RSAキーファイルを使ったSSH認証の設定

事前準備

  • Gaiaサーバへのコンソールアクセス/LOMカードアクセス。

  • Gaiaサーバの管理者アクセス権、または必要な権限を持つ同等のユーザー。

注:

  • 初期セットアップでは、各ステップを1回だけ行う必要があります。

  • より多くのSSHユーザを設定するには、ステップ1から6だけを実行する必要があります。

手順

  1. SSHキーのペアを作成します。

    これらのツールを使うことができます:

    • Windows OSコンピュータの場合 - PuTTYgenツール。

    • Gaiaサーバ上(またはLinux OSコンピュータ上) - "ssh-keygen" コマンド。

      重要:

      • Gaiaサーバで "ssh-keygen" コマンドを使用するには

        1. コマンドラインに接続し、エキスパートモードにログインします。

        2. キーファイルのペアをどこかのディレクトリに保存します。

      • プライベートSSHキーファイルをSSHクライアントコンピュータに保存します。

      • 公開SSHキーの設定は後で行います。

  2. GaiaサーバにSSH接続用の新しいユーザを設定し、管理者ロールを割り当てます。

    Gaia PortalまたはGaia Clishで新しいユーザを作成し、設定することができます。

    -Scalable Platform(Maestro およびシャーシ)では、該当するセキュリティグループに接続する必要があります。

    • Gaia Portal:

      これらの設定で新規ユーザを作成する:

      • デフォルトのシェル:/bin/bash

      • 割り当てられたロール:adminRole (より限定された別のロールを作成することが可能)

      この例では、ユーザ名はfilecopy

      次を参照してください。

    • Gaia Clish:

      1. 新規ユーザを作成します。

        参照: Gaia Clishのユーザアカウント管理

        例:

        MyGW> add user filecopy uid 103 homedir /home/filecopy
WARNING Must set password and a role before user can login.
- Use 'set user USER password' to set password.
- Use 'add rba user USER roles ROLE' to set a role.
MyGW> set user filecopy password
New password:
Verify new password:
     
MyGW>

      2. 新しいユーザに管理者ロールを割り当てます。

        参照: Gaia Clishでのロールの設定

        注 - より限定的なロールを作成することもできます。

        例:

        MyGW> add rba user filecopy roles adminRole

      3. 新規ユーザのデフォルトシェル/bin/bashを設定します。

        参照: Gaia Clishでのロールの設定

        例:

        MyGW> set user filecopy shell /bin/bash

      4. 設定を保存します。

        MyGW> save config

  3. SSHクライアントでGaiaサーバに接続します。

  4. 新しいユーザでログインします。

    この例では、ユーザ名はfilecopy

    このユーザのデフォルトのシェルはエキスパートモードです。

  5. ホームディレクトリに必要なディレクトリ ".ssh" を設定する:

    1. ".ssh"というディレクトリを作成します。

      • セキュリティゲートウェイ/クラスタメンバ/管理サーバ/ログサーバの場合:

        mkdir -v ~/.ssh

      • スケーラブルプラットフォームセキュリティグループ:

        g_all mkdir -v ~/.ssh

    2. 新しいディレクトリ ".ssh" に必要なパーミッションを割り当てます:

      • セキュリティゲートウェイ/クラスタメンバ/管理サーバ/ログサーバの場合:

        chmod -v u=rwx,g=,o= ~/.ssh

      • スケーラブルプラットフォームセキュリティグループ:

        g_all chmod -v u=rwx,g=,o= ~/.ssh

  6. 必要なファイル"authorized_keys"を設定:

    1. 必要なファイル"authorized_keys"を作成:

      • セキュリティゲートウェイ/クラスタメンバ/管理サーバ/ログサーバの場合:

        touch ~/.ssh/authorized_keys

      • スケーラブルプラットフォームセキュリティグループ:

        g_all touch ~/.ssh/authorized_keys

    2. 新しいファイル "authorized_keys" に必要な権限を割り当てます:

      • セキュリティゲートウェイ/クラスタメンバ/管理サーバ/ログサーバの場合:

        chmod -v u=rw,g=,o= ~/.ssh/authorized_keys

      • スケーラブルプラットフォームセキュリティグループ:

        g_all chmod -v u=rw,g=,o= ~/.ssh/authorized_keys

    3. "authorized_keys" ファイルを編集します:

      vi ~/.ssh/authorized_keys

    4. 先ほど作成したSSHキーをこのファイルに貼り付けます。

    5. 変更内容をファイルに保存し、エディタを終了します。

  7. SSHパスワード認証を有効にします:

    1. エキスパートモードからGaia Clish/Gaia gClishへ:

      • セキュリティゲートウェイ/クラスタメンバ/管理サーバ/ログサーバの場合:

        clish

      • スケーラブルプラットフォームセキュリティグループ:

        gclish

    2. SSHパスワード認証を有効にします:

      詳細:サポートされるSSH暗号、MAC、KexAlgorithmsの設定

      set ssh server password-authentication yes

    3. 設定を保存します(セキュリティゲートウェイ/クラスタメンバ/管理サーバ/ログサーバ):

      save config

  8. コンソールポート/LOMカードを通してGaiaサーバに接続します。

  9. 新しいユーザでログインします。

    この例では、ユーザ名はfilecopy

    このユーザのデフォルトのシェルはエキスパートモードです。

  10. SSHDサービスを再起動します:

    • セキュリティゲートウェイ/クラスタメンバ/管理サーバ/ログサーバの場合:

      service sshd restart

    • スケーラブルプラットフォームセキュリティグループ:

      g_all service sshd restart

  11. 新しいユーザの現在のSSH接続を閉じます。

  12. SSHクライアントでGaiaサーバに接続します。

  13. SSH秘密キーを使って新しいユーザでログインします。

    この例では、ユーザ名はfilecopy

    例:

    login as: filecopy
This system is for authorized use only.
Authenticating with public key "rsa-key-20230207"
Last login: Sun Jul  2 15:08:58 2023 from 172.20.213.71
[Expert@MyGW:0]#