كيفية تكوين مصادقة مفتاح SSH العام لتسجيل الدخول إلى ESA دون كلمة مرور
المقدمة
يوضح هذا المستند كيفية إنشاء مفتاح طبقة آمنة خاصة (SSH) واستخدام ذلك لاسم المستخدم والمصادقة عند تسجيل الدخول إلى واجهة سطر الأوامر (CLI) على جهاز أمان البريد الإلكتروني (ESA) من Cisco.
كيفية تكوين مصادقة مفتاح SSH العام لتسجيل الدخول إلى ESA دون كلمة مرور
مصادقة المفتاح العام (PKI) هي طريقة مصادقة تعتمد على زوج مفاتيح عام/خاص تم إنشاؤه. باستخدام PKI، يتم إنشاء "مفتاح" خاص يحتوي على خاصية مفيدة للغاية: أي شخص يستطيع قراءة النصف العام من المفتاح يمكنه تشفير البيانات التي يمكن بعد ذلك قراءتها فقط بواسطة شخص لديه حق الوصول إلى النصف الخاص من المفتاح. بهذه الطريقة، الوصول إلى النصف العام من المفتاح يسمح لك بإرسال معلومات سرية إلى أي شخص لديه النصف الخاص، وأيضا التحقق من أن الشخص في الواقع لديه حق الوصول إلى النصف الخاص. من السهل معرفة كيفية إستخدام هذه التقنية للمصادقة.
كمستخدم، يمكنك إنشاء زوج مفاتيح ثم وضع النصف العام للمفتاح على نظام بعيد، مثل ESA الخاص بك. ويمكن لهذا النظام البعيد بعد ذلك مصادقة معرف المستخدم الخاص بك، ويسمح لك بتسجيل الدخول فقط من خلال إجبارك على توضيح أنك تمتلك حق الوصول إلى النصف الخاص من زوج المفاتيح. يتم القيام بذلك على مستوى البروتوكول داخل SSH ويحدث تلقائيا.
ومع ذلك، فهذا يعني أنك بحاجة إلى حماية خصوصية المفتاح الخاص. على نظام مشترك حيث ليس لديك جذر، يمكن تحقيق ذلك بتشفير المفتاح الخاص باستخدام عبارة مرور تعمل بشكل مماثل لكلمة المرور. قبل أن يتمكن SSH من قراءة مفتاحك الخاص لإجراء مصادقة المفتاح العام، سيطلب منك توفير عبارة المرور حتى يمكن فك تشفير المفتاح الخاص. يمكنك تبسيط هذه العملية بواسطة أنظمة أكثر أمانا (مثل جهاز تكون المستخدم الوحيد فيه، أو جهاز في منزلك حيث لن يكون للغرباء حق الوصول المادي) إما عن طريق إنشاء مفتاح خاص غير مشفر (بدون عبارة مرور) أو عن طريق إدخال عبارة المرور الخاصة بك مرة واحدة ثم التخزين المؤقت للمفتاح في الذاكرة طوال فترة عملك على الكمبيوتر. يحتوي OpenSSH على أداة تسمى وكيل SSH تقوم بتبسيط هذه العملية.
مثال SSH-Keygen لنظام التشغيل Linux/Unix
أكمل الخطوات التالية لإعداد محطة عمل Linux/unix (أو خادم) للاتصال ب ESA بدون كلمة مرور. في هذا المثال، لن نحدد عبارة المرور.
1) على محطة العمل (أو الخادم) لديك، قم بإنشاء مفتاح خاص باستخدام أمر Unix ssh-keygen:
$ ssh-keygen -b 2048 -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/[USERID]/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/[USERID]/.ssh/id_rsa.
Your public key has been saved in /home/[USERID]/.ssh/id_rsa.pub.
The key fingerprint is:
00:11:22:77:f6:a9:1e:19:f0:ca:28:9c:ff:00:11:22 [USERID]@hostname.com
The key's randomart image is:
+--[ RSA 2048]----+
| +... +|
| o= o+|
| o o ..|
| . ..o . + |
| . ES. o + |
| o + . . |
| o . . |
| o o |
| . . |
+-----------------+
(*تم إنشاء ما سبق من Ubuntu 14.04.1)
2) افتح ملف المفتاح العام (id_rsa.pub) الذي تم إنشاؤه في #1 وانسخ المخرجات:
$ cat .ssh/id_rsa.pub
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDJg9W3DeGf83m+E/PLGzUFPalSoJz5F
t54Wl2wUS36NLxm4IO4Xfrrb5bA97I+ZA4YcB1l/HsFLZcoljAK4uBbmpY5kXg96A6Wf
mIYMnl+nV2vrhrODgbcicEAdMcQN3wWHXiEWacV+6u+FlHlonkSAIDEug6vfnd+bsbcP
Zz2uYnx1llxbVtGftbWVssBK3LkFp9f0GwDiYs7LsXvQbTkixrECXqeSrr+NLzhU5hf6
eb9Kn8xjytf+eFbYAslam/NEfl9i4rjide1ebWN+LnkdcE5eQ0ZsecBidXv0KNf45RJa
KgzF7joke9niLfpf2sgCTiFxg+qZ0rQludntknw [USERID]@hostname.com
3) تسجيل الدخول إلى الجهاز الخاص بك وتكوين ESA للتعرف على محطة العمل (أو الخادم) لديك باستخدام مفتاح SSH العام الذي أنشأته في #1، وتنفيذ التغييرات. لاحظ مطالبة كلمة المرور أثناء تسجيل الدخول:
$ ssh admin@192.168.0.199
******************************
CONNECTING to myesa.local
Please stand by...
******************************
Password:[PASSWORD]
Last login: Mon Aug 18 14:11:40 2014 from 192.168.0.200
Copyright (c) 2001-2013, Cisco Systems, Inc.
AsyncOS 8.5.6 for Cisco C100V build 074
Welcome to the Cisco C100V Email Security Virtual Appliance
myesa.local> sshconfig
Currently installed keys for admin:
Choose the operation you want to perform:
- NEW - Add a new key.
- USER - Switch to a different user to edit.
[]> new
Please enter the public SSH key for authorization.
Press enter on a blank line to finish.
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDJg9W3DeGf83m+E/PLGzUFPalSoJz5F
t54Wl2wUS36NLxm4IO4Xfrrb5bA97I+ZA4YcB1l/HsFLZcoljAK4uBbmpY5kXg96A6Wf
mIYMnl+nV2vrhrODgbcicEAdMcQN3wWHXiEWacV+6u+FlHlonkSAIDEug6vfnd+bsbcP
Zz2uYnx1llxbVtGftbWVssBK3LkFp9f0GwDiYs7LsXvQbTkixrECXqeSrr+NLzhU5hf6
eb9Kn8xjytf+eFbYAslam/NEfl9i4rjide1ebWN+LnkdcE5eQ0ZsecBidXv0KNf45RJa
KgzF7joke9niLfpf2sgCTiFxg+qZ0rQludntknw [USERID]@hostname.com
Currently installed keys for admin:
1. ssh-rsa AAAAB3NzaC1yc2EAA...rQludntknw ([USERID]@hostname.com)
Choose the operation you want to perform:
- NEW - Add a new key.
- DELETE - Remove a key.
- PRINT - Display a key.
- USER - Switch to a different user to edit.
[]>
myesa.local> commit
4) خروج من الجهاز، وإعادة الدخول. لاحظ أنه تمت إزالة مطالبة كلمة المرور، وتم منح حق الوصول بشكل مباشر:
myesa.local> exit
Connection to 192.168.0.199 closed.
robert@ubuntu:~$ ssh admin@192.168.0.199
******************************
CONNECTING to myesa.local
Please stand by...
******************************
Last login: Mon Aug 18 14:14:50 2014 from 192.168.0.200
Copyright (c) 2001-2013, Cisco Systems, Inc.
AsyncOS 8.5.6 for Cisco C100V build 074
Welcome to the Cisco C100V Email Security Virtual Appliance
myesa.local>
مثال SSH-keygen لنظام التشغيل Windows
أكمل الخطوات التالية لإعداد محطة عمل (أو خادم) Windows للاتصال ب ESA بدون كلمة مرور. في هذا المثال، لن نحدد عبارة المرور.
1) فتحة PttyGen المفتوحة.
2) لنوع المفتاح المراد إنشاؤه، حدد SSH-2 RSA.
3) انقر فوق الزر إنشاء.
4) حرك الماوس في المنطقة أسفل شريط التقدم. عندما يكون شريط التقدم ممتلئا، يقوم PuTTYgen بإنشاء زوج المفاتيح الخاص بك.
5) اكتب عبارة مرور في حقل عبارة المرور الأساسية. اكتب عبارة المرور نفسها في حقل تأكيد عبارة المرور. يمكنك إستخدام مفتاح بدون عبارة مرور، ولكن لا يوصى بذلك.
6) انقر فوق زر حفظ المفتاح الخاص لحفظ المفتاح الخاص.
7) انقر بزر الماوس الأيمن في حقل النص المسمى المفتاح العام اللصق في ملف OpenSSH authorized_keys واختر تحديد الكل.
8) انقر بزر الماوس الأيمن مرة أخرى في نفس حقل النص واختر نسخ.
9) باستخدام PuTTY، قم بتسجيل الدخول إلى الجهاز لديك وتكوين ESA للتعرف على محطة عمل (أو خادم) Windows لديك باستخدام مفتاح SSH العام الذي قمت بحفظه ونسخه من #6 - #8، وتنفيذ التغييرات. لاحظ مطالبة كلمة المرور أثناء تسجيل الدخول:
login as: admin
Using keyboard-interactive authentication.
Password: [PASSWORD]
Last login: Mon Aug 18 11:46:17 2014 from 192.168.0.201
Copyright (c) 2001-2013, Cisco Systems, Inc.
AsyncOS 8.5.6 for Cisco C100V build 074
Welcome to the Cisco C100V Email Security Virtual Appliance
myesa.local> sshconfig
Currently installed keys for admin:
Choose the operation you want to perform:
- NEW - Add a new key.
- USER - Switch to a different user to edit.
[]> new
Please enter the public SSH key for authorization.
Press enter on a blank line to finish.
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAj6ReI+gqLU3W1uQAMUG0620B+tpdkjkgBn
5NfYc+qrtyB93stG38O1T4s0zHnhuKJLTdwBg/JHdFuNO77BY+21GYGS27dMp3UT9/VuQ
TjP8DmWKOa+8Mpc9ePdCBZp1C4ct9oroidUT3V3Fbl5M9rL8q4/gonSi+7iFc9uOaqgDM
/h+RxhYeFdJLechMY5nN0adViFloKGmV1tz3K9t0p+jEW5l9TJf+fl5X6yxpBBDoNcaB9
jNwQ5v7vcIZBv+fl98OcXD9SNt08G0XaefyD2VuphtNA5EHwx+f6eeA8ftlmO+PgtqnAs
c2T+i3BAdC73xwML+1IG82zY51pudntknw rsa-key-20140818
Currently installed keys for admin:
1. ssh-rsa AAAAB3NzaC1yc2EAA...51pudntknw (rsa-key-20140818)
Choose the operation you want to perform:
- NEW - Add a new key.
- DELETE - Remove a key.
- PRINT - Display a key.
- USER - Switch to a different user to edit.
[]>
myesa.local> commit
10) من نافذة تكوين PuTt، وجلسة العمل المحفوظة الموجودة مسبقا ل ESA الخاصة بك، أختر اتصال > SSH > مصادقة وفي حقل المفتاح الخاص للمصادقة، انقر فوق إستعراض وابحث عن مفتاحك الخاص المحفوظ من الخطوة #6.
11) احفظ جلسة العمل (ملف التعريف) في PuTTY، وانقر فوق فتح. قم بتسجيل الدخول باستخدام اسم المستخدم، إذا لم يكن قد تم حفظه أو تحديده من جلسة العمل التي تم تكوينها مسبقا. لاحظ تضمين "المصادقة باستخدام المفتاح العام "[اسم ملف المفتاح الخاص المحفوظ]" عند تسجيل الدخول:
login as: admin
Authenticating with public key "rsa-key-20140818"
Last login: Mon Aug 18 11:56:49 2014 from 192.168.0.201
Copyright (c) 2001-2013, Cisco Systems, Inc.
AsyncOS 8.5.6 for Cisco C100V build 074
Welcome to the Cisco C100V Email Security Virtual Appliance
myesa.local>
معلومات ذات صلة
- جهاز أمان البريد الإلكتروني من Cisco - أدلة المستخدم النهائي
- الدعم التقني والمستندات - Cisco Systems
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
20-Aug-2014 |
الإصدار الأولي |
التعليقات