Inhaltsverzeichnis
Werbung
2.15.5 Schlüssel für den SSH-Client im LCOS erzeugen
Die Erzeugung eines Schlüsselpaares – bestehend aus einem öffentlichen und einem privaten Schlüssel – starten Sie an
der Konsole des Gerätes, dessen LCOS-internen SSH-Client Sie nutzen wollen, mit folgendem Befehl:
sshkeygen [-(?|h)] [-t (dsa|rsa|ecdsa)] [-b <Bits>]
Eine detaillierte Beschreibung der Parameter im sshkeygen-Befehl finden Sie im Abschnitt
unter LCOS
auf Seite 94. Das Gerät legt die Schlüssel im PEM-Format automatisch unter dem Dateinamen ssh_rsakey
(für RSA-Schlüssel), ssh_dsakey (für DSA- bzw. DSS-Schlüssel) oder ssh_ecdsakey (für ECDSA-Schlüssel) in seinem
internen Dateisystem ab. Die ID-Dateien entsprechenden dem folgenden Aufbau, der die Nutzung eines Schlüssels für
einen bestimmten LCOS-Administrator definiert:
*** User <MyAdmin>
<SSH-Key>
*** End
Öffentlichen Schlüssel abrufen
Nachdem das Gerät das Schlüsselpaar erzeugt hat, müssen Sie den öffentlichen Teil auf das entfernte System übertragen.
Den öffentlichen Teil des Schlüssels rufen Sie mit dem folgenden Befehl ab:
show ssh idkeys
Diese Befehl erzeugt eine Ausgabe ähnlich der folgenden:
Configured Client-Side SSH Host Keys For User 'root':
ssh-rsa AAAAB3NzaC1yc2EAAAABEQAAAQEA28BtnFFInAi8I5B1aOwq5g2Y...0nkuNQ== root@
1
Der erste Teil zeigt den Typ des Schlüssels (ssh-rsa oder ssh-dss).
1
Der zweite Teil ist die binäre Ausgabe des Schlüssels selbst, kodiert als Base64.
1
Der dritte Teil enthält den Hostnamen, der mehr als Kommentar gedacht ist.
Öffentlichen Schlüssel auf ein entferntes System übertragen
Sofern es sich bei dem entfernten System um ein Gerät mit LCOS handelt, laden Sie den betreffenden DSA- oder
RSA-Schlüssel entweder über das Dateimanagement ins Gerät oder ergänzen die Liste der öffentlichen Schlüssel in
WEBconfig über den Menüpunkt Extras > Liste erlaubter öffentlicher SSH-Schlüssel bearbeiten direkt. Kopieren
Sie dazu den ersten und zweiten Teil und ersetzen Sie den dritten Teil mit einer Liste von Anwendern, um die Nutzung
dieses Schlüssels auf einen Teil der LCOS-Administratoren einzugrenzen.
Weitere Informationen zur geforderten Syntax eines öffentlichen Schlüssels, dem Einsatz unterschiedlicher Schlüssel und
deren Verknüpfung mit unterschiedlichen Administratoren finden Sie im Abschnitt
Schlüssel anpassen
2.15.6 Prioritäten für die SSH-Authentifizierung
Die Reihenfolge der SSH-Authentifizierung an einem entfernten System folgt einer festen Prioritätenfolge:
1. Als erste Methode versucht Ihr Gerät immer die Authentifizierung über einen öffentliche Schlüssel; es sei denn, das
entfernte System unterstützt diese Methode nicht oder der sich anmeldende Administrator besitzt keinen öffentlichen
Schlüssel.
2. Als zweite Methode verwendet Ihr Gerät die interaktive Authentifizierung über die Tastatur, wenn die Authentifizierung
über öffentliche Schlüssel prinzipiell nicht verwendet werden kann oder wenn das entfernte System alle öffentlichen
Schlüssel des sich anmeldende Administrators abgelehnt hat. Die interaktive Authentifizierung kann je nach
Anwendung aus dem Austausch mehrerer Nachrichten zwischen SSH-Client und SSH-Server bestehen; im einfachsten
Fall z. B. reicht die Eingabe eines gültigen Zugangspassworts aus.
2.15.7 Berechtigung zur Nutzung des SSH-/Telnet-Clients
Sie haben die Möglichkeit, das Recht zur Nutzung des SSH-/Telnet-Clients für jeden einzelnen Administrator explizit zu
vergeben. Dazu setzen Sie beim Hinzufügen oder Bearbeiten von Administratorkonten (in LANconfig unter Management >
auf Seite 98.
Referenzhandbuch
2 Konfiguration
SSH-Schlüsselerzeugung
Syntax und Benutzer öffentlicher
105
Werbung
Inhaltsverzeichnis
