Аутентификация в SSH Proxy по SSH-ключу
Пользователи могут подключаться к SSH Proxy по SSH-ключам. Это обеспечивает безопасный и быстрый вход в SSH Proxy без необходимости использовать пароли. Чтобы узнать, доступен ли для вас этот метод аутентификации, обратитесь к администратору PAM.
Ключ в текстовом формате
Для подключения к SSH Proxy требуется сгенерировать ключ и передать его открытую часть администратору PAM. Способ генерации зависит от используемого клиента для подключения к SSH Proxy. При использовании cmd сгенерируйте ключ утилитой ssh-keygen. При использовании PuTTY сгенерируйте ключ утилитой PuTTYgen. При использовании MobaXterm подходит любой способ.
Генерация ключа утилитой ssh-keygen
Сгенерируйте SSH-ключ.
Поддерживаемые алгоритмы шифрования ключей:
- rsa-sha2-256
- rsa-sha2-512
- ecdsa-sha2-nistp256
- ecdsa-sha2-nistp384
- ecdsa-sha2-nistp521
- ssh-ed25519
Шаблон и пример команды для генерации SSH-ключа
Шаблонssh-keygen -t <алгоритм>Примерssh-keygen -t ssh-ed25519Передайте администратору PAM открытый ключ. Строка с ключом должна содержать алгоритм шифрования и ключ. Опционально строка может содержать комментарий, например имя пользователя и хост.
Пример: ssh-ed25519 AAAAC3... user@host. Дождитесь, когда администратор настроит подключение по SSH-ключу.
Рекомендуется располагать SSH-ключ в папке .ssh. Например, C:\Users\user\.ssh для Windows
Рекомендуется сохранять имя ключа по умолчанию. Например, id_rsa, id_ecdsa, id_ed25519.
Если файлы ключей расположены в другом месте или их имена отличаются от стандартных, то при подключении к SSH Proxy требуется указать путь до закрытого ключа.
Генерация ключа утилитой PuTTYgen
- Откройте PuTTYgen.
- В поле Type of key to generate выберите одно из значений: RSA, ECDSA nistp-256, ECDSA nistp-384, ECDSA nistp-521, EdDSA Ed25519.
- Нажмите Generate.
- Двигайте мышью в пустой области окна PuTTYgen до завершения генерации ключа.
- Очистите поле Key comment и введите в него имя пользователя и хост в формате user@host. Чтобы узнать имя пользователя и хост, выполните команду в терминале:
whoami - Сохраните текст из поля Public key for pasting into OpenSSH authorized keys file. Это открытый ключ.
- Нажмите Save private key, чтобы сохранить закрытый ключ.
- Во всплывающем окне нажмите Да.
- Задайте имя файла, например, key-private.
- Нажмите Сохранить.
- Передайте администратору PAM открытый ключ. Строка с ключом должна включать в себя алгоритм шифрования, ключ, имя пользователя и хост. Пример: ssh-ed25519 AAAAC3... user@host.
- Дождитесь, когда администратор настроит подключение по SSH-ключу.
- Подключитесь к SSH Proxy.
Сертификат X.509
Для подключения к SSH Proxy требуется сгенерировать сертификат с ключом и передать открытую часть ключа администратору PAM.
Сгенерируйте сертификат X.509, в котором отсутствует цепочка сертификатов.
Инструкция по генерации
- Откройте оснастку Управление сертификатами пользователей, затем откройте Личное → Сертификаты.
- Нажмите правой кнопкой мыши по папке Сертификаты. Выберите пункт Все задачи → Запросить новый сертификат.
- Нажмите Далее.
- Выберите политику регистрации сертификатов и нажмите Далее.
- Выберите сертификат.
- Нажмите Заявка.
Экспортируйте сертификат.
Инструкция по экспорту
- Откройте оснастку Управление сертификатами пользователей, затем откройте Личное → Сертификаты.
- Нажмите правой кнопкой мыши на сертификат, который сгенерировали на предыдущем шаге. Выберите пункт Все задачи → Экспорт.
- В открывшемся окне нажмите Далее.
- Выберите опцию Файлы X.509 (.CER) в кодировке DER.
- Выберите расположение файла и заполните Имя файла. Нажмите Далее.
- Проверьте введенные данные и нажмите Готово.
Передайте администратору PAM файл с сертификатом. Поддерживаемые расширения файла: PEM, DER, CRT.
Дождитесь, когда администратор настроит подключение по SSH-ключу.