この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章は、次の項で構成されています。
セキュア シェル(SSH)プロトコル サーバー機能を使用すると、SSH クライアントは Cisco Nexus デバイスとの間で、セキュアな暗号化された接続を確立できます。SSH は強化暗号化を使用して認証を行います。Cisco Nexus デバイス スイッチの SSH サーバーは、無償あるいは商用の SSH クライアントと連係して動作します。
SSH がサポートするユーザー認証メカニズムには、RADIUS、TACACS+、およびローカルに格納されたユーザー名とパスワードを使用した認証があります。
SSH クライアント機能は、SSH プロトコルを介して実行されるアプリケーションで、認証と暗号化を行います。SSH クライアントを使用すると、スイッチは、別の Cisco Nexus デバイススイッチとの間、または SSH サーバーを稼働している他の任意のデバイスとの間でセキュアな暗号化された接続を確立できます。この接続は、暗号化されたアウトバウンド接続を実現します。認証と暗号化により、SSH クライアントは、セキュリティ保護されていないネットワーク上でもセキュアな通信を実現できます。
Cisco Nexus デバイスの SSH クライアントは、無償あるいは商用の SSH サーバーと連係して動作します。
SSH では、Cisco Nexus デバイスとのセキュアな通信を行うためにサーバー キーが必要です。SSH キーは、次の SSH オプションに使用できます。
Rivest, Shamir, and Adelman(RSA)公開キー暗号化を使用した SSH バージョン 2
Digital System Algrorithm(DSA)を使用した SSH バージョン 2
SSH サービスをイネーブルにする前に、適切なバージョンの SSH サーバ キー ペアを取得してください。使用中の SSH クライアント バージョンに応じて、SSH サーバ キー ペアを生成します。SSH サービスでは、SSH バージョン 2 に対応する 2 とおりのキー ペアを使用できます。
dsa オプションを使用すると、SSH バージョン 2 プロトコルに対応する DSA キーペアが生成されます。
rsa オプションを使用すると、SSH バージョン 2 プロトコルに対応する RSA キーペアが生成されます。
デフォルトでは、Cisco Nexus デバイスは 1024 ビットの RSA キーを生成します。
SSH は、次の公開キー形式をサポートします。
OpenSSH
IETF SSH(SECSH)
 Caution |
SSH キーをすべて削除すると、SSH サービスを開始できません。 |
ホストベース認証は、 サーバーの known_hosts ファイルでクライアントのホスト公開キーを確認することにより、クライアントのホストをサーバー( Cisco Nexus 9000 スイッチ)に対して認証するSSH認証方式です。これは、ユーザーまたはホストを認証ために認証局(CA)によって署名されたデジタル証明書を使用する
SSH 証明書ベースの認証とは異なります。
ホスト アイデンティティ ベースの認証(HIBA)は、証明書にホスト承認情報を埋め込むことによって SSH 承認管理を一元化する方式です。
ホスト承認情報は、ホスト証明書に組み込まれています。
ユーザー証明書には、アクセス許可を指定する「付与」が含まれています。
認証は、認証局(CA)によって一元的に管理されます。
HIBA は SSH アクセス制御を簡素化し、管理オーバーヘッドを削減し、承認のための外部 AAA サーバーへの依存を排除します。
HIBA には、従来の SSH キー管理に比べて次のような利点があります。
HIBA の主なメリットは以下のとおりです:
管理の簡素化: 証明書ベースのアイデンティティによる一元化された承認により、管理が簡素化されます。
拡張性: 大規模で複雑な環境での SSH アクセスの管理が簡素化されます。
依存関係の軽減: 承認に関する外部 AAA サーバーへのご利用条件を排除し、ラストリゾート アクセスに適したものにします。
セキュリティの強化: 短期間の証明書を使用した一時的なアクセスと特権アクセスの制御が向上しました。
このプロセスでは、HIBA が構成されている場合に SSH 認証がどのように行われるかについて説明します。
SSH サーバーは、HIBA 承認モジュールを呼び出し、認証中にユーザー証明書を処理します。アクセスは、構成されたホスト ID と付与に対して HIBA モジュールがユーザーの証明書を正常に検証した場合に付与されます。HIBA 検証が失敗した場合、 SSH サーバーは、構成に応じて、他の認証方法にフォールバックする場合があります。
次の段階で、HIBA を使用した SSH 認証プロセスについて説明します。
[SSH 接続試行(SSH Connection Attempt) ]:ユーザーは、 SSH でスイッチへの接続を試行します。
[証明書の提示(Certificate Presentation)] : SSH クライアントは、スイッチ上の SSH サーバーにユーザーの証明書を提示します。
[HIBA モジュール呼び出し(HIBA Module Invocation)] : SSH サーバーは、その構成(AuthorizedPrincipalsCommand)に基づいて、HIBA 承認モジュールを呼び出します。
[証明書の検証(Certificate Validation)] :HIBA モジュールは、次の検証を実行します:
構成された HIBA CA と 照合してユーザー証明書の署名を確認します。
ホスト証明書からホスト ID を抽出します。
ホスト ID と一致するユーザー証明書内の有効な「付与」をチェックします。
[アクセス決定(Access Decision)] :HIBA モジュールの検証に基づいて、次のいずれかが行われます:
| 属性... | 結合できるフィールド | 次の操作 | 結合できるフィールド |
|---|---|---|---|
|
ユーザー証明書が HIBA モジュールによって正常に検証されました |
ターゲット ホストの有効な付与がユーザー証明書にあります。 |
ユーザーにアクセス権が付与されます。 |
SSH セッションが続行されます。 |
|
ユーザー証明書が無効であるか、検証できません。 |
ユーザー証明書に有効な付与が見つかりませんでした。 |
HIBA モジュールによってアクセスが拒否されました。 |
SSH サーバーは、他の認証方法にフォールバックする場合があります(構成されている場合)。 |
この手順では、 SSH ホスト アイデンティティ ベースの認可(HIBA)の構成について説明します。
この構成では、 SSH サーバー キーの生成、HIBA CA のトラストポイントの構成、 SSH ホスト証明書の登録、認証に HIBA を使用するための SSH サーバーの構成を行います。
 (注) |
初めて HIBA を構成する場合、ローカル ユーザー アカウントやその他の構成済み AAA サーバーなど、従来の SSH 認証方式を使用してスイッチにログインできます。HIBA を有効にしても、既存のローカル SSH ユーザーは、明示的にアカウントを削除しない限り、削除またはブロックされません。 |
HIBA を構成する前に、次の点を確認してください:
認証局(CA)を含む、機能する PKI インフラストラクチャ。
CA サーバーへの接続。
|
ステップ 1 |
configure terminal 例:グローバル構成モードを開始します。 |
|
ステップ 2 |
ssh key ecdsa bits 例:スイッチの ECDSA キーペアを生成します。この例では、384 ビットの ECDSA キーが使用されています。セキュリティ ポリシーとプラットフォームでサポートされるキー サイズを使用します。 |
|
ステップ 3 |
ssh key export bootflash:file_name ecdsa 例:SSH ホスト ECDSA キーをブートフラッシュにエクスポートします。必要に応じて エクスポート後、SFTP を使用して |
|
ステップ 4 |
crypto ca trustpoint openssh-ca type ssh 例:HIBA CA のトラストポイントを作成します。一貫性を保つために、 openssh-ca という名前を使用します。 |
|
ステップ 5 |
crypto ca authenticate openssh-ca type ssh ecdsa-sha2-nistp384 public_key 例:CA 公開キーをインポートして HIBA CAを認証します。キー文字列を実際の CA 公開キーに置き換えます。 |
|
ステップ 6 |
crypto ca enroll openssh-ca type ssh host-certificate ecdsa-sha2-nistp384-cert-v01@openssh.com certificate_content 例:CA によって署名された SSH ホスト証明書を登録します。Google HIBA CA Wiki の手順に従って生成された証明書のコンテンツを使用します。 |
重要 |
次に、 Linux システムで HIBA SSH クライアントを構成するための 例 として、次の手順を示します。正確な手順と出力は、クライアント オペレーティング システムと SSH バージョンによって異なる場合があります。確実な手順については、システムの公式な SSH ドキュメントを参照してください。 |
この手順では、 SSH でホスト アイデンティティ ベースの認証(HIBA)を使用するためのクライアント側の構成について説明します。
(注) |
「HIBA サーバー」という用語は、 Cisco Nexus 9000 スイッチで実行され、HIBA を使用するように構成された SSH サーバーを指します。 |
HIBA SSH クライアントを構成する前に、次を確認してください:
ホストに openssh-client が有効にインストールされている。
CA 公開キー(ca.pub)。
ユーザー秘密キーおよび有効な HIBA 拡張との一致証明書。
ユーザー公開キー(key_rsa.pub または同等品)。
|
ステップ 1 |
$ cat /etc/ssh/ssh_config 例:SSH クライアント設定の構成 |
||
|
ステップ 2 |
$ echo "@cert-authority * $(cat /etc/ssh/ca.pub)" > /etc/ssh/known_hosts 例:known_hosts に CA 公開キーを入力します |
||
|
ステップ 3 |
$ cat ~/.ssh/key_rsa.pub 例:ユーザー公開キーの表示 ユーザー公開キーファイルの内容を表示します。このキーは証明書ベースの認証に必要であり、秘密キーおよび証明書に対応している必要があります。
|
||
|
ステップ 4 |
$ ssh -i <path_to_private_key> <user>@<hiba_server_ip> 例:HIBA 対応 SSH サーバーに接続 自分の秘密キー(および必要な場合は秘密キーとそれに一致する証明書)を活用 SSH サーバーに接続します。
|
正しく構成されている場合、 SSH 接続は HIBA 証明書ベースの認証を使用して確立され、 CA 公開キーに対するホストの検証が成功します。公開キーがサーバーの authorized_keys に存在する場合、パスワードレス ログインが可能になります。
|
ステップ 1 |
show crypto ca certificates type ssh 例:SSH 証明書を表示し、ホスト証明書が登録済みで、正しいトラストポイント( [想定される出力(Expected Output)]: 出力には、HIBA 付与を示す「HIBA Info」セクションを含む、 SSH ホスト証明書の詳細が表示される必要があります。 ホスト証明書と HIBA 情報が正しく表示されれば、証明書の登録は成功です。 |
|
ステップ 2 |
show crypto ca trustpoints type ssh 例:SSH トラストポイントを表示し、HIBA CA トラストポイント( [想定される出力(Expected Output)]: 出力には、タイプ HIBA CA トラストポイントが出力に表示される場合、トラストポイントは正常に構成されています。 |
|
ステップ 3 |
ssh -i path_to_private_key> <user>@<switch_ip 例:CA によって署名された HIBA 対応証明書を持つユーザーを使用して、スイッチに SSH で接続します。 注:-i オプションは、ユーザーの パスワードの入力を求めずに、 SSH 接続が正常に確立されます(パスワード認証が無効になっている場合)。 |
Telnet プロトコルは、ホストとの TCP/IP 接続を確立します。Telnet を使用すると、あるサイトのユーザーが別サイトのログイン サーバーとの TCP 接続を確立して、システム間でキーストロークをやり取りできます。Telnet は、リモート システムのアドレスとして、IP アドレスまたはドメイン名を受け取ります。
Cisco Nexus デバイスでは、デフォルトで Telnet サーバーがイネーブルになっています。
SSH には、次の注意事項および制限事項があります。
Cisco Nexus デバイスは、SSH バージョン 2(SSHv2)だけをサポートしています。
SSH パスワードレス ファイル コピーを目的として AAA プロトコル(RADIUS や TACACS+ など)を介してリモート認証されたユーザ アカウントにインポートされた SSH 公開キーと秘密キーは、同じ名前のローカル ユーザ アカウントでない限り、Nexus デバイスがリロードされると保持されません。リモート ユーザ アカウントは、SSH キーがインポートされる前にデバイスで設定されます。
セキュリティ要件に基づいて SSH サーバ キーを生成できます。デフォルトの SSH サーバ キーは、1024 ビットで生成される RSA キーです。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 2 |
switch(config)# ssh key {dsa [force] | rsa [bits [force]]} |
SSH サーバー キーを生成します。 bits 引数には、キーの生成に使用するビット数を指定します。有効な範囲は 768 ~ 4096 です。デフォルト値は 1024 です。 既存のキーを置き換える場合は、キーワード force を使用します。 |
|
Step 3 |
switch(config)# exit |
グローバル コンフィギュレーション モードを終了します。 |
|
Step 4 |
(Optional) switch# show ssh key |
(Optional)
SSH サーバー キーを表示します。 |
|
Step 5 |
(Optional) switch# copy running-config startup-config |
(Optional)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、SSH サーバー キーを生成する例を示します。
switch# configure terminal
switch(config)# ssh key rsa 2048
switch(config)# exit
switch# show ssh key
switch# copy running-config startup-config
SSH 公開キーを設定すると、パスワードを要求されることなく、SSH クライアントを使用してログインできます。SSH 公開キーは、次の 3 種類のいずれかの形式で指定できます。
Open SSH 形式
Internet Engineering Task Force(IETF)SECSH 形式
Privacy Enhanced Mail(PEM)形式の公開キー証明書
ユーザー アカウント用に SSH 形式で SSH 公開キーを指定できます。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 2 |
switch(config)# username username sshkey ssh-key |
SSH 形式で SSH 公開キーを設定します。 |
|
Step 3 |
switch(config)# exit |
グローバル コンフィギュレーション モードを終了します。 |
|
Step 4 |
(Optional) switch# show user-account |
(Optional)
ユーザー アカウントの設定を表示します。 |
|
Step 5 |
(Optional) switch# copy running-config startup-config |
(Optional)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、Open SSH 形式で SSH 公開キーを指定する例を示します。
switch# configure terminal
switch(config)# username User1 sshkey ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAri3mQy4W1AV9Y2t2hrEWgbUEYz
CfTPO5B8LRkedn56BEy2N9ZcdpqE6aqJLZwfZcTFEzaAAZp9AS86dgBAjsKGs7UxnhGySr8ZELv+DQBsDQH6rZt0KR+2Da8hJD4Z
XIeccWk0gS1DQUNZ300xstQsYZUtqnx1bvm5Ninn0McNinn0Mc=
switch(config)# exit
switch# show user-account
switch# copy running-config startup-config
Note |
上記の例の username コマンドは、読みやすくするために改行されていますが、単一行です。 |
ユーザー アカウント用に IETF SECSH 形式で SSH 公開キーを指定できます。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
switch# copy server-file bootflash: filename |
サーバーから IETF SECSH 形式の SSH キーを含むファイルをダウンロードします。File Transfer Protocol(FTP)、SCP、SSH File Transfer Protocol(SFTP)、または Trivial File Transfer Protocol(TFTP)サーバーを利用できます。 |
|
Step 2 |
switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
switch(config)# username username sshkey file filename |
SSH 形式で SSH 公開キーを設定します。 |
|
Step 4 |
switch(config)# exit |
グローバル コンフィギュレーション モードを終了します。 |
|
Step 5 |
(Optional) switch# show user-account |
(Optional)
ユーザー アカウントの設定を表示します。 |
|
Step 6 |
(Optional) switch# copy running-config startup-config |
(Optional)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、IETF SECSH 形式で SSH 公開キーを指定する例を示します。
switch#copy tftp://10.10.1.1/secsh_file.pub bootflash:secsh_file.pub
switch# configure terminal
switch(config)# username User1 sshkey file bootflash:secsh_file.pub
switch(config)# exit
switch# show user-account
switch# copy running-config startup-configユーザー アカウント用に PEM フォーマット化された公開キー証明書形式で SSH 公開キーを指定できます。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
switch# copy server-file bootflash: filename |
サーバーから PEM フォーマット化された公開キー証明書形式の SSH キーを含むファイルをダウンロードします。FTP、SCP、SFTP、または TFTP サーバーを利用できます。 |
|
Step 2 |
switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
(Optional) switch# show user-account |
(Optional)
ユーザー アカウントの設定を表示します。 |
|
Step 4 |
(Optional) switch# copy running-config startup-config |
(Optional)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、PEM フォーマット化された公開キー証明書形式で SSH 公開キーを指定する例を示します。
switch# copy tftp://10.10.1.1/cert.pem bootflash:cert.pem
switch# configure terminal
switch# show user-account
switch# copy running-config startup-config
Cisco Nexus デバイスからリモート デバイスに接続する SSH セッションを開始できます。
| Command or Action | Purpose |
|---|---|
|
switch# ssh {hostname | username@hostname} [ vrf vrf-name] |
リモート デバイスとの SSH セッションを作成します。引数 hostname には、IPv4 アドレスまたはホスト名を指定します。 |
SCP または SFTP を使用してサーバーからファイルをダウンロードする場合は、サーバーと信頼性のある SSH 関係を確立します。
| Command or Action | Purpose |
|---|---|
|
switch# clear ssh hosts |
SSH ホスト セッションをクリアします。 |
SSH サーバーは、デフォルトでCisco Nexus デバイスでイネーブルになっています。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 2 |
switch(config)# [no] feature ssh |
SSH サーバーをイネーブル/ディセーブルにします。デフォルトでは有効になっています。 |
|
Step 3 |
switch(config)# exit |
グローバル コンフィギュレーション モードを終了します。 |
|
Step 4 |
(Optional) switch# show ssh server |
(Optional)
SSH サーバーの設定を表示します。 |
|
Step 5 |
(Optional) switch# copy running-config startup-config |
(Optional)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
SSH サーバーをディセーブルにした後、SSH サーバー キーを削除できます。
Note |
SSH を再度イネーブルにするには、まず、SSH サーバー キーを生成する必要があります。 |
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 2 |
switch(config)# no feature ssh |
SSH サーバーをディセーブルにします。 |
|
Step 3 |
switch(config)# no ssh key [dsa | rsa] |
SSH サーバ キーを削除します。 デフォルトでは、すべての SSH キーが削除されます。 |
|
Step 4 |
switch(config)# exit |
グローバル コンフィギュレーション モードを終了します。 |
|
Step 5 |
(Optional) switch# show ssh key |
(Optional)
SSH サーバーの設定を表示します。 |
|
Step 6 |
(Optional) switch# copy running-config startup-config |
(Optional)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
Cisco Nexus デバイスから SSH セッションをクリアできます。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
switch# show users |
ユーザー セッション情報を表示します。 |
|
Step 2 |
switch# clear line vty-line |
ユーザ SSH セッションをクリアします。 |
次に、SSH を設定する例を示します。
|
Step 1 |
SSH サーバ キーを生成します。 |
||
|
Step 2 |
SSH サーバをイネーブルにします。
|
||
|
Step 3 |
SSH サーバー キーを表示します。 |
||
|
Step 4 |
Open SSH 形式による SSH 公開キーを指定します。 |
||
|
Step 5 |
設定を保存します。 |
デフォルトでは、Telnet サーバーはイネーブルに設定されています。Cisco Nexus デバイスの Telnet サーバーをディセーブルにできます。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 2 |
switch(config)# [no] feature telnet |
Telnet サーバーをイネーブル/ディセーブルにします。デフォルトではイネーブルになっています。 |
Cisco Nexus デバイスの Telnet サーバーがディセーブルにされた場合は、再度イネーブルにできます。
| Command or Action | Purpose |
|---|---|
|
switch(config)# [no] feature telnet |
Telnet サーバーを再度イネーブルにします。 |
Telnet セッションを開始してリモート デバイスに接続する前に、次の作業を行う必要があります。
リモート デバイスのホスト名を取得します。必要に応じて、リモート デバイスのユーザー名も取得します。
Cisco Nexus デバイス上で Telnet サーバーをイネーブルにします。
リモート デバイス上で Telnet サーバーをイネーブルにします。
| Command or Action | Purpose |
|---|---|
|
switch# telnet hostname |
リモート デバイスとの Telnet セッションを作成します。引数 hostname には、IPv4 アドレスまたはデバイス名を指定します。 |
次に、Telnet セッションを開始してリモート デバイスに接続する例を示します。
switch# telnet 10.10.1.1
Trying 10.10.1.1...
Connected to 10.10.1.1.
Escape character is '^]'.
switch login:
Cisco Nexus デバイスから Telnet セッションをクリアできます。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
switch# show users |
ユーザー セッション情報を表示します。 |
|
Step 2 |
switch# clear line vty-line |
ユーザ Telnet セッションをクリアします。 |
SSH の設定情報を表示するには、次のいずれかの作業を行います。
次の表に、SSH パラメータのデフォルト設定を示します。
|
パラメータ |
デフォルト |
|---|---|
|
SSH サーバ |
イネーブル |
|
SSH サーバ キー |
1024 ビットで生成された RSA キー |
|
RSA キー生成ビット数 |
1024 |
|
Telnet サーバ |
有効(Enabled) |
フィードバック