SSH サービスに関する情報
セキュア シェル(SSH)は、Cisco NX-OS CLI に対する安全なリモート接続を可能にするプロトコルです。SSH は、デバイスの認証時に強力な暗号化を行うことで、リモート接続について Telnet 以上のセキュリティを実現します。SSH キーは、次の SSH オプションに使用できます。
-
Rivest, Shamir, Adelman(RSA)を使用する SSH2
-
DSA を使用する SSH2
Cisco MDS NX-OS リリース 8.2(1) 以降、SHA2 フィンガー プリント ハッシュはすべての Cisco MDS デバイスでデフォルトでサポートされています。
RSA キーによるセキュア SSH 接続は、Cisco MDS 9000 シリーズのすべてのスイッチでデフォルトで使用できます。DSA キーによるセキュア SSH 接続が必要な場合は、デフォルトの SSH 接続をディセーブルにし、DSA キーを生成して、SSH 接続をイネーブルにする必要があります(SSH サーバー キー ペアの生成を参照)。
サーバー キーを生成するには、ssh key コマンドを使用します。
Caution |
SSH でスイッチにログインし、aaa authentication login default none コマンドを発行した場合、ログインするために 1 つ以上のキーストロークを入力する必要があります。少なくとも 1 つのキーストロークを入力せずに Enter キーを押すと、ログインは拒否されます。 |
SSH サービスの設定の詳細については、次を参照してください。 SSH サービスおよび Telnet の構成
SSH サーバー
SSH サーバを使用すると、SSH クライアントは Cisco MDS デバイスとの間で暗号化された安全な接続を確立できます。SSH は強化暗号化を使用して認証を行います。Cisco MDS NX-OS ソフトウェアの SSH サーバーは、市販の一般的な SSH クライアントと相互運用ができます。
SSH がサポートするユーザ認証メカニズムには、Remote Authentication Dial-In User Service(RADIUS)、TACACS+、LDAP、およびローカルに格納されたユーザ名とパスワードを使用した認証があります。
SSH クライアント
SSH クライアントは、SSH プロトコルで稼働しデバイス認証および暗号化を提供するアプリケーションです。Cisco MDS デバイスは、SSH クライアントを使用して、別の Cisco MDS デバイスまたは SSH サーバの稼働する他のデバイスとの間で暗号化された安全な接続を確立できます。この接続は、暗号化されたアウトバウンド接続を実現します。認証と暗号化により、SSH クライアントは、セキュリティ保護されていないネットワーク上でもセキュアな通信を実現できます。
Cisco NX-OS ソフトウェアの SSH クライアントは、市販の一般的な SSH クライアントと相互運用ができます。
SSH サーバ キー
SSH では、Cisco MDS デバイスと安全な通信を行うためにサーバ キーが必要です。SSH サーバ キーは、次の SSH オプションに使用できます。
-
Rivest, Shamir, and Adelman(RSA)公開キー暗号化を使用した SSH バージョン 2
-
Digital System Algrorithm(DSA)を使用した SSH バージョン 2
SSH サービスをイネーブルにする前に、適切なバージョンの SSH サーバ キー ペアを取得してください。使用中の SSH クライアント バージョンに応じて、SSH サーバ キー ペアを生成します。SSH サービスは、SSH バージョン 2 で使用する次の 2 種類のキー ペアを受け入れます。
-
dsa オプションでは、SSH バージョン 2 プロトコル用の DSA キー ペアを作成します。
-
rsa オプションでは、SSH バージョン 2 プロトコル用の RSA キー ペアを作成します。
デフォルトでは、Cisco NX-OS ソフトウェアは 1024 ビットの RSA キーを作成します。
SSH は、次の公開キー形式をサポートします。
-
OpenSSH
-
IETF SSH(SECSH)
-
Privacy-Enhanced Mail(PEM)の公開キー証明書
Caution |
SSH キーをすべて削除すると、SSH サービスを開始できません。 |
デジタル証明書を使用した SSH 認証
Cisco MDS 9000 ファミリ スイッチ製品の SSH 認証はホスト認証に X.509 デジタル証明書のサポートを提供します。X.509 デジタル証明書は出処と完全性を保証する 1 つのデータ項目です。これには安全な通信のための暗号化されたキーが含まれています。また、発信者のアイデンティティを証明するために信頼できる認証局(CA)によって署名されています。X.509 デジタル証明書のサポートにより、認証に DSA と RSA のいずれかのアルゴリズムを使用します。
証明書インフラストラクチャは Secure Socket Layer(SSL)をサポートする最初の証明書を使用し、セキュリティ インフラストラクチャにより照会または通知の形で返信を受け取ります。証明書が信頼できる CA のいずれかから発行されたものであれば、証明書の検証は成功です。
スイッチは、X.509 証明書を使用する SSH 認証、または公開キー証明書を使用する SSH 認証のいずれかに設定できますが、両方に設定することはできません。いずれかに設定されている場合は、その認証が失敗すると、パスワードの入力を求められます。