Hoe SSH Public Key Verificatie configureren voor inloggen op de ESA zonder wachtwoord

Inleiding

Dit document beschrijft hoe u een Private Secure Shell (SSH)-toets kunt genereren en hoe u deze kunt gebruiken voor een gebruikersnaam en verificatie bij het inloggen in de opdrachtregelinterface (CLI) op de Cisco Email Security Applicatie (ESA).

Hoe SSH Public Key Verificatie configureren voor inloggen op de ESA zonder wachtwoord

Public-key authenticatie (PKI) is een authenticatiemethode die zich baseert op een gegenereerde publiek/privaat sleutelpaar. Met PKI wordt een speciale "sleutel" gegenereerd die een zeer nuttige eigenschap heeft: Iedereen die de openbare helft van de sleutel kan lezen, kan gegevens versleutelen die dan alleen kunnen worden gelezen door een persoon die toegang heeft tot de privéhelft van de sleutel. Op deze manier, het hebben van toegang tot de openbare helft van een sleutel stelt u in staat om geheime informatie naar iedereen met de privé helft te verzenden, en ook te verifiëren dat een persoon in feite toegang tot de privé helft heeft. Het is gemakkelijk om te zien hoe deze techniek zou kunnen worden gebruikt om voor authentiek te verklaren.

Als gebruiker, kunt u een keypair genereren en dan de openbare helft van de sleutel op een ver systeem, zoals uw ESA plaatsen. Dat systeem op afstand is dan in staat om je gebruikers-id te authenticeren, en laat je inloggen door te laten aantonen dat je toegang hebt tot de private helft van het sleutelpaar. Dit gebeurt automatisch op protocolniveau binnen SSH.

Het betekent echter wel dat je de privacy van de privésleutel moet beschermen. Op een gedeeld systeem waar je geen root hebt, kan dit worden bereikt door het versleutelen van de privé-sleutel met een wachtwoord, dat op dezelfde manier functioneert als een wachtwoord. Alvorens SSH uw privé sleutel kan lezen om de openbare zeer belangrijke authentificatie uit te voeren zult u worden gevraagd om het wachtwoord te leveren zodat de privé sleutel kan worden gedecrypteerd. Op veiligere systemen (zoals een machine waar u de enige gebruiker bent, of een machine thuis waar geen vreemden fysiek toegang zullen hebben) kunt u dit proces vereenvoudigen door een unencrypted privé-sleutel te maken (zonder passphrase) of door uw passphrase eenmaal in te voeren en dan de sleutel in het geheugen te cachen voor de duur van uw tijd op de computer. OpenSSH bevat een tool genaamd ssh-agent die dit proces vereenvoudigt.

sh-keygen voorbeeld voor Linux/Unix

Voer de volgende stappen uit om een linux/unix werkstation (of server) in te stellen om zonder wachtwoord verbinding te maken met de ESA.  In dit voorbeeld, zullen wij niet als wachtwoord specificeren.

1) Voer op uw werkstation (of server) een persoonlijke sleutel in met de Unix-opdracht sh-keygen:

$ ssh-keygen -b 2048 -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/[USERID]/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/[USERID]/.ssh/id_rsa.
Your public key has been saved in /home/[USERID]/.ssh/id_rsa.pub.
The key fingerprint is:
00:11:22:77:f6:a9:1e:19:f0:ca:28:9c:ff:00:11:22 [USERID]@hostname.com
The key's randomart image is:
+--[ RSA 2048]----+
|           +... +|
|            o= o+|
|           o o ..|
|       . ..o . + |
|       . ES. o + |
|         o + . . |
|           o . . |
|             o o |
|             . . |
+-----------------+

(*het bovenstaande is gegenereerd door een Ubuntu 14.04.1) 

2) Open het openbare sleutelbestand (id_rsa.pub) dat in #1 is gemaakt en kopieer de uitvoer:

$ cat .ssh/id_rsa.pub 
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDJg9W3DeGf83m+E/PLGzUFPalSoJz5F
 t54Wl2wUS36NLxm4IO4Xfrrb5bA97I+ZA4YcB1l/HsFLZcoljAK4uBbmpY5kXg96A6Wf
 mIYMnl+nV2vrhrODgbcicEAdMcQN3wWHXiEWacV+6u+FlHlonkSAIDEug6vfnd+bsbcP
 Zz2uYnx1llxbVtGftbWVssBK3LkFp9f0GwDiYs7LsXvQbTkixrECXqeSrr+NLzhU5hf6
 eb9Kn8xjytf+eFbYAslam/NEfl9i4rjide1ebWN+LnkdcE5eQ0ZsecBidXv0KNf45RJa
 KgzF7joke9niLfpf2sgCTiFxg+qZ0rQludntknw [USERID]@hostname.com

3) Log in op uw apparaat en configureer uw ESA om uw werkstation (of server) te herkennen met behulp van de openbare SSH-toets die u in #1 hebt gemaakt, en voer de wijzigingen uit.  Let op de wachtwoordmelding tijdens het inloggen:

$ ssh admin@192.168.0.199
******************************
CONNECTING to myesa.local
Please stand by...
******************************

Password:[PASSWORD]
Last login: Mon Aug 18 14:11:40 2014 from 192.168.0.200
Copyright (c) 2001-2013, Cisco Systems, Inc.


AsyncOS 8.5.6 for Cisco C100V build 074

Welcome to the Cisco C100V Email Security Virtual Appliance

myesa.local> sshconfig

Currently installed keys for admin:

Choose the operation you want to perform:
- NEW - Add a new key.
- USER - Switch to a different user to edit.
[]> new

Please enter the public SSH key for authorization.
Press enter on a blank line to finish.
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDJg9W3DeGf83m+E/PLGzUFPalSoJz5F
 t54Wl2wUS36NLxm4IO4Xfrrb5bA97I+ZA4YcB1l/HsFLZcoljAK4uBbmpY5kXg96A6Wf
 mIYMnl+nV2vrhrODgbcicEAdMcQN3wWHXiEWacV+6u+FlHlonkSAIDEug6vfnd+bsbcP
 Zz2uYnx1llxbVtGftbWVssBK3LkFp9f0GwDiYs7LsXvQbTkixrECXqeSrr+NLzhU5hf6
 eb9Kn8xjytf+eFbYAslam/NEfl9i4rjide1ebWN+LnkdcE5eQ0ZsecBidXv0KNf45RJa
 KgzF7joke9niLfpf2sgCTiFxg+qZ0rQludntknw [USERID]@hostname.com

Currently installed keys for admin:
1. ssh-rsa AAAAB3NzaC1yc2EAA...rQludntknw ([USERID]@hostname.com)

Choose the operation you want to perform:
- NEW - Add a new key.
- DELETE - Remove a key.
- PRINT - Display a key.
- USER - Switch to a different user to edit.
[]> 

myesa.local> commit

4) Sluit het apparaat af en meld u opnieuw aan.  Merk op dat de wachtwoordprompt wordt verwijderd en dat toegang rechtstreeks wordt verleend:

myesa.local> exit

Connection to 192.168.0.199 closed.
robert@ubuntu:~$ ssh admin@192.168.0.199
******************************
CONNECTING to myesa.local
Please stand by...
******************************

Last login: Mon Aug 18 14:14:50 2014 from 192.168.0.200
Copyright (c) 2001-2013, Cisco Systems, Inc.


AsyncOS 8.5.6 for Cisco C100V build 074

Welcome to the Cisco C100V Email Security Virtual Appliance
myesa.local> 

sh-keygen voorbeeld voor Windows

Voer de volgende stappen uit om een Windows-werkstation (of server) in te stellen om verbinding met de ESA te maken zonder een wachtwoord.  In dit voorbeeld, zullen wij niet als wachtwoord specificeren.  

Opmerking: er is een variatie op de consoletoepassing gebruikt vanuit Windows.  U moet de oplossing zoeken en vinden die het beste werkt voor uw consoletoepassing.  In dit voorbeeld worden PuTT en PuTyGen gebruikt.

1) Open PuttyGen.

2) Selecteer SSH-2 RSA voor het type sleutel dat moet worden gegenereerd.

3) Klik op de knop Generate.

4) Beweeg de muis in het gebied onder de voortgangsbalk. Wanneer de voortgangsbalk vol is, genereert PuTTYgen uw sleutelpaar.

5) Typ een wachtwoordgroep in het veld Hoofdwachtwoord. Typ hetzelfde wachtwoord in het veld Wachtwoord bevestigen. U kunt een sleutel gebruiken zonder een wachtwoord, maar dit wordt niet aanbevolen.

6) Klik op de knop Save private key om de privé-sleutel op te slaan.

Opmerking: u moet de privé-sleutel opslaan. U hebt deze nodig om verbinding met uw machine te maken.

7) Klik met de rechtermuisknop in het tekstveld met het label Openbare sleutel voor het plakken in het bestand OpenSSH authorised_keys en kies Alles selecteren.

8) Klik met de rechtermuisknop opnieuw in hetzelfde tekstveld en kies Kopiëren.

9) Gebruik PuTTY, meld u aan bij uw apparaat en configureer uw ESA om uw Windows werkstation (of server) te herkennen met behulp van de openbare SSH-toets die u hebt opgeslagen en gekopieerd van #6 - #8, en voer de wijzigingen uit.  Let op de wachtwoordmelding tijdens het inloggen:

login as: admin
Using keyboard-interactive authentication.
Password: [PASSWORD]
Last login: Mon Aug 18 11:46:17 2014 from 192.168.0.201
Copyright (c) 2001-2013, Cisco Systems, Inc.


AsyncOS 8.5.6 for Cisco C100V build 074

Welcome to the Cisco C100V Email Security Virtual Appliance
myesa.local> sshconfig

Currently installed keys for admin:

Choose the operation you want to perform:
- NEW - Add a new key.
- USER - Switch to a different user to edit.
[]> new

Please enter the public SSH key for authorization.
Press enter on a blank line to finish.
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAj6ReI+gqLU3W1uQAMUG0620B+tpdkjkgBn
 5NfYc+qrtyB93stG38O1T4s0zHnhuKJLTdwBg/JHdFuNO77BY+21GYGS27dMp3UT9/VuQ
 TjP8DmWKOa+8Mpc9ePdCBZp1C4ct9oroidUT3V3Fbl5M9rL8q4/gonSi+7iFc9uOaqgDM
 /h+RxhYeFdJLechMY5nN0adViFloKGmV1tz3K9t0p+jEW5l9TJf+fl5X6yxpBBDoNcaB9
 jNwQ5v7vcIZBv+fl98OcXD9SNt08G0XaefyD2VuphtNA5EHwx+f6eeA8ftlmO+PgtqnAs
 c2T+i3BAdC73xwML+1IG82zY51pudntknw rsa-key-20140818

Currently installed keys for admin:
1. ssh-rsa AAAAB3NzaC1yc2EAA...51pudntknw (rsa-key-20140818)

Choose the operation you want to perform:
- NEW - Add a new key.
- DELETE - Remove a key.
- PRINT - Display a key.
- USER - Switch to a different user to edit.
[]>

myesa.local> commit  

10) Kies Verbinding > SSH > Auth en kies in het veld Private key voor verificatie in het configuratievenster PuTT en uw reeds bestaande Opgeslagen sessie voor uw ESA, klik op Bladeren en vind uw opgeslagen private sleutel uit stap #6.

11) Sla de sessie (profiel) op in PuTTY en klik op Openen.  Login met de gebruikersnaam, indien niet reeds opgeslagen of gespecificeerd van de vooraf ingestelde sessie.  Let op de opname van "Verifiëren met openbare sleutel "[FILE NAME OF SAVED PRIVATE KEY]" bij inloggen:

login as: admin
Authenticating with public key "rsa-key-20140818"
Last login: Mon Aug 18 11:56:49 2014 from 192.168.0.201
Copyright (c) 2001-2013, Cisco Systems, Inc.


AsyncOS 8.5.6 for Cisco C100V build 074

Welcome to the Cisco C100V Email Security Virtual Appliance
myesa.local>

Gerelateerde informatie

• Cisco e-mail security applicatie – eindgebruikershandleiding
• Technische ondersteuning en documentatie – Cisco Systems

Revisiegeschiedenis

Revisie	Publicatiedatum	Opmerkingen
1.0	20-Aug-2014	Eerste vrijgave