Cómo configurar SSH Public Key Authentication para el login al ESA sin una contraseña

Introducción

Este documento describe cómo generar una clave de Secure Shell (SSH) privada y utilizarla para el nombre de usuario y la autenticación al iniciar sesión en la interfaz de línea de comandos (CLI) en el dispositivo de seguridad Cisco Email Security Appliance (ESA).

Cómo configurar SSH Public Key Authentication para el login al ESA sin una contraseña

La autenticación de clave pública (PKI) es un método de autenticación que se basa en un par de claves pública/privada generado. Con PKI, se genera una "clave" especial que tiene una propiedad muy útil: cualquiera que pueda leer la mitad pública de la clave puede cifrar datos que solo pueden ser leídos por una persona que tiene acceso a la mitad privada de la clave. De esta manera, tener acceso a la mitad pública de una clave le permite enviar información secreta a cualquier persona con la mitad privada, y también verificar que una persona realmente tiene acceso a la mitad privada. Es fácil ver cómo esta técnica podría ser utilizada para autenticar.

Como usuario, puede generar un par de claves y, a continuación, colocar la mitad pública de la clave en un sistema remoto, como el ESA. Ese sistema remoto es capaz de autenticar su ID de usuario, y le permite iniciar sesión simplemente haciendo que demuestre que tiene acceso a la mitad privada del par de claves. Esto se hace en el nivel de protocolo dentro de SSH y sucede automáticamente.

Sin embargo, esto significa que debe proteger la privacidad de la clave privada. En un sistema compartido en el que no tiene root, esto se puede lograr cifrando la clave privada con una frase de contraseña, que funciona de manera similar a una contraseña. Antes de que SSH pueda leer su clave privada para realizar la autenticación de clave pública, se le pedirá que suministre la frase de contraseña para que la clave privada pueda ser descifrada. En sistemas más seguros (como una máquina en la que es el único usuario o una máquina en su casa en la que ningún extraño tendrá acceso físico) puede simplificar este proceso creando una clave privada no cifrada (sin frase de paso) o introduciendo su frase de paso una vez y, a continuación, almacenando la clave en la memoria caché durante el tiempo que permanezca en el equipo. OpenSSH contiene una herramienta llamada ssh-agent que simplifica este proceso.

ssh-keygen ejemplo para Linux/Unix

Complete los siguientes pasos para configurar su estación de trabajo Linux/Unix (o servidor) para conectarse al ESA sin una contraseña.  En este ejemplo, no especificaremos como frase de contraseña.

1) En su estación de trabajo (o servidor), genere una clave privada usando el comando Unix ssh-keygen:

$ ssh-keygen -b 2048 -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/[USERID]/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/[USERID]/.ssh/id_rsa.
Your public key has been saved in /home/[USERID]/.ssh/id_rsa.pub.
The key fingerprint is:
00:11:22:77:f6:a9:1e:19:f0:ca:28:9c:ff:00:11:22 [USERID]@hostname.com
The key's randomart image is:
+--[ RSA 2048]----+
|           +... +|
|            o= o+|
|           o o ..|
|       . ..o . + |
|       . ES. o + |
|         o + . . |
|           o . . |
|             o o |
|             . . |
+-----------------+

(*lo anterior fue generado a partir de un Ubuntu 14.04.1) 

2) Abra el archivo de clave pública (id_rsa.pub) creado en #1 y copie el resultado:

$ cat .ssh/id_rsa.pub 
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDJg9W3DeGf83m+E/PLGzUFPalSoJz5F
 t54Wl2wUS36NLxm4IO4Xfrrb5bA97I+ZA4YcB1l/HsFLZcoljAK4uBbmpY5kXg96A6Wf
 mIYMnl+nV2vrhrODgbcicEAdMcQN3wWHXiEWacV+6u+FlHlonkSAIDEug6vfnd+bsbcP
 Zz2uYnx1llxbVtGftbWVssBK3LkFp9f0GwDiYs7LsXvQbTkixrECXqeSrr+NLzhU5hf6
 eb9Kn8xjytf+eFbYAslam/NEfl9i4rjide1ebWN+LnkdcE5eQ0ZsecBidXv0KNf45RJa
 KgzF7joke9niLfpf2sgCTiFxg+qZ0rQludntknw [USERID]@hostname.com

3) Inicie sesión en su dispositivo y configure su ESA para reconocer su estación de trabajo (o servidor) usando la clave SSH pública que creó en #1, y confirme los cambios.  Observe la solicitud de contraseña durante el inicio de sesión:

$ ssh admin@192.168.0.199
******************************
CONNECTING to myesa.local
Please stand by...
******************************

Password:[PASSWORD]
Last login: Mon Aug 18 14:11:40 2014 from 192.168.0.200
Copyright (c) 2001-2013, Cisco Systems, Inc.


AsyncOS 8.5.6 for Cisco C100V build 074

Welcome to the Cisco C100V Email Security Virtual Appliance

myesa.local> sshconfig

Currently installed keys for admin:

Choose the operation you want to perform:
- NEW - Add a new key.
- USER - Switch to a different user to edit.
[]> new

Please enter the public SSH key for authorization.
Press enter on a blank line to finish.
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDJg9W3DeGf83m+E/PLGzUFPalSoJz5F
 t54Wl2wUS36NLxm4IO4Xfrrb5bA97I+ZA4YcB1l/HsFLZcoljAK4uBbmpY5kXg96A6Wf
 mIYMnl+nV2vrhrODgbcicEAdMcQN3wWHXiEWacV+6u+FlHlonkSAIDEug6vfnd+bsbcP
 Zz2uYnx1llxbVtGftbWVssBK3LkFp9f0GwDiYs7LsXvQbTkixrECXqeSrr+NLzhU5hf6
 eb9Kn8xjytf+eFbYAslam/NEfl9i4rjide1ebWN+LnkdcE5eQ0ZsecBidXv0KNf45RJa
 KgzF7joke9niLfpf2sgCTiFxg+qZ0rQludntknw [USERID]@hostname.com

Currently installed keys for admin:
1. ssh-rsa AAAAB3NzaC1yc2EAA...rQludntknw ([USERID]@hostname.com)

Choose the operation you want to perform:
- NEW - Add a new key.
- DELETE - Remove a key.
- PRINT - Display a key.
- USER - Switch to a different user to edit.
[]> 

myesa.local> commit

4) Salga del dispositivo y vuelva a iniciar sesión.  Observe que se elimina el mensaje de contraseña y se concede acceso directamente:

myesa.local> exit

Connection to 192.168.0.199 closed.
robert@ubuntu:~$ ssh admin@192.168.0.199
******************************
CONNECTING to myesa.local
Please stand by...
******************************

Last login: Mon Aug 18 14:14:50 2014 from 192.168.0.200
Copyright (c) 2001-2013, Cisco Systems, Inc.


AsyncOS 8.5.6 for Cisco C100V build 074

Welcome to the Cisco C100V Email Security Virtual Appliance
myesa.local> 

ssh-keygen ejemplo para Windows

Realice los siguientes pasos para configurar una estación de trabajo Windows (o servidor) para conectarse al ESA sin contraseña.  En este ejemplo, no especificaremos como frase de contraseña.  

Nota: hay una variación en la aplicación de consola utilizada desde Windows.  Deberá investigar y encontrar la solución que mejor se adapte a su aplicación de consola.  En este ejemplo se utilizarán PuTTy y PuTTyGen.

1) Abra PuttyGen.

2) Para Type of key to generate (Tipo de clave que generar), seleccione SSH-2 RSA.

3) Haga clic en el botón Generate.

4) Mueva el ratón en el área por debajo de la barra de progreso. Cuando la barra de progreso está llena, PuTTYgen genera su par de llaves.

5) Escriba una frase de paso en el campo Key passphrase (Frase de paso clave). Escriba la misma frase de paso en el campo Confirmar frase de paso. Puede utilizar una clave sin una frase de paso, pero no se recomienda.

6) Haga clic en el botón Save private key para guardar la clave privada.

Nota: Debe guardar la clave privada. Lo necesitará para conectarse a su máquina.

7) Haga clic con el botón derecho del ratón en el campo de texto denominado Public key for paste into OpenSSH authorized_keys file y elija Select All.

8) Vuelva a hacer clic con el botón derecho del ratón en el mismo campo de texto y seleccione Copiar.

9) Con PuTTY, inicie sesión en su dispositivo y configure su ESA para reconocer su estación de trabajo (o servidor) Windows mediante la clave SSH pública que guardó y copió de #6 - #8, y confirme los cambios.  Observe la solicitud de contraseña durante el inicio de sesión:

login as: admin
Using keyboard-interactive authentication.
Password: [PASSWORD]
Last login: Mon Aug 18 11:46:17 2014 from 192.168.0.201
Copyright (c) 2001-2013, Cisco Systems, Inc.


AsyncOS 8.5.6 for Cisco C100V build 074

Welcome to the Cisco C100V Email Security Virtual Appliance
myesa.local> sshconfig

Currently installed keys for admin:

Choose the operation you want to perform:
- NEW - Add a new key.
- USER - Switch to a different user to edit.
[]> new

Please enter the public SSH key for authorization.
Press enter on a blank line to finish.
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAj6ReI+gqLU3W1uQAMUG0620B+tpdkjkgBn
 5NfYc+qrtyB93stG38O1T4s0zHnhuKJLTdwBg/JHdFuNO77BY+21GYGS27dMp3UT9/VuQ
 TjP8DmWKOa+8Mpc9ePdCBZp1C4ct9oroidUT3V3Fbl5M9rL8q4/gonSi+7iFc9uOaqgDM
 /h+RxhYeFdJLechMY5nN0adViFloKGmV1tz3K9t0p+jEW5l9TJf+fl5X6yxpBBDoNcaB9
 jNwQ5v7vcIZBv+fl98OcXD9SNt08G0XaefyD2VuphtNA5EHwx+f6eeA8ftlmO+PgtqnAs
 c2T+i3BAdC73xwML+1IG82zY51pudntknw rsa-key-20140818

Currently installed keys for admin:
1. ssh-rsa AAAAB3NzaC1yc2EAA...51pudntknw (rsa-key-20140818)

Choose the operation you want to perform:
- NEW - Add a new key.
- DELETE - Remove a key.
- PRINT - Display a key.
- USER - Switch to a different user to edit.
[]>

myesa.local> commit  

10) En la ventana de configuración de PuTy y en la sesión guardada existente para su ESA, elija Connection > SSH > Auth y en el campo Private key file for authentication, haga clic en Browse y busque su clave privada guardada en el paso #6.

11) Guarde la sesión (perfil) en PuTTY y haga clic en Open.  Inicie sesión con el nombre de usuario, si aún no se ha guardado o especificado desde la sesión preconfigurada.  Observe la inclusión de "Autenticando con clave pública "[NOMBRE DE ARCHIVO DE CLAVE PRIVADA GUARDADA]" al iniciar sesión:

login as: admin
Authenticating with public key "rsa-key-20140818"
Last login: Mon Aug 18 11:56:49 2014 from 192.168.0.201
Copyright (c) 2001-2013, Cisco Systems, Inc.


AsyncOS 8.5.6 for Cisco C100V build 074

Welcome to the Cisco C100V Email Security Virtual Appliance
myesa.local>

Información Relacionada

• Dispositivo de seguridad Cisco Email Security Appliance: guías del usuario final
• Soporte Técnico y Documentación - Cisco Systems

Historial de revisiones

Revisión	Fecha de publicación	Comentarios
1.0	20-Aug-2014	Versión inicial