CiscoSG300スイッチでSSHの公開鍵認証を有効にする

以前、GUIインターフェイスで設定を有効にして、CiscoスイッチへのSSHアクセスを有効にする方法について説明しました。これは、暗号化された接続を介してスイッチCLIにアクセスする場合に最適ですが、それでもユーザー名とパスワードのみに依存します。

非常に安全である必要がある非常に機密性の高いネットワークでこのスイッチを使用している場合は、SSH接続で公開鍵認証を有効にすることを検討することをお勧めします。実際、最大限のセキュリティを確保するために、スイッチにアクセスするためのユーザー名/パスワードと公開鍵認証を有効にすることができます。

この記事では、SG300 Ciscoスイッチで公開鍵認証を有効にする方法と、puTTYGenを使用して公開鍵と秘密鍵のペアを生成する方法を紹介します。次に、新しいキーを使用してログインする方法を説明します。さらに、キーだけを使用してログインするか、ユーザーに秘密キーを使用してユーザー名/パスワードを入力させるように構成する方法を説明します。

注 ：このチュートリアルを開始する前に、スイッチでSSHサービスがすでに有効になっていることを確認してください。これについては、上記のリンク先の前回の記事で説明しました。

公開鍵によるSSHユーザー認証を有効にする

全体として、公開鍵認証をSSHで機能させるためのプロセスは簡単です。私の例では、WebベースのGUIを使用して機能を有効にする方法を示します。 CLIインターフェイスを使用して公開鍵認証を有効にしようとしましたが、秘密RSA鍵の形式を受け入れませんでした。

それが機能するようになったら、今のところGUIを介して行うことを実行するCLIコマンドでこの投稿を更新します。まず、セキュリティをクリックします 、次にSSHサーバー そして最後にSSHユーザー認証 。

右側のペインで、先に進み、公開鍵によるSSHユーザー認証の横にある[有効にする]チェックボックスをオンにします 。 適用をクリックします ボタンをクリックして変更を保存します。 有効をチェックしないでください 自動ログインの横にあるボタン それについてはさらに詳しく説明します。

次に、SSHユーザー名を追加する必要があります。ユーザーの追加に取り掛かる前に、まず公開鍵と秘密鍵を生成する必要があります。この例では、puTTYに付属するプログラムであるpuTTYGenを使用します。

秘密鍵と公開鍵を生成する

キーを生成するには、先に進んで最初にpuTTYGenを開きます。空白の画面が表示されるので、以下に示すデフォルトから設定を変更する必要はありません。

生成をクリックします ボタンを押してから、プログレスバーが完全に横切るまで、空白の領域の周りでマウスを動かします。

キーが生成されたら、パスフレーズを入力する必要があります。これは基本的に、キーのロックを解除するためのパスワードのようなものです。

総当たり攻撃からキーを保護するために、長いパスフレーズを使用することをお勧めします。パスフレーズを2回入力したら、公開鍵を保存をクリックする必要があります および秘密鍵を保存 ボタン。これらのファイルが安全な場所に保存されていることを確認してください。できれば、開くためにパスワードが必要なある種の暗号化されたコンテナに保存してください。 VeraCryptを使用して暗号化されたボリュームを作成する方法についての私の投稿を確認してください。

ユーザーとキーの追加

ここで、SSHユーザー認証に戻ります。 以前に表示されていた画面。ここで、2つの異なるオプションから選択できます。まず、管理に移動します –ユーザーアカウント 現在ログイン用に持っているアカウントを確認します。

ご覧のとおり、スイッチにアクセスするためのakishoreというアカウントが1つあります。現在、このアカウントを使用してWebベースのGUIとCLIにアクセスできます。 SSHユーザー認証に戻ります ページ、 SSHユーザー認証テーブル（公開鍵による）に追加する必要のあるユーザー 管理–ユーザーアカウントで使用しているものと同じにすることができます または異なる。

同じユーザー名を選択した場合は、有効を確認できます 自動ログインの下のボタン スイッチにログインするときは、秘密鍵のユーザー名とパスワードを入力するだけで、ログインできます。

ここで別のユーザー名を選択する場合は、SSH秘密鍵のユーザー名とパスワードを入力する必要があるというプロンプトが表示されます。次に、通常のユーザー名とパスワードを入力する必要があります（[管理]-[ユーザーアカウント]の下に表示されます）。 。セキュリティを強化したい場合は、別のユーザー名を使用してください。それ以外の場合は、現在のユーザー名と同じ名前を付けてください。

[追加]ボタンをクリックすると、SSHユーザーの追加が表示されます ウィンドウがポップアップします。

キータイプを確認してください がRSAに設定されている場合は、先に進み、メモ帳などのプログラムを使用して以前に保存した公開SSHキーファイルを開きます。コンテンツ全体をコピーして、公開鍵に貼り付けます 窓。 適用をクリックします 次に、[閉じる]をクリックします 成功を取得した場合 上部にメッセージがあります。

秘密鍵を使用したログイン

これで、秘密鍵とパスワードを使用してログインするだけです。この時点で、ログインを試みるときは、ログイン資格情報を2回入力する必要があります。1回は秘密鍵用、もう1回は通常のユーザーアカウント用です。自動ログインを有効にしたら、秘密鍵のユーザー名とパスワードを入力するだけで、ログインできます。

puTTYを開き、スイッチのIPアドレスをホスト名に入力します いつものように箱。ただし、今回は秘密鍵をpuTTYにもロードする必要があります。これを行うには、接続を展開します 、次に SSHを展開します 次に、認証をクリックします 。

参照をクリックします 認証用の秘密鍵ファイルの下のボタン 以前にpuTTYから保存した秘密鍵ファイルを選択します。次に、開くをクリックします 接続するボタン。

最初のプロンプトはログインになります これは、SSHユーザーの下に追加したユーザー名である必要があります。メインユーザーアカウントと同じユーザー名を使用した場合、それは問題ではありません。

私の場合、両方のユーザーアカウントにakishoreを使用しましたが、秘密鍵とメインユーザーアカウントに異なるパスワードを使用しました。必要に応じて、パスワードを同じにすることもできますが、特に自動ログインを有効にしている場合は、実際にそれを行う意味はありません。

スイッチにアクセスするためにダブルログインする必要がない場合は、有効をオンにします。 自動ログインの横のボックス SSHユーザー認証 ページ。

これが有効になっている場合は、SSHユーザーのクレデンシャルを入力するだけで、ログインできます。

少し複雑ですが、一度試してみると理にかなっています。前に述べたように、適切な形式で秘密鍵を取得できたら、CLIコマンドも書き出します。ここでの手順に従うと、SSH経由でスイッチにアクセスする方がはるかに安全になります。問題が発生したり、質問がある場合は、コメントに投稿してください。お楽しみください！