|
|
|
|
|
Im SSH-Schlüssel-Haltetank befinden sich Schlüssel, die von mehreren Benutzern als Anmeldeinformationen für die Authentifizierung übergeben wurden, jedoch noch nicht als gültige Anmeldeinformationen für diese Benutzer akzeptiert wurden. Es erfolgen automatisch Einträge in den Haltetank, wenn ein gültiger Benutzername zusammen mit einem ungültigen Schlüssel übergeben wird UND die Anmeldung fehlschlägt (typischerweise schlägt die Anmeldung fehl, weil ein Schlüssel angefordert wurde).
Durch die Verwendung eines Haltetanks bei der Authentifizierung mit Schlüsseln können Administratoren bestimmte Schlüssel für Benutzer einfach durch Klicken akzeptieren, ohne Schlüssel manuell in ein Benutzerprofil kopieren oder eingeben zu müssen.
Ausführliche Informationen zum Konfigurieren der SSH-Schlüssel-Richtlinie finden Sie auf der Dokumentationsseite Interface Policy (Schnittstellenrichtlinie).
Das folgende Verfahren beschreibt, wie ein SSH-Client eine Verbindung mit einem neuen Schlüssel aufbauen und den Fingerabdruck des Schlüssels einem Administrator zum späteren Verbreiten/Akzeptieren im Profil des Benutzers hinterlassen kann. Jeder SSH-Benutzer, dessen Client bereits einen SSH-Client-Schlüssel generiert und installiert hat, sollte dieses Verfahren verwenden können.
Veranlassen Sie zuerst den Remote-SSH-Client, eine Verbindung zu MOVEit Transfer herzustellen. Diese Verbindung sollte fehlschlagen. Zum Beispiel versucht die folgende OpenSSH für Windows-Sitzung, eine Verbindung mit einem Client-Schlüssel herzustellen und schlägt fehl.
D:\temp>sftp -oUserKnownHostsFile=c:\progra~1\OpenSSH\bin\ssh\known_hosts
-oIdentityFile=c:\progra~1\OpenSSH\bin\ssh\id_rsa sshkeyboi@moveit.myorg.com
Verbindung mit moveit.myorg.com hergestellt...
Kennwort von sshkeyboi@moveit.myorg.com:
Authentifiziert mit teilweisem Erfolg.
Genehmigung verweigert (publickey).
Verbindung geschlossen
Als Nächstes melden Sie sich bei MOVEit Transfer als Administrator an und wechseln zum Benutzerprofil des Benutzers, der gerade versucht hat, sich zu authentifizieren. Klicken Sie auf den Link SSH Policy (SSH-Richtlinie). (Oder wechseln Sie zum Haltetank der Organisation unter Settings | Security | Interface Policy | SSH...(Einstellungen - Sicherheit - Schnittstellenrichtlinie - SSH...)
Überprüfen Sie den Fingerabdruck und insbesondere die Uhrzeit des Fingerabdrucks, den Sie hinzufügen möchten, und klicken Sie dann auf den Link Accept (Akzeptieren).
Warnung: Ein Administrator sollte einen Schlüssel aus dem Haltetank nur dann akzeptieren, wenn er begründet davon ausgehen kann, dass der Verbindungsversuch, der zu dem Haltetank-Eintrag geführt hat, tatsächlich von dem autorisierten Benutzer durchgeführt wurde.
Wenn ein gültiger Schlüssel bereitgestellt wurde, wird eine Erfolgsmeldung angezeigt, und der Schlüssel wird im Abschnitt Current SSH Keys (Aktuelle SSH-Schlüssel) aufgeführt. Ein einzelner Benutzer kann mehreren SSH-Schlüsseln zugeordnet werden. Dies ist besonders hilfreich, wenn ein Benutzer denselben Kontonamen für mehrere Geräte verwendet.
Um schließlich sicherzustellen, dass der Schlüssel vom SSH-Client angefordert und/oder es sich um erforderliche Anmeldeinformationen handelt, prüfen Sie den Abschnitt Edit SSH Policy (SSH-Richtlinie bearbeiten) und aktivieren Sie die Kästchen entsprechend.
Wenn Sie OpenSSH im Batch-Modus verwenden möchten, sollten Sie die folgenden Einstellungen verwenden (require_key = yes, require_pass_with_key = no). Wenn Sie „Zwei-Faktor-Authentifizierung“ erzwingen möchten, aktivieren Sie alle de folgenden Einstellungen (require_key = yes, require_pass_with_key = yes).
Eine vollständige Liste aller nicht zugewiesenen Schlüssel für alle Benutzer in der Organisation kann im organisationsweiten Haltetank angezeigt werden. Der Zugriff auf den organisationsweiten Haltetank erfolgt auf der Seite Settings (Einstellungen) über den Link Security | Interface Policy | SSH (Sicherheit - Schnittstellenrichtlinie - SSH...). Um bestimmte Schlüssel zuzuweisen, klicken Sie in die Gesamtliste mit dem Link View Tank Keys (Schlüssel im Tank anzeigen).
Die Schlüssel sind nach Benutzername aufgelistet. Wählen Sie den entsprechenden Schlüssel aus und klicken Sie auf den Link Accept (Akzeptieren) neben dem Schlüssel. Nachdem ein Schlüssel akzeptiert wurde, kehrt die Schnittstelle zum organisationsweiten Haltetank zurück, sodass weitere Schlüssel zugewiesen oder gelöscht werden können.
Nicht zugewiesene Schlüssel werden nach einer bestimmten Anzahl von Tagen automatisch aus dem Haltetank gelöscht. Die genaue Anzahl der Tage ist eine konfigurierbare Option unter der organisationsweiten SSH-Richtlinie. (Dieser Wert gilt für nicht zugewiesene SSL-Client-Zertifikate und nicht vertrauenswürdige Zertifizierungsstellenzertifikate im Haltetank.)
Nicht zugewiesene Schlüssel können auch manuell aus dem Haltetank eines einzelnen Benutzers oder dem organisationsweiten Haltetank gelöscht werden, indem Sie einen der angegebenen Links Delete all (Alle löschen) verwenden.