So konfigurieren Sie die SSH Public Key-Authentifizierung für die Anmeldung bei der ESA ohne Kennwort

Einleitung

In diesem Dokument wird beschrieben, wie Sie einen privaten Secure Shell (SSH)-Schlüssel generieren und diesen für den Benutzernamen und die Authentifizierung verwenden, wenn Sie sich bei der Befehlszeilenschnittstelle (CLI) der Cisco E-Mail Security Appliance (ESA) anmelden.

So konfigurieren Sie die SSH Public Key-Authentifizierung für die Anmeldung bei der ESA ohne Kennwort

Die Public-Key-Authentifizierung (PKI) ist eine Authentifizierungsmethode, die auf einer generierten öffentlichen/privaten Tastatur beruht. Mit PKI wird ein spezieller "Schlüssel" generiert, der eine sehr nützliche Eigenschaft hat: Jeder, der die öffentliche Hälfte des Schlüssels lesen kann, kann Daten verschlüsseln, die dann nur von einer Person gelesen werden können, die Zugriff auf die private Hälfte des Schlüssels hat. Auf diese Weise, den Zugang zu der öffentlichen Hälfte eines Schlüssels ermöglicht es Ihnen, geheime Informationen an jeden mit der privaten Hälfte zu senden, und auch zu überprüfen, dass eine Person tatsächlich Zugang zu der privaten Hälfte hat. Es ist leicht zu erkennen, wie diese Technik verwendet werden könnte, um sich zu authentifizieren.

Als Benutzer können Sie ein Tastenpaar generieren und dann die öffentliche Hälfte des Schlüssels auf einem Remote-System wie der ESA platzieren. Dieses Remote-System kann dann Ihre Benutzer-ID authentifizieren und Ihnen erlauben, sich anzumelden, indem Sie zeigen, dass Sie Zugriff auf die private Hälfte des Tastenpaars haben. Dies geschieht auf Protokollebene innerhalb von SSH und automatisch.

Es bedeutet jedoch, dass Sie die Privatsphäre des privaten Schlüssels schützen müssen. Auf einem gemeinsam genutzten System ohne Root kann dies durch Verschlüsseln des privaten Schlüssels mit einer Passphrase erreicht werden, die ähnlich wie ein Passwort funktioniert. Bevor SSH Ihren privaten Schlüssel lesen kann, um die Authentifizierung mit dem öffentlichen Schlüssel durchzuführen, werden Sie aufgefordert, die Passphrase anzugeben, damit der private Schlüssel entschlüsselt werden kann. Auf sichereren Systemen (wie einem Computer, auf dem Sie der einzige Benutzer sind, oder einem Computer zu Hause, auf dem keine Fremden physischen Zugriff haben) können Sie diesen Prozess vereinfachen, indem Sie entweder einen unverschlüsselten privaten Schlüssel (ohne Passphrase) erstellen oder Ihre Passphrase einmal eingeben und dann den Schlüssel für die Dauer Ihrer Zeit am Computer im Speicher zwischenspeichern. OpenSSH enthält ein Tool namens ssh-agent, das diesen Prozess vereinfacht.

ssh-keygen Beispiel für Linux/Unix

Führen Sie die folgenden Schritte aus, um eine Linux-/Unix-Workstation (oder einen Server) für die Verbindung mit der ESA ohne Kennwort einzurichten.  In diesem Beispiel wird keine Passphrase angegeben.

1) Generieren Sie auf Ihrer Workstation (oder Ihrem Server) einen privaten Schlüssel mit dem Unix-Befehl ssh-keygen:

$ ssh-keygen -b 2048 -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/[USERID]/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/[USERID]/.ssh/id_rsa.
Your public key has been saved in /home/[USERID]/.ssh/id_rsa.pub.
The key fingerprint is:
00:11:22:77:f6:a9:1e:19:f0:ca:28:9c:ff:00:11:22 [USERID]@hostname.com
The key's randomart image is:
+--[ RSA 2048]----+
|           +... +|
|            o= o+|
|           o o ..|
|       . ..o . + |
|       . ES. o + |
|         o + . . |
|           o . . |
|             o o |
|             . . |
+-----------------+

(*die obige Version wurde von Ubuntu 14.04.1 generiert) 

2) Öffnen Sie die in #1 erstellte Datei mit dem öffentlichen Schlüssel (id_rsa.pub), und kopieren Sie die Ausgabe:

$ cat .ssh/id_rsa.pub 
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDJg9W3DeGf83m+E/PLGzUFPalSoJz5F
 t54Wl2wUS36NLxm4IO4Xfrrb5bA97I+ZA4YcB1l/HsFLZcoljAK4uBbmpY5kXg96A6Wf
 mIYMnl+nV2vrhrODgbcicEAdMcQN3wWHXiEWacV+6u+FlHlonkSAIDEug6vfnd+bsbcP
 Zz2uYnx1llxbVtGftbWVssBK3LkFp9f0GwDiYs7LsXvQbTkixrECXqeSrr+NLzhU5hf6
 eb9Kn8xjytf+eFbYAslam/NEfl9i4rjide1ebWN+LnkdcE5eQ0ZsecBidXv0KNf45RJa
 KgzF7joke9niLfpf2sgCTiFxg+qZ0rQludntknw [USERID]@hostname.com

3) Melden Sie sich bei Ihrer Appliance an, konfigurieren Sie Ihre ESA so, dass diese Ihre Workstation (oder Ihren Server) mit dem öffentlichen SSH-Schlüssel erkennt, den Sie in #1 erstellt haben, und bestätigen Sie die Änderungen.  Beachten Sie bei der Anmeldung die Kennworteingabeaufforderung:

$ ssh admin@192.168.0.199
******************************
CONNECTING to myesa.local
Please stand by...
******************************

Password:[PASSWORD]
Last login: Mon Aug 18 14:11:40 2014 from 192.168.0.200
Copyright (c) 2001-2013, Cisco Systems, Inc.


AsyncOS 8.5.6 for Cisco C100V build 074

Welcome to the Cisco C100V Email Security Virtual Appliance

myesa.local> sshconfig

Currently installed keys for admin:

Choose the operation you want to perform:
- NEW - Add a new key.
- USER - Switch to a different user to edit.
[]> new

Please enter the public SSH key for authorization.
Press enter on a blank line to finish.
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDJg9W3DeGf83m+E/PLGzUFPalSoJz5F
 t54Wl2wUS36NLxm4IO4Xfrrb5bA97I+ZA4YcB1l/HsFLZcoljAK4uBbmpY5kXg96A6Wf
 mIYMnl+nV2vrhrODgbcicEAdMcQN3wWHXiEWacV+6u+FlHlonkSAIDEug6vfnd+bsbcP
 Zz2uYnx1llxbVtGftbWVssBK3LkFp9f0GwDiYs7LsXvQbTkixrECXqeSrr+NLzhU5hf6
 eb9Kn8xjytf+eFbYAslam/NEfl9i4rjide1ebWN+LnkdcE5eQ0ZsecBidXv0KNf45RJa
 KgzF7joke9niLfpf2sgCTiFxg+qZ0rQludntknw [USERID]@hostname.com

Currently installed keys for admin:
1. ssh-rsa AAAAB3NzaC1yc2EAA...rQludntknw ([USERID]@hostname.com)

Choose the operation you want to perform:
- NEW - Add a new key.
- DELETE - Remove a key.
- PRINT - Display a key.
- USER - Switch to a different user to edit.
[]> 

myesa.local> commit

4) Beenden Sie die Appliance, und melden Sie sich erneut an.  Beachten Sie, dass die Kennwortaufforderung entfernt wird und der Zugriff direkt gewährt wird:

myesa.local> exit

Connection to 192.168.0.199 closed.
robert@ubuntu:~$ ssh admin@192.168.0.199
******************************
CONNECTING to myesa.local
Please stand by...
******************************

Last login: Mon Aug 18 14:14:50 2014 from 192.168.0.200
Copyright (c) 2001-2013, Cisco Systems, Inc.


AsyncOS 8.5.6 for Cisco C100V build 074

Welcome to the Cisco C100V Email Security Virtual Appliance
myesa.local> 

ssh-keygen Beispiel für Windows

Führen Sie die folgenden Schritte aus, um eine Windows-Workstation (oder einen Server) für die Verbindung mit der ESA ohne Kennwort einzurichten.  In diesem Beispiel wird keine Passphrase angegeben.  

Hinweis: Es gibt eine Variation der Konsolenanwendung, die von Windows verwendet wird.  Sie müssen recherchieren und die Lösung finden, die für Ihre Konsolenanwendung am besten geeignet ist.  In diesem Beispiel werden PuTTy und PuTTyGen verwendet.

1) PuttyGen öffnen

2) Wählen Sie SSH-2 RSA aus, um den zu generierenden Schlüsseltyp auszuwählen.

3) Klicken Sie auf die Schaltfläche Generate (Erstellen).

4) Bewegen Sie die Maus in den Bereich unterhalb der Statusleiste. Wenn der Fortschrittsbalken voll ist, generiert PuTTYgen Ihr Schlüsselpaar.

5) Geben Sie eine Passphrase in das Feld Schlüssel-Passphrase ein. Geben Sie dieselbe Passphrase in das Feld Passphrase bestätigen ein. Sie können einen Schlüssel ohne Passphrase verwenden, dies wird jedoch nicht empfohlen.

6) Klicken Sie auf die Schaltfläche Privaten Schlüssel speichern, um den privaten Schlüssel zu speichern.

Hinweis: Sie müssen den privaten Schlüssel speichern. Sie benötigen es, um eine Verbindung zu Ihrem Computer herzustellen.

7) Klicken Sie mit der rechten Maustaste in das Textfeld Öffentlicher Schlüssel, um es in die Datei OpenSSH authorized_keys einzufügen, und wählen Sie Alle auswählen.

8) Klicken Sie erneut mit der rechten Maustaste in das gleiche Textfeld, und wählen Sie Kopieren.

9) Melden Sie sich mit PuTTY bei Ihrer Appliance an, konfigurieren Sie Ihre ESA so, dass sie Ihre Windows-Workstation (oder Ihren Server) mit dem öffentlichen SSH-Schlüssel erkennt, den Sie unter #6 - #8 gespeichert und kopiert haben, und bestätigen Sie die Änderungen.  Beachten Sie bei der Anmeldung die Kennworteingabeaufforderung:

login as: admin
Using keyboard-interactive authentication.
Password: [PASSWORD]
Last login: Mon Aug 18 11:46:17 2014 from 192.168.0.201
Copyright (c) 2001-2013, Cisco Systems, Inc.


AsyncOS 8.5.6 for Cisco C100V build 074

Welcome to the Cisco C100V Email Security Virtual Appliance
myesa.local> sshconfig

Currently installed keys for admin:

Choose the operation you want to perform:
- NEW - Add a new key.
- USER - Switch to a different user to edit.
[]> new

Please enter the public SSH key for authorization.
Press enter on a blank line to finish.
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAj6ReI+gqLU3W1uQAMUG0620B+tpdkjkgBn
 5NfYc+qrtyB93stG38O1T4s0zHnhuKJLTdwBg/JHdFuNO77BY+21GYGS27dMp3UT9/VuQ
 TjP8DmWKOa+8Mpc9ePdCBZp1C4ct9oroidUT3V3Fbl5M9rL8q4/gonSi+7iFc9uOaqgDM
 /h+RxhYeFdJLechMY5nN0adViFloKGmV1tz3K9t0p+jEW5l9TJf+fl5X6yxpBBDoNcaB9
 jNwQ5v7vcIZBv+fl98OcXD9SNt08G0XaefyD2VuphtNA5EHwx+f6eeA8ftlmO+PgtqnAs
 c2T+i3BAdC73xwML+1IG82zY51pudntknw rsa-key-20140818

Currently installed keys for admin:
1. ssh-rsa AAAAB3NzaC1yc2EAA...51pudntknw (rsa-key-20140818)

Choose the operation you want to perform:
- NEW - Add a new key.
- DELETE - Remove a key.
- PRINT - Display a key.
- USER - Switch to a different user to edit.
[]>

myesa.local> commit  

10) Wählen Sie im PuTy-Konfigurationsfenster und in Ihrer bereits vorhandenen gespeicherten Sitzung für Ihre ESA die Option Verbindung > SSH > Auth, und klicken Sie im Feld Privater Schlüssel zur Authentifizierung auf Durchsuchen, um Ihren gespeicherten privaten Schlüssel aus Schritt #6 zu finden.

11) Speichern Sie die Sitzung (das Profil) in PuTTY, und klicken Sie auf Öffnen.  Melden Sie sich mit dem Benutzernamen an, falls dieser nicht bereits gespeichert oder in der vorkonfigurierten Sitzung angegeben ist.  Beachten Sie die Aufnahme von "Authentifizieren mit öffentlichem Schlüssel "[DATEINAME DES GESPEICHERTEN PRIVATEN SCHLÜSSELS]" bei der Anmeldung:

login as: admin
Authenticating with public key "rsa-key-20140818"
Last login: Mon Aug 18 11:56:49 2014 from 192.168.0.201
Copyright (c) 2001-2013, Cisco Systems, Inc.


AsyncOS 8.5.6 for Cisco C100V build 074

Welcome to the Cisco C100V Email Security Virtual Appliance
myesa.local>

Zugehörige Informationen

• Cisco Email Security Appliance – Endbenutzerhandbücher
• Technischer Support und Dokumentation für Cisco Systeme

Revisionsverlauf

Überarbeitung	Veröffentlichungsdatum	Kommentare
1.0	20-Aug-2014	Erstveröffentlichung