パスワードなしで ESA にログインできる SSH 公開キー認証の設定方法

ダウンロード オプション

  • PDF     (337.9 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (84.6 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (70.5 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2014 年 8 月 20 日
Document ID:118305

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

このドキュメントでは、プライベート セキュア シェル(SSH)キーを生成し、Cisco E メール セキュリティ アプライアンス(ESA)で CLI(コマンド ライン インターフェイス)にログインするときにユーザ名と認証にそのキーを使用する方法について説明します。

パスワードなしで ESA にログインできる SSH 公開キー認証の設定方法

公開鍵認証(PKI)は、生成された公開/秘密キーペアに依存する認証方法です。PKIでは、特別な「鍵」が生成されます。これは非常に有用な特性を持っています。鍵の公開側を読める人は誰でもデータを暗号化することができ、暗号化されたデータは鍵のプライベート側へのアクセス権を持つ人だけが読むことができます。こうすることで、鍵の公開鍵へのアクセス権があれば、秘密鍵を持っている人に秘密情報を送ることができ、また、ある人が実際に秘密鍵へのアクセス権を持っていることも検証できます。この手法を使用して認証する方法は簡単に確認できます。

ユーザはキーペアを生成し、キーの公開鍵をESAなどのリモートシステムに配置できます。このリモートシステムはユーザIDを認証でき、キーペアのプライベートハーフへのアクセス権を持つことを示すだけでログインできます。これはSSH内のプロトコルレベルで自動的に行われます。

ただし、これは秘密キーのプライバシーを保護する必要があることを意味します。root権限のない共有システムでは、パスワードと同様に機能するパスフレーズで秘密キーを暗号化することで、これを実現できます。SSHが秘密キーを読み取って公開キー認証を実行する前に、秘密キーを復号できるようにパスフレーズを指定するように求められます。より安全なシステム(あなたが唯一のユーザであるマシンや、見知らぬ人が物理的にアクセスしない自宅のマシンなど)では、暗号化されていない秘密鍵を作成する(パスフレーズなし)か、パスフレーズを1回入力してから、コンピュータで一定時間その鍵をメモリにキャッシュすることで、このプロセスを簡単にできます。OpenSSHには、このプロセスを簡素化するssh-agentというツールが含まれています。

linux/Unix用のssh-keygenの例

パスワードなしでESAに接続するようにLinux/UNIXワークステーション(またはサーバ)をセットアップするには、次の手順を実行します。 この例では、パスフレーズは指定しません。

1)ワークステーション(またはサーバ)で、UNIXコマンドssh-keygenを使用して秘密キーを生成します。

$ ssh-keygen -b 2048 -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/[USERID]/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/[USERID]/.ssh/id_rsa.
Your public key has been saved in /home/[USERID]/.ssh/id_rsa.pub.
The key fingerprint is:
00:11:22:77:f6:a9:1e:19:f0:ca:28:9c:ff:00:11:22 [USERID]@hostname.com
The key's randomart image is:
+--[ RSA 2048]----+
|           +... +|
|            o= o+|
|           o o ..|
|       . ..o . + |
|       . ES. o + |
|         o + . . |
|           o . . |
|             o o |
|             . . |
+-----------------+

(*上記はUbuntu 14.04.1から生成されました) 

2) #1で作成した公開キーファイル(id_rsa.pub)を開き、出力をコピーします。

$ cat .ssh/id_rsa.pub 
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDJg9W3DeGf83m+E/PLGzUFPalSoJz5F
 t54Wl2wUS36NLxm4IO4Xfrrb5bA97I+ZA4YcB1l/HsFLZcoljAK4uBbmpY5kXg96A6Wf
 mIYMnl+nV2vrhrODgbcicEAdMcQN3wWHXiEWacV+6u+FlHlonkSAIDEug6vfnd+bsbcP
 Zz2uYnx1llxbVtGftbWVssBK3LkFp9f0GwDiYs7LsXvQbTkixrECXqeSrr+NLzhU5hf6
 eb9Kn8xjytf+eFbYAslam/NEfl9i4rjide1ebWN+LnkdcE5eQ0ZsecBidXv0KNf45RJa
 KgzF7joke9niLfpf2sgCTiFxg+qZ0rQludntknw [USERID]@hostname.com

3)アプライアンスにログインし、#1で作成した公開SSHキーを使用してワークステーション(またはサーバ)を認識するようにESAを設定し、変更をコミットします。 ログイン時のパスワードプロンプトに注意してください。

$ ssh admin@192.168.0.199
******************************
CONNECTING to myesa.local
Please stand by...
******************************

Password:[PASSWORD]
Last login: Mon Aug 18 14:11:40 2014 from 192.168.0.200
Copyright (c) 2001-2013, Cisco Systems, Inc.


AsyncOS 8.5.6 for Cisco C100V build 074

Welcome to the Cisco C100V Email Security Virtual Appliance

myesa.local> sshconfig

Currently installed keys for admin:

Choose the operation you want to perform:
- NEW - Add a new key.
- USER - Switch to a different user to edit.
[]> new

Please enter the public SSH key for authorization.
Press enter on a blank line to finish.
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDJg9W3DeGf83m+E/PLGzUFPalSoJz5F
 t54Wl2wUS36NLxm4IO4Xfrrb5bA97I+ZA4YcB1l/HsFLZcoljAK4uBbmpY5kXg96A6Wf
 mIYMnl+nV2vrhrODgbcicEAdMcQN3wWHXiEWacV+6u+FlHlonkSAIDEug6vfnd+bsbcP
 Zz2uYnx1llxbVtGftbWVssBK3LkFp9f0GwDiYs7LsXvQbTkixrECXqeSrr+NLzhU5hf6
 eb9Kn8xjytf+eFbYAslam/NEfl9i4rjide1ebWN+LnkdcE5eQ0ZsecBidXv0KNf45RJa
 KgzF7joke9niLfpf2sgCTiFxg+qZ0rQludntknw [USERID]@hostname.com

Currently installed keys for admin:
1. ssh-rsa AAAAB3NzaC1yc2EAA...rQludntknw ([USERID]@hostname.com)

Choose the operation you want to perform:
- NEW - Add a new key.
- DELETE - Remove a key.
- PRINT - Display a key.
- USER - Switch to a different user to edit.
[]> 

myesa.local> commit

4)アプライアンスを終了し、再度ログインします。 パスワードプロンプトが削除され、アクセスが直接許可されることに注意してください。

myesa.local> exit

Connection to 192.168.0.199 closed.
robert@ubuntu:~$ ssh admin@192.168.0.199
******************************
CONNECTING to myesa.local
Please stand by...
******************************

Last login: Mon Aug 18 14:14:50 2014 from 192.168.0.200
Copyright (c) 2001-2013, Cisco Systems, Inc.


AsyncOS 8.5.6 for Cisco C100V build 074

Welcome to the Cisco C100V Email Security Virtual Appliance
myesa.local>

Windows用のssh-keygenの例

Windowsワークステーション(またはサーバ)をセットアップして、パスワードなしでESAに接続するには、次の手順を実行します。 この例では、パスフレーズは指定しません。  

:Windowsから使用されるコンソールアプリケーションには、さまざまなバリエーションがあります。 コンソールアプリケーションに最適なソリューションを調査して見つける必要があります。 この例では、PuTTyとPuTTyGenを使用します。

1) PuttyGenを開きます。

2) [生成するキーのタイプ]で、[SSH-2 RSA]を選択します。

3) Generateボタンをクリックします。

4)マウスをプログレスバーの下の領域に移動します。経過表示バーがいっぱいになると、PuTTYgenがキーペアを生成します。

5) Key passphraseフィールドにパスフレーズを入力します。「Confirm passphrase」フィールドに同じパスフレーズを入力します。パスフレーズなしでキーを使用できますが、これは推奨されません。

6) Save private keyボタンをクリックして、秘密キーを保存します。

:秘密キーを保存する必要があります。マシンに接続するために必要です。

7) Public keyというラベルが付いたテキストフィールドで右クリックし、OpenSSH authorized_keysファイルにペーストして、Select Allを選択します。

8)同じテキストフィールドをもう一度右クリックして、Copyを選択します。

9) PuTTYを使用してアプライアンスにログインし、#6 ~ #8で保存してコピーした公開SSHキーを使用してWindowsワークステーション(またはサーバ)を認識するようにESAを設定し、変更を確定します。 ログイン時のパスワードプロンプトに注意してください。

login as: admin
Using keyboard-interactive authentication.
Password: [PASSWORD]
Last login: Mon Aug 18 11:46:17 2014 from 192.168.0.201
Copyright (c) 2001-2013, Cisco Systems, Inc.


AsyncOS 8.5.6 for Cisco C100V build 074

Welcome to the Cisco C100V Email Security Virtual Appliance
myesa.local> sshconfig

Currently installed keys for admin:

Choose the operation you want to perform:
- NEW - Add a new key.
- USER - Switch to a different user to edit.
[]> new

Please enter the public SSH key for authorization.
Press enter on a blank line to finish.
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAj6ReI+gqLU3W1uQAMUG0620B+tpdkjkgBn
 5NfYc+qrtyB93stG38O1T4s0zHnhuKJLTdwBg/JHdFuNO77BY+21GYGS27dMp3UT9/VuQ
 TjP8DmWKOa+8Mpc9ePdCBZp1C4ct9oroidUT3V3Fbl5M9rL8q4/gonSi+7iFc9uOaqgDM
 /h+RxhYeFdJLechMY5nN0adViFloKGmV1tz3K9t0p+jEW5l9TJf+fl5X6yxpBBDoNcaB9
 jNwQ5v7vcIZBv+fl98OcXD9SNt08G0XaefyD2VuphtNA5EHwx+f6eeA8ftlmO+PgtqnAs
 c2T+i3BAdC73xwML+1IG82zY51pudntknw rsa-key-20140818

Currently installed keys for admin:
1. ssh-rsa AAAAB3NzaC1yc2EAA...51pudntknw (rsa-key-20140818)

Choose the operation you want to perform:
- NEW - Add a new key.
- DELETE - Remove a key.
- PRINT - Display a key.
- USER - Switch to a different user to edit.
[]>

myesa.local> commit  

10)PuTty設定ウィンドウと、ESAの既存のSaved Sessionで、Connection > SSH > Authの順に選択し、Private key file for authenticationフィールドでBrowseをクリックして、ステップ#6で設定した秘密キーを見つけます。

11)セッション(プロファイル)をPuTTYに保存し、Openをクリックします。 事前設定されたセッションでユーザ名が保存されていない場合、またはユーザ名が指定されていない場合は、ユーザ名を使用してログインします。 ログイン時に「Authenticating with public key "[FILE NAME OF SAVED PRIVATE KEY]」が含まれていることに注意してください。

login as: admin
Authenticating with public key "rsa-key-20140818"
Last login: Mon Aug 18 11:56:49 2014 from 192.168.0.201
Copyright (c) 2001-2013, Cisco Systems, Inc.


AsyncOS 8.5.6 for Cisco C100V build 074

Welcome to the Cisco C100V Email Security Virtual Appliance
myesa.local>

関連情報

更新履歴

改定 発行日 コメント
1.0
20-Aug-2014
初版
TAC Authored

シスコ エンジニア提供

  • Shiu Ng, Robert Sherwin
    Cisco TAC Engineers.

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています