Previous Topic

Next Topic

Book Contents

Book Index
SSH - クライアントキー - 保留タンク

SSH キーの保留タンクには、さまざまなユーザーによって認証情報として提示されたが、そのユーザーの有効な認証情報としてまだ承認されていないキーが保持されます。無効なキーと共に有効なユーザー名が提示され、サインオンが失敗すると (通常、キーが必須だったためサインオンが失敗すると)、保留タンクに自動的に入力されます。

キー認証の際に保留タンクを使用すると、管理者はユーザープロファイルにキーを手動でコピーしたり入力したりする必要がなくなり、ユーザーに対して特定のキーを「クリックして承認」するのが容易になります。

SSH キーポリシーの設定の詳細については、「インターフェイスポリシー」ページも参照してください。

段階的な説明

次の手順では、管理者が後日にユーザーのプロファイルに昇格/承認できるように、SSH クライアントが新しいキーを使用して接続し、キーのフィンガープリントを残す方法について説明します。SSH ユーザーのクライアントで既に SSH クライアントキーを生成してインストールしている場合は、この手順に従って操作できます。

まず、リモート SSH クライアントで MOVEit Transfer への接続を試行します。この接続は失敗します。たとえば、次の OpenSSH for Windows セッションは、クライアントキーを使用した接続を試行して失敗します。

D:\temp>sftp -oUserKnownHostsFile=c:\progra~1\OpenSSH\bin\ssh\known_hosts
-oIdentityFile=c:\progra~1\OpenSSH\bin\ssh\id_rsa sshkeyboi@moveit.myorg.com 
Connecting to moveit.myorg.com... 
sshkeyboi@moveit.myorg.com's password: 
Authenticated with partial success. 
Permission denied (publickey). 
Connection closed

次に、管理者として MOVEit Transfer にサインオンし、認証を試行したユーザーのユーザープロファイルに移動します。[SSH Policy (SSH ポリシー)] リンクをクリックします (または、[Settings (設定)] | [Security (セキュリティ)] | [Interface Policy (インターフェイスポリシー)] | [SSH...] の下の [organization holding tank (組織の保留タンク)] に移動します)。

Embedded OLE File Template, D75, H100

フィンガープリントと、特に追加しようとしているキーのフィンガープリントの時刻をダブルチェックし、[Accept (承認)] リンクをクリックします。

警告: 管理者は、保留タンクのエントリが生成される結果になった接続試行が、実際に承認済みのユーザーによるものだということを確信できる場合にのみ、保留タンクからのキーを承認する必要があります。

Embedded OLE File Template, D75, H100

有効なキーを提示すると、成功メッセージが表示され、キーが [Current SSH Keys (現在の SSH キー)] セクションに表示されます。1 人のユーザーを複数の SSH キーに関連付けることができます。これは、ユーザーが複数のマシンから同じアカウント名を使用する場合に特に役立ちます。

Embedded OLE File Template, D75, H100

最後に、キーが SSH クライアントから要求されることや、キーが必須の認証情報であることを確実に設定するために、[Edit SSH Policy (SSH ポリシーの編集)] セクションを表示してチェックボックスを適切に選択してください。

バッチモードで OpenSSH を使用する予定がある場合は、次の設定を使用してください (require_key = yes、require_pass_with_key = no)。「2 要素」認証を行う場合は、次のすべての設定を有効にします (require_key = yes、require_pass_with_key = yes)。

Embedded OLE File Template, D75, H100

組織全体の保留タンクからのキーのインポート

組織内のすべてのユーザーの割り当てられていないすべてのキーのリストは、組織全体の保留タンクで確認できます。組織全体の保留タンクには、[Security (セキュリティ)] | [Interface Policy (インターフェイスポリシー)] | [SSH] リンクをたどって、[Settings (設定)] ページからアクセスできます。特定のキーを割り当てるには、[View Tank Keys (タンクキーの表示)] リンクをクリックして、完全なリストを表示します。

Embedded OLE File Template, D75, H100

キーはユーザー名ごとに表示されます。適切なキーを選択し、その横の [Accept (承認)] リンクをクリックします。キーが承認されると、インターフェイスが組織全体の保留タンクに戻るため、他のキーの割り当てや削除を行うことができます。

Embedded OLE File Template, D75, H100

割り当てられていないキーの保留タンクからの消去

割り当てられていないキーは、一定の日数が経過すると、保留タンクから自動的に消去されます。正確な日数は、組織全体の SSH ポリシーで設定することができます (保留タンク内の割り当てられていない SSL クライアント証明書と信頼されていない CA 証明書に同じ値が適用されます)。

割り当てられていないキーは、[delete all (すべて削除)] リンクを使用して、個々のユーザーの保留タンクまたは組織全体の保留タンクから手動で消去することもできます。