第47章 ユーザーとホストの SSH 公開鍵の管理

SSH (Secure Shell) は、クライアント/サーバーアーキテクチャーを使用して 2 つのシステム間で安全な通信を提供するプロトコルです。SSH を使用すると、ユーザーがサーバーホストシステムにリモートでログインできるようになるほか、あるホストマシンが別のマシンにアクセスできるようになります。

47.1. SSH 鍵の形式

IdM では、以下の 2 つの SSH 鍵形式を使用できます。

  • OpenSSH-style key
  • Raw RFC 4253-style key

IdM は、IdM の LDAP サーバーに保存する前に、RFC 4253 形式の鍵を OpenSSH スタイルの鍵に自動的に変換することに注意してください。

IdM サーバーは、アップロードされたキーブロブから、RSA または DSA キーといったキーのタイプを識別できます。~/.ssh/known_hosts などの鍵ファイルでは、鍵のエントリーは、サーバーのホスト名と IP アドレス、鍵タイプ、および鍵自体によって識別されます。以下に例を示します。

host.example.com,1.2.3.4 ssh-rsa AAA...ZZZ==

これは、要素が type key== comment の順序で含まれるユーザーの公開鍵エントリーとは異なります。

"ssh-rsa ABCD1234...== ipaclient.example.com"

id_rsa.pub などの鍵ファイルは、鍵タイプ、鍵、追加のコメントまたは識別子の 3 つの部分で構成されます。鍵を IdM にアップロードする場合は、3 つの鍵の部分すべてをアップロードすることも、鍵のみをアップロードすることもできます。鍵をアップロードした場合、IdM は、アップロードした鍵から RSA や DSA などの鍵タイプを自動的に識別します。

~/.ssh/known_hosts ファイルのホスト公開鍵のエントリーを使用する場合は、ユーザーの鍵の形式 key== comment と一致するように順序を変更する必要があります。

ssh-rsa AAA...ZZZ== host.example.com,1.2.3.4

IdM は、公開鍵の内容から鍵タイプを自動的に決定できます。個々の鍵を簡単に識別できるようにするためのコメントはオプションです。必須要素は、公開鍵ブロブだけです。

IdM は、次の OpenSSH スタイルのファイルに保存されている公開鍵を使用します。

  • ホストの公開鍵は known_hosts ファイルにあります。
  • ユーザーの公開鍵は authorized_keys ファイルにあります。

関連情報

  • RFC 4716 を参照してください。
  • RFC 4253 を参照してください。