Безопасность : устройства безопасности электронной почты Cisco ESA

Как настроить Аутентификацию Открытого ключа SSH для входа в систему к ESA без пароля

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает, как генерировать частную "Безопасную оболочку" (SSH) ключ и использование это для имени пользователя и аутентификации при вхождении в интерфейс командной строки (CLI) на Cisco Email Security Appliance (ESA).

Внесенный Шу Ыном, Робертом Шервином, специалистами службы технической поддержки Cisco.

Как настроить Аутентификацию Открытого ключа SSH для входа в систему к ESA без пароля

Аутентификация общего ключа (PKI) является методом аутентификации, который полагается на генерируемую общую/частную пару ключей. С PKI генерируется специальный "ключ", который имеет очень полезное свойство: Любой, кто может считать общую половину ключа, в состоянии, шифруют данные, которые могут тогда только быть считаны человеком, у которого есть доступ к частной половине ключа. Таким образом наличие доступа к общей половине ключа позволяет вам передавать секретную информацию любому с частной половиной и также проверять, что у человека действительно фактически есть доступ к частной половине. Просто видеть, как этот способ мог использоваться для аутентификации.

Как пользователь, можно генерировать пару ключей и затем разместить общую половину ключа на удаленной системе, такой как ESA. Та удаленная система тогда в состоянии подтвердить подлинность идентификатора пользователя, и позволять вам входить только при наличии вас демонстрируют, что у вас есть доступ к частной половине пары ключей. Это сделано в уровне протокола в SSH и происходит автоматически.

Это действительно, однако, означает, что необходимо защитить конфиденциальность секретного ключа. В совместно используемой системе, где у вас нет root, это может быть выполнено путем шифрования секретного ключа с паролем, который функционирует так же к паролю. Прежде чем SSH может считать секретный ключ для выполнения аутентификации с открытым ключом, вас попросят предоставить пароль так, чтобы мог быть дешифрован секретный ключ. В более защищенных системах (как машина, где вы - единственный пользователь или машина в доме, где ни у каких незнакомцев не будет физического доступа) можно упростить этот процесс любой путем создания незашифрованного секретного ключа (без пароли) или путем ввода пароли один раз и затем кэширования ключа в памяти на время времени в компьютере. OpenSSH содержит программное средство, названное агентом ssh, который упрощает этот процесс.

пример ssh-keygen для Linux/Unix

Завершите следующие шаги для устанавливания рабочая станция linux/unix (или сервер) для соединения с ESA без пароля. В данном примере мы не зададим как пароль.

1) На рабочей станции (или сервер), генерируйте секретный ключ с помощью ssh-keygen команды Unix:

$ ssh-keygen -b 2048 -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/[USERID]/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/[USERID]/.ssh/id_rsa.
Your public key has been saved in /home/[USERID]/.ssh/id_rsa.pub.
The key fingerprint is:
00:11:22:77:f6:a9:1e:19:f0:ca:28:9c:ff:00:11:22 [USERID]@hostname.com
The key's randomart image is:
+--[ RSA 2048]----+
| +... +|
| o= o+|
| o o ..|
| . ..o . + |
| . ES. o + |
| o + . . |
| o . . |
| o o |
| . . |
+-----------------+

(*the выше генерировался от Ubuntu 14.04.1), 

2) Откройте файл с открытым ключом (id_rsa.pub) созданный в #1 и скопируйте выходные данные:

$ cat .ssh/id_rsa.pub 
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDJg9W3DeGf83m+E/PLGzUFPalSoJz5F
t54Wl2wUS36NLxm4IO4Xfrrb5bA97I+ZA4YcB1l/HsFLZcoljAK4uBbmpY5kXg96A6Wf
mIYMnl+nV2vrhrODgbcicEAdMcQN3wWHXiEWacV+6u+FlHlonkSAIDEug6vfnd+bsbcP
Zz2uYnx1llxbVtGftbWVssBK3LkFp9f0GwDiYs7LsXvQbTkixrECXqeSrr+NLzhU5hf6
eb9Kn8xjytf+eFbYAslam/NEfl9i4rjide1ebWN+LnkdcE5eQ0ZsecBidXv0KNf45RJa
KgzF7joke9niLfpf2sgCTiFxg+qZ0rQludntknw [USERID]@hostname.com

3) Вход в систему к устройству и настраивает  ESA для распознавания рабочей станции (или сервер) использование общего SSH key, которого вы создали в #1, и передайте изменения. Заметьте запрос пароля во время входа в систему:

$ ssh admin@192.168.0.199
******************************
CONNECTING to myesa.local
Please stand by...
******************************

Password:[PASSWORD]
Last login: Mon Aug 18 14:11:40 2014 from 192.168.0.200
Copyright (c) 2001-2013, Cisco Systems, Inc.


AsyncOS 8.5.6 for Cisco C100V build 074

Welcome to the Cisco C100V Email Security Virtual Appliance

myesa.local> sshconfig

Currently installed keys for admin:

Choose the operation you want to perform:
- NEW - Add a new key.
- USER - Switch to a different user to edit.
[]> new

Please enter the public SSH key for authorization.
Press enter on a blank line to finish.
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDJg9W3DeGf83m+E/PLGzUFPalSoJz5F
t54Wl2wUS36NLxm4IO4Xfrrb5bA97I+ZA4YcB1l/HsFLZcoljAK4uBbmpY5kXg96A6Wf
mIYMnl+nV2vrhrODgbcicEAdMcQN3wWHXiEWacV+6u+FlHlonkSAIDEug6vfnd+bsbcP
Zz2uYnx1llxbVtGftbWVssBK3LkFp9f0GwDiYs7LsXvQbTkixrECXqeSrr+NLzhU5hf6
eb9Kn8xjytf+eFbYAslam/NEfl9i4rjide1ebWN+LnkdcE5eQ0ZsecBidXv0KNf45RJa
KgzF7joke9niLfpf2sgCTiFxg+qZ0rQludntknw [USERID]@hostname.com


Currently installed keys for admin:
1. ssh-rsa AAAAB3NzaC1yc2EAA...rQludntknw ([USERID]@hostname.com)

Choose the operation you want to perform:
- NEW - Add a new key.
- DELETE - Remove a key.
- PRINT - Display a key.
- USER - Switch to a different user to edit.
[]>

myesa.local> commit

4) Выход из устройства и перевход в систему. Заметьте, что запрос пароля удален, и доступ непосредственно предоставлен:

myesa.local> exit

Connection to 192.168.0.199 closed.
robert@ubuntu:~$ ssh admin@192.168.0.199
******************************
CONNECTING to myesa.local
Please stand by...
******************************

Last login: Mon Aug 18 14:14:50 2014 from 192.168.0.200
Copyright (c) 2001-2013, Cisco Systems, Inc.


AsyncOS 8.5.6 for Cisco C100V build 074

Welcome to the Cisco C100V Email Security Virtual Appliance
myesa.local>

пример ssh-keygen для Windows

Завершите следующие шаги для устанавливания Рабочая станция Windows (или сервер) для соединения с ESA без пароля. В данном примере мы не зададим как пароль.  

Примечание: Существует изменение на консольном приложении, используемом от Windows. Необходимо будет исследовать и найти решение, которое работает лучше всего для консольного приложения. Данный пример будет использовать PuTTy и PuTTyGen.

1) Открытый PuttyGen.

2) Для Типа ключа для генерации выберите SSH 2 RSA.

3) Нажмите кнопку Generate.

4) Переместите мышь в область ниже индикатора выполнения. Когда индикатор выполнения полон, PuTTYgen генерирует пару ключей.

5) Введите пароль в Ключевом поле пароли. Введите тот же пароль Подтвердить поле пароли. Можно использовать ключ без пароли, но это не рекомендуется.

6) Нажмите кнопку секретного ключа Save для сохранения секретного ключа.

Примечание: Необходимо сохранить секретный ключ. Вы будете требовать его для соединения с машиной.

7) Щелкните правой кнопкой мыши в текстовом поле маркированный Открытый ключ для вставки в файл OpenSSH authorized_keys и выберите Select All.

8) Щелкните правой кнопкой мыши снова в том же текстовом поле и выберите Copy.

9) Использование PuTTY, входа в систему к устройству и настраивает  ESA для распознавания Рабочей станции Windows (или сервер) использование общего SSH key, которого вы сохранили и скопировали с #6 - #8, и передайте изменения. Заметьте запрос пароля во время входа в систему:

login as: admin
Using keyboard-interactive authentication.
Password: [PASSWORD]
Last login: Mon Aug 18 11:46:17 2014 from 192.168.0.201
Copyright (c) 2001-2013, Cisco Systems, Inc.


AsyncOS 8.5.6 for Cisco C100V build 074

Welcome to the Cisco C100V Email Security Virtual Appliance
myesa.local> sshconfig

Currently installed keys for admin:

Choose the operation you want to perform:
- NEW - Add a new key.
- USER - Switch to a different user to edit.
[]> new

Please enter the public SSH key for authorization.
Press enter on a blank line to finish.
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAj6ReI+gqLU3W1uQAMUG0620B+tpdkjkgBn
5NfYc+qrtyB93stG38O1T4s0zHnhuKJLTdwBg/JHdFuNO77BY+21GYGS27dMp3UT9/VuQ
TjP8DmWKOa+8Mpc9ePdCBZp1C4ct9oroidUT3V3Fbl5M9rL8q4/gonSi+7iFc9uOaqgDM
/h+RxhYeFdJLechMY5nN0adViFloKGmV1tz3K9t0p+jEW5l9TJf+fl5X6yxpBBDoNcaB9
jNwQ5v7vcIZBv+fl98OcXD9SNt08G0XaefyD2VuphtNA5EHwx+f6eeA8ftlmO+PgtqnAs
c2T+i3BAdC73xwML+1IG82zY51pudntknw rsa-key-20140818


Currently installed keys for admin:
1. ssh-rsa AAAAB3NzaC1yc2EAA...51pudntknw (rsa-key-20140818)

Choose the operation you want to perform:
- NEW - Add a new key.
- DELETE - Remove a key.
- PRINT - Display a key.
- USER - Switch to a different user to edit.
[]>

myesa.local> commit  

10) От окна конфигурации PuTTy и существования ранее Сохраненный Сеанс для ESA, выбирают Connection> SSH> Auth и в Файле закрытого ключа для поля аутентификации, нажимают Browse и находят сохраненный секретный ключ от шага #6.

11) Сохраните Сеанс (профиль) в PuTTY и нажмите Open. Вход в систему с именем пользователя, если не уже сохраненный или заданный от предварительно сконфигурированного Сеанса. Заметьте включение "Аутентификации с открытым ключом" [ИМЯ ФАЙЛА, в которое OF СОХРАНИЛ СЕКРЕТНЫЙ КЛЮЧ]" при регистрации:

login as: admin
Authenticating with public key "rsa-key-20140818"
Last login: Mon Aug 18 11:56:49 2014 from 192.168.0.201
Copyright (c) 2001-2013, Cisco Systems, Inc.


AsyncOS 8.5.6 for Cisco C100V build 074

Welcome to the Cisco C100V Email Security Virtual Appliance
myesa.local>

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.