Secure Shell 認証
Secure Shell は、リモートホストへの接続を認証するために、公開鍵とパスワードの方式を提供します。公開鍵認証は、パスワード認証よりも強力な認証メカニズムです。これは、非公開鍵がネットワーク上を移動しないためです。
認証方式は、次の順序で試されます。構成が認証方式を満たさないときは、次の方式が試されます。
-
GSS-API – mech_krb5 (Kerberos V) や mech_dh (AUTH_DH) などの GSS-API メカニズムの資格を使用して、クライアントとサーバーを認証します。GSS-API の詳細は、Oracle Solaris 11 セキュリティー開発者ガイド
のGSS-API の紹介を参照してください。
-
ホストに基づく認証 – ホスト鍵と rhosts ファイルを使用します。クライアントの RSA および DSA 公開/非公開ホスト鍵を使用してクライアントを認証します。rhosts ファイルを使用して、ユーザーに対してクライアントを承認します。
-
公開鍵認証 – RSA および DSA 公開/非公開鍵によってユーザーを認証します。
-
パスワード認証 – PAM を使用してユーザーを認証します。v2 でのキーボード認証方式では、PAM による任意のプロンプトが可能です。詳細は、sshd(1M) のマニュアルページの「SECURITY」のセクションを参照してください。
次の表では、リモートホストにログインしようとするユーザーを認証するための要件を示します。ユーザーは、ローカルホスト (クライアント) 上に存在します。リモートホスト (サーバー) は、sshd デーモンを実行しています。次の表は、Secure Shell の認証方式とホストの要件を示します。
表 1-1 Secure Shell の認証方式
|
|
|
|
|
GSS メカニズムのイニシエータの資格。
|
|
|
|
ユーザーアカウント
/etc/ssh/ssh_host_rsa_key または /etc/ssh/ssh_host_dsa_key にローカルホストの非公開鍵
/etc/ssh/ssh_config 内で HostbasedAuthentication yes
|
ユーザーアカウント
/etc/ssh/known_hosts または ~/.ssh/known_hosts にローカルホストの公開鍵
/etc/ssh/sshd_config 内で HostbasedAuthentication yes
/etc/ssh/sshd_config 内で IgnoreRhosts no
/etc/ssh/shosts.equiv、/etc/hosts.equiv、~/.rhosts、または ~/.shosts にローカルホストのエントリ
|
|
|
ユーザーアカウント
|
ユーザーアカウント
PAM をサポートします。
|
|
.rhosts と RSA (v1) (サーバーのみ)
|
ユーザーアカウント
/etc/ssh/ssh_host_rsa1_key にローカルホストの公開鍵
|
ユーザーアカウント
/etc/ssh/ssh_known_hosts または ~/.ssh/known_hosts にローカルホストの公開鍵
/etc/ssh/sshd_config 内で IgnoreRhosts no
/etc/ssh/shosts.equiv、/etc/hosts.equiv、~/.shosts、または ~/.rhosts にローカルホストのエントリ
|
|
|
ユーザーアカウント
~/.ssh/id_rsa または ~/.ssh/id_dsa に非公開鍵
~/.ssh/id_rsa.pub または ~/.ssh/id_dsa.pub にユーザーの公開鍵
|
ユーザーアカウント
~/.ssh/authorized_keys にユーザーの公開鍵
|
|