安全 Shell协议支持客户机用户/主机验证和服务器主机验证。交换加密密钥以保护安全 Shell 会话。安全 Shell 提供多种验证和密钥交换方法。有些方法是可选的。在Table 1–1 中列出了客户机验证机制。通过使用已知主机公钥来验证服务器。
对于验证,安全 Shell 支持用户验证和普通交互式验证,这通常需要使用口令。安全 Shell 还支持使用用户公钥和可信主机公钥进行验证。密钥可以是 RSA 或者 DSA。会话密钥交换包括在服务器验证步骤中签名的 Diffie-Hellman 临时密钥交换。此外,安全 Shell 可以使用 GSS 凭证进行验证。
要在安全 Shell 中使用 GSS-API 进行验证,服务器必须具有 GSS-API 接受器凭证,而客户机必须具有 GSS-API 启动器凭证。提供对 mech_dh 和 mech_krb5 的支持。
对于 mech_dh,如果 root 运行了 keylogin 命令,则服务器具有 GSS-API 接受器凭证。
对于 mech_krb5,如果对应于服务器的主机主体在 /etc/krb5/krb5.keytab 中有一个有效项,则该服务器具有 GSS-API 接受器凭证。
如果执行了以下操作之一,客户机将具有 mech_dh 的启动器凭证:
运行了 keylogin 命令。
在 pam.conf 文件中使用了 pam_dhkeys 模块。
如果执行了以下操作之一,客户机将具有 mech_krb5 的启动器凭证:
运行了 kinit 命令。
在 pam.conf 文件中使用了 pam_krb5 模块。
有关在安全 RPC 中使用 mech_dh 的更多信息,请参见在 Oracle Solaris 11.2 中管理 Kerberos 和其他验证服务 中的第 10 章 配置网络服务验证。有关使用 mech_krb5 的更多信息,请参见在 Oracle Solaris 11.2 中管理 Kerberos 和其他验证服务 中的第 2 章 关于 Kerberos 服务。有关机制的更多信息,请参见 mech(4) 和 mech_spnego(5) 手册页。