oracle Solaris 11.2 での Kerberos およびその他の認証サービスの管理 の第 2 章Kerberos サービスについてを参照してください。メカニズムの詳細は、mech(4) および mech_spnego(5) のマニュアルページを参照してください。