Como configurar a autenticação de chave pública SSH para logon no ESA sem uma senha

Introdução

Este documento descreve como gerar uma chave de shell seguro privado (SSH) e usá-la para nome de usuário e autenticação ao fazer login na interface de linha de comando (CLI) no Cisco Email Security Appliance (ESA).

Como configurar a autenticação de chave pública SSH para logon no ESA sem uma senha

A autenticação de chave pública (PKI) é um método de autenticação que depende de um par de chaves públicas/privadas gerado. Com a PKI, uma "chave" especial é gerada e tem uma propriedade muito útil: qualquer pessoa que possa ler a metade pública da chave é capaz de criptografar dados que só podem ser lidos por uma pessoa que tenha acesso à metade privada da chave. Dessa forma, ter acesso à metade pública de uma chave permite que você envie informações secretas para qualquer pessoa com a metade privada, e também verifique se uma pessoa realmente tem acesso à metade privada. É fácil ver como essa técnica pode ser usada para autenticação.

Como usuário, você pode gerar um par de chaves e depois colocar a metade pública da chave em um sistema remoto, como seu ESA. Esse sistema remoto é capaz de autenticar sua ID de usuário e permite que você faça login apenas fazendo com que demonstre que você tem acesso à metade privada do par de chaves. Isso é feito no nível de protocolo dentro do SSH e acontece automaticamente.

No entanto, isso significa que você precisa proteger a privacidade da chave privada. Em um sistema compartilhado onde você não tem raiz, isso pode ser feito criptografando a chave privada com uma senha, que funciona de forma semelhante a uma senha. Antes que o SSH possa ler sua chave privada para executar a autenticação de chave pública, você será solicitado a fornecer a senha para que a chave privada possa ser descriptografada. Em sistemas mais seguros (como uma máquina onde você é o único usuário ou uma máquina em sua casa onde nenhum estranho terá acesso físico), você pode simplificar esse processo criando uma chave privada não criptografada (sem senha) ou inserindo sua senha uma vez e armazenando em cache a chave na memória durante o tempo que você estiver no computador. O OpenSSH contém uma ferramenta chamada ssh-agent que simplifica esse processo.

exemplo de ssh-keygen para Linux/Unix

Conclua as etapas a seguir para configurar uma estação de trabalho (ou servidor) linux/unix para se conectar ao ESA sem uma senha.  Neste exemplo, não especificaremos como senha.

1) Na estação de trabalho (ou servidor), gere uma chave privada usando o comando Unix ssh-keygen:

$ ssh-keygen -b 2048 -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/[USERID]/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/[USERID]/.ssh/id_rsa.
Your public key has been saved in /home/[USERID]/.ssh/id_rsa.pub.
The key fingerprint is:
00:11:22:77:f6:a9:1e:19:f0:ca:28:9c:ff:00:11:22 [USERID]@hostname.com
The key's randomart image is:
+--[ RSA 2048]----+
|           +... +|
|            o= o+|
|           o o ..|
|       . ..o . + |
|       . ES. o + |
|         o + . . |
|           o . . |
|             o o |
|             . . |
+-----------------+

(*o item acima foi gerado a partir de um Ubuntu 14.04.1) 

2) Abra o arquivo de chave pública (id_rsa.pub) criado no #1 e copie a saída:

$ cat .ssh/id_rsa.pub 
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDJg9W3DeGf83m+E/PLGzUFPalSoJz5F
 t54Wl2wUS36NLxm4IO4Xfrrb5bA97I+ZA4YcB1l/HsFLZcoljAK4uBbmpY5kXg96A6Wf
 mIYMnl+nV2vrhrODgbcicEAdMcQN3wWHXiEWacV+6u+FlHlonkSAIDEug6vfnd+bsbcP
 Zz2uYnx1llxbVtGftbWVssBK3LkFp9f0GwDiYs7LsXvQbTkixrECXqeSrr+NLzhU5hf6
 eb9Kn8xjytf+eFbYAslam/NEfl9i4rjide1ebWN+LnkdcE5eQ0ZsecBidXv0KNf45RJa
 KgzF7joke9niLfpf2sgCTiFxg+qZ0rQludntknw [USERID]@hostname.com

3) Faça login em seu dispositivo e configure seu ESA para reconhecer sua estação de trabalho (ou servidor) usando a chave SSH pública que você criou no #1, e confirme as alterações.  Observe o prompt de senha durante o login:

$ ssh admin@192.168.0.199
******************************
CONNECTING to myesa.local
Please stand by...
******************************

Password:[PASSWORD]
Last login: Mon Aug 18 14:11:40 2014 from 192.168.0.200
Copyright (c) 2001-2013, Cisco Systems, Inc.


AsyncOS 8.5.6 for Cisco C100V build 074

Welcome to the Cisco C100V Email Security Virtual Appliance

myesa.local> sshconfig

Currently installed keys for admin:

Choose the operation you want to perform:
- NEW - Add a new key.
- USER - Switch to a different user to edit.
[]> new

Please enter the public SSH key for authorization.
Press enter on a blank line to finish.
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDJg9W3DeGf83m+E/PLGzUFPalSoJz5F
 t54Wl2wUS36NLxm4IO4Xfrrb5bA97I+ZA4YcB1l/HsFLZcoljAK4uBbmpY5kXg96A6Wf
 mIYMnl+nV2vrhrODgbcicEAdMcQN3wWHXiEWacV+6u+FlHlonkSAIDEug6vfnd+bsbcP
 Zz2uYnx1llxbVtGftbWVssBK3LkFp9f0GwDiYs7LsXvQbTkixrECXqeSrr+NLzhU5hf6
 eb9Kn8xjytf+eFbYAslam/NEfl9i4rjide1ebWN+LnkdcE5eQ0ZsecBidXv0KNf45RJa
 KgzF7joke9niLfpf2sgCTiFxg+qZ0rQludntknw [USERID]@hostname.com

Currently installed keys for admin:
1. ssh-rsa AAAAB3NzaC1yc2EAA...rQludntknw ([USERID]@hostname.com)

Choose the operation you want to perform:
- NEW - Add a new key.
- DELETE - Remove a key.
- PRINT - Display a key.
- USER - Switch to a different user to edit.
[]> 

myesa.local> commit

4) Saia do equipamento e faça login novamente.  Observe que o prompt de senha é removido e o acesso é concedido diretamente:

myesa.local> exit

Connection to 192.168.0.199 closed.
robert@ubuntu:~$ ssh admin@192.168.0.199
******************************
CONNECTING to myesa.local
Please stand by...
******************************

Last login: Mon Aug 18 14:14:50 2014 from 192.168.0.200
Copyright (c) 2001-2013, Cisco Systems, Inc.


AsyncOS 8.5.6 for Cisco C100V build 074

Welcome to the Cisco C100V Email Security Virtual Appliance
myesa.local> 

exemplo de ssh-keygen para Windows

Conclua as etapas a seguir para configurar uma estação de trabalho (ou servidor) Windows para se conectar ao ESA sem uma senha.  Neste exemplo, não especificaremos como senha.  

Observação: há uma variação no aplicativo de console usado no Windows.  Você precisará pesquisar e encontrar a solução que funciona melhor para seu aplicativo de console.  Este exemplo usará PuTTy e PuTTyGen.

1) Abra o PuttyGen.

2) Para Tipo de chave a ser gerada, selecione SSH-2 RSA.

3) Clique no botão Gerar.

4) Mova o mouse na área abaixo da barra de progresso. Quando a barra de progresso estiver cheia, o PuTTYgen gera seu par de chaves.

5) Digite uma senha no campo Senha da chave. Digite a mesma senha no campo Confirmar senha. Você pode usar uma chave sem uma senha, mas isso não é recomendável.

6) Clique no botão Save private key (Salvar chave privada) para salvar a chave privada.

Observação: você deve salvar a chave privada. Você precisará dele para se conectar à sua máquina.

7) Clique com o botão direito do mouse no campo de texto identificado como Chave pública para colar no arquivo authorized_keys do OpenSSH e escolha Selecionar tudo.

8) Clique com o botão direito do mouse novamente no mesmo campo de texto e escolha Copiar.

9) Usando PuTTY, faça login em seu dispositivo e configure seu ESA para reconhecer sua estação de trabalho Windows (ou servidor) usando a chave SSH pública que você salvou e copiou de #6 - #8, e confirme as alterações.  Observe o prompt de senha durante o login:

login as: admin
Using keyboard-interactive authentication.
Password: [PASSWORD]
Last login: Mon Aug 18 11:46:17 2014 from 192.168.0.201
Copyright (c) 2001-2013, Cisco Systems, Inc.


AsyncOS 8.5.6 for Cisco C100V build 074

Welcome to the Cisco C100V Email Security Virtual Appliance
myesa.local> sshconfig

Currently installed keys for admin:

Choose the operation you want to perform:
- NEW - Add a new key.
- USER - Switch to a different user to edit.
[]> new

Please enter the public SSH key for authorization.
Press enter on a blank line to finish.
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAj6ReI+gqLU3W1uQAMUG0620B+tpdkjkgBn
 5NfYc+qrtyB93stG38O1T4s0zHnhuKJLTdwBg/JHdFuNO77BY+21GYGS27dMp3UT9/VuQ
 TjP8DmWKOa+8Mpc9ePdCBZp1C4ct9oroidUT3V3Fbl5M9rL8q4/gonSi+7iFc9uOaqgDM
 /h+RxhYeFdJLechMY5nN0adViFloKGmV1tz3K9t0p+jEW5l9TJf+fl5X6yxpBBDoNcaB9
 jNwQ5v7vcIZBv+fl98OcXD9SNt08G0XaefyD2VuphtNA5EHwx+f6eeA8ftlmO+PgtqnAs
 c2T+i3BAdC73xwML+1IG82zY51pudntknw rsa-key-20140818

Currently installed keys for admin:
1. ssh-rsa AAAAB3NzaC1yc2EAA...51pudntknw (rsa-key-20140818)

Choose the operation you want to perform:
- NEW - Add a new key.
- DELETE - Remove a key.
- PRINT - Display a key.
- USER - Switch to a different user to edit.
[]>

myesa.local> commit  

10) Na janela de configuração do PuTTy e na sua sessão salva pré-existente para o seu ESA, escolha Connection > SSH > Auth e, no campo Private key file for authentication, clique em Browse e localize sua chave privada salva na etapa #6.

11) Salve a sessão (perfil) no PuTTY e clique em Abrir.  Faça login com o nome do usuário, se ainda não tiver sido salvo ou especificado na sessão pré-configurada.  Observe a inclusão de "Authenticating with public key "[FILE NAME OF SAVED PRIVATE KEY]" ao fazer login:

login as: admin
Authenticating with public key "rsa-key-20140818"
Last login: Mon Aug 18 11:56:49 2014 from 192.168.0.201
Copyright (c) 2001-2013, Cisco Systems, Inc.


AsyncOS 8.5.6 for Cisco C100V build 074

Welcome to the Cisco C100V Email Security Virtual Appliance
myesa.local>

Informações Relacionadas

• Cisco Email Security Appliance – Guias do usuário final
• Suporte Técnico e Documentação - Cisco Systems

Histórico de revisões

Revisão	Data de publicação	Comentários
1.0	20-Aug-2014	Versão inicial