У овом чланку конфигуришемо ССХ провјеру аутентичности у Виндовс-у помоћу РСА кључева за сигуран приступ удаљеним системима. Показаћемо како генерирати РСА кључеве (цертификате) у Виндовс-у и конфигурирати ОпенССХ сервер у Виндовс 10 / Виндовс Сервер 2019 за ауторизацију помоћу кључева (без лозинки).
Аутентификација ССХ кључевима широко се користи у свету Линука, а на Виндовс-у се та функционалност појавила релативно недавно. Идеја је да се јавни кључ клијента дода ССХ серверу и када је повезан, сервер проверава одговарајући приватни кључ за клијента.
Садржај:
- Генерисање РСА кључева на Виндовс клијенту
- Конфигурирање ОпенССХ-а на Виндовс-у за ауторизацију кључева
- Пријављивање ССХ кључа за локалне Виндовс администраторе
Генерисање РСА кључева на Виндовс клијенту
На рачунару клијента са којег ћете се повезивати са удаљеним Виндовс сервером помоћу ОпенССХ-а, потребно је да генеришете пар РСА кључева (јавних и приватних). Приватни кључ се чува на клијенту (не дајте га никоме!), А јавни кључ се смешта на ССХ сервер у датотеци овлашћени_кејеви. Да бисте генерисали РСА кључеве на Виндовс клијенту, морате инсталирати ОпенССХ клијент.
У Виндовс 10 1809 и Виндовс Сервер 2019, ОпенССХ клијент је инсталиран као засебна уграђена компонента:
Адд-ВиндовсЦапабилити -Онлине -Наме ОпенССХ.Цлиент ~~~~ 0.0.1.0
Покрените редовну (непривилеговану сесију ПоверСхелл) и генерирајте пар РСА 2048 кључева са наредбом:
ссх-кеиген
Програм ће тражити да наведете лозинку да бисте заштитили приватни кључ. Ако наведете лозинку, сваки пут када користите овај кључ за ССХ ауторизацију, мораћете да унесете ову лозинку. Нисам одредио лозинку за кључ (не препоручује се).
Услужни програм ссх-кеиген креираће директоријум .ссх у профил тренутног Виндовс корисника (Ц: \ Усерс \ иоур_усернаме) и ставите у њу две датотеке:
ид_рса
- приватни кључид_рса.пуб
- јавни кључ
Након креирања кључева, приватном кључу можете додати услугу ССХ агент, што вам омогућава да једноставно управљате приватним кључевима и користите их за аутентификацију.
ССХ агент може да похрани приватне кључеве и достави их у безбедносном контексту тренутног корисника. Покрените услугу ссх-агент и конфигурирајте АутоСхелл за покретање команди за управљање сервисима помоћу ПоверСхелл-а:
сет-сервице ссх-агент СтартупТипе 'Аутоматски'
Старт-Сервице ссх-агент
Додајте свој приватни кључ у базу података ссх-агент:
ссх-адд "Ц: \ Корисници \ иоурусер \ .ссх \ ид_рса"
Или тако:
ссх-адд.еке $ ЕНВ: УсерПрофиле \ .ссх \ ид_рса
Конфигурирање ОпенССХ-а на Виндовс-у за ауторизацију кључева
Сада јавни кључ који сте генерисали на клијенту треба да буде копиран на ваш ССХ сервер (у овом примеру је то удаљени рачунар са Виндовс 10 1903 и конфигурисан ОпенССХ сервис).
Већ смо детаљно испитали конфигурацију ОпенССХ сервера у Виндовс-у.Копирајте датотеку ид_рса.пуб у каталог .ссх кориснички профил под којим ћете се повезати на ССХ сервер. На пример, имам корисника креираног у Виндовс 10 админ, онда морам да копирам кључ у датотеку Ц: \ Корисници \ админ \ .ссх \ ауторизирани тастери.
Можете да копирате кључ на ССХ сервер са клијента користећи СЦП:
сцп Ц: \ Усерс \ иоурусер \ .ссх \ ид_рса.пуб админ@192.168.1.90: ц: \ усерс \ админ \ .ссх \ Аутхор_кеис
Сада се можете повезати на ССХ сервер без уношења корисничке лозинке. А ако нисте поставили лозинку (лозинку) за приватни кључ, одмах ћете се повезати са удаљеним Виндовс сервером.
Да бисте се преко ССХ-а повезали са удаљеним хостом, користите следећу команду:
ссх (корисничко име) @ (име или ИП адреса ССХ сервера)
На пример,
ссх админ@192.168.1.90
То значи да се желите повезати на удаљени ССХ сервер са адресом 192.168.1.90 под рачуном админ. Услуга ССХ агента аутоматски ће покушати да користи претходно сачувани приватни кључ за ауторизацију.
Ако не желите да користите ссх-агент за управљање кључевима, можете одредити пут до приватног кључа који желите да користите за ССХ провјеру идентитета:ссх админ@192.168.1.90 -и "Ц: \ Корисници \ иоурусер \ .ссх \ ид_рса"
Ако се нисте могли повезати на свој ССХ сервер помоћу РСА кључа, а и даље вам се тражи лозинка, вероватно је корисник с којим се повезујете члан групе администратора локалног сервера (СИД групе С-1-5-32-544). О овоме даље.
Пријављивање ССХ кључа за локалне Виндовс администраторе
ОпенССХ користи посебна подешавања приступа кључевима за кориснике са локалним Виндовс административним привилегијама.
Пре свега, уместо одобреног_ тастера у корисничком профилу, требате да користите датотеку са тастерима Ц: \ ПрограмДата \ ссх \администраторс_аутхоризед_кеис. Морате да додате свој кључ у ову текстуалну датотеку (из безбедносних разлога само администратори и СИСТЕМ требају имати права на ову датотеку).
Да бисте користили ауторизирани кључ с корисничког профила и не пренијели податке јавног кључа у датотеку администраторс_аутхоризед_кеис, можете коментирати линију у ОпенССХ конфигурацијској датотеци ("Ц: \ ПрограмДата \ ссх \ссхд_цонфиг").
Коментирајте линије:
#Матцх Гроуп администраторс # АутхоризедКеисФиле __ПРОГРАМДАТА __ / ссх / администраторс_аутхоризед_кеис
Поред тога, у ссхд_цонфиг датотеци можете омогућити регистрацију помоћу РСА кључева:
ПубкеиАутхентицатион да
И забраните приступ лозинком:
ПассвордАутхентицатион но
Након што сачувате измене у ссхд_цонфиг датотеци, не заборавите да поново покренете ссхд услугу.
рестарт-сервис ссхд
Још једна мала нијанса. У старијим верзијама ОпенССХ-а морали сте доделити НТ Сервице \ ссхд право да чита ауторизоване тастере.
Да бисте то учинили, урадите једно од следећег:
- Инсталирајте модул Опенссхутилс:
Инсталирај-Модул -Форце ОпенССХУтилс -Сцопе АллУсерс
. Да бисте променили дозволе у датотеци, извршите наредбу:Репаир-АутхоризедКеиПермиссион -ФилеПатх Ц: \ Корисници \ админ \ .ссх \ ауторизирани_кеји
; - Промените дозволе за НТФС датотеке користећи НТФСС сигурносни модул или ицацлс;
- Или можете онемогућити режим у конфигурацијској датотеци ссхд_цонфиг СтрицтМодес. Овај режим је подразумевано омогућен и забрањује аутентификацију кључева ако приватни и јавни кључеви нису довољно заштићени. Некоментирај линију
#СтрицтМодес да
, променити уСтрицтМодес бр
.
Дакле, конфигурирали сте ССХ провјеру аутентичности у Виндовс-у користећи РСА јавни кључ (цертификат). Сада можете користити ову методу аутентификације за сигуран приступ удаљеним серверима, аутоматско подизање прослеђивања порта у ССХ тунелу, покретање скрипти и остале задатке за аутоматизацију..