SSH - Clés client - Présentation

La spécification SSH vous permet d'utiliser trois types d'authentification différents :

• nom d'utilisateur et mot de passe standard (pris en charge par MOVEit Transfer) ;
• nom d'hôte uniquement (non pris en charge par MOVEit Transfer) ;
• nom d'utilisateur et clé client (pris en charge par MOVEit Transfer).

Le niveau de sécurité plus élevé offert par les clés de qualité cryptographique exige un travail d'administration supplémentaire. Lorsque des clés sont utilisées, il ne suffit plus de réinitialiser un mot de passe pour autoriser l'accès.

Dans les applications SSH, les clés client sont presque toujours générées côté client. Étant donné qu'il n'y a pas d'autorité centrale à se porter garante des clés SSH (s'il y en avait, SSH serait SSL), toutes les clés SSH doivent être jugées fiables par le client et le serveur.

MOVEit Transfer prend en charge l'utilisation des clés DSS et RSA. La clé de serveur générée automatiquement par le serveur SSH MOVEit Transfer est une clé RSA ; aucun cas d'incompatibilité avec les clients SSH concernant ce format de clé n'a été rencontré. Les clés client peuvent être de l'un ou l'autre type.

Génération de clés client SSH

MOVEit Transfer n'est PAS un générateur de clé client SSH. Presque tous les clients SSH récents disposent d'un utilitaire pour générer des clés client, ces utilitaires doivent être utilisés dès que possible. Certains utilitaires de génération de clé client SSH courants sont brièvement décrits ci-dessous :

• *nix, OpenSSH : Utilisez la commande ssh-keygen -t rsa.
• Windows WS_FTP 9.0 : Dans le menu principal, sélectionnez Options (Options) | Tools (Outils) et utilisez le bouton Create... (Créer...) dans l'arborescence SSH | Client Keys (Clés client).

Si vous devez générer et distribuer des clés client SSH, vous pouvez utiliser les outils OpenSSH pour Windows pour les générer. Reportez-vous à Clients spécifiques - OpenSSH pour Windows pour plus d'informations à propos de ce processus.

Association de clés client SSH avec des utilisateurs

L'utilitaire qui associe les clés client SSH à des utilisateurs spécifiques sur MOVEit Transfer est disponible dans la SSH Policy (Stratégie SSH) de n'importe quel User Profile (Profil utilisateur) Web.MOVEit Transfer ne stocke pas les clés SSH du client distant, à la place, MOVEit Transfer enregistre l'empreinte cryptographique unique (MD5) d'une clé client. Vous pouvez utiliser le client ou MOVEit Transfer pour générer et importer l'empreinte nécessaire.

Génération et importation de clés client SSH

Deux possibilités s'offrent à vous pour générer et importer une clé client SSH pour un utilisateur particulier.

• L'utilisateur final génère une clé, l'administrateur importe une clé ou une empreinte.
• L'utilisateur final tente de se connecter, l'administrateur accepte l'empreinte en cache du dossier de stockage.

La deuxième option est probablement plus rapide et entraîne moins d'erreurs si l'utilisateur final et l'administrateur communiquent pratiquement en temps réel.