利用・接続受付窓口

公開鍵認証についての説明


公開鍵認証とは

公開鍵認証とは、パスワードの代わりに 公開鍵と秘密鍵のペアを用いる認証方法です。

公開鍵認証による利点は、認証に必要な情報がネットワーク上を 流れないことです。 通常のパスワードを使った認証では、 たとえ暗号化されているとはいえパスワードがネットワーク上を 流れます。公開鍵認証ではパスワードはまったく (暗号化された形ですら) ネットワーク上に流れません。 もちろん公開鍵認証でもユーザはパスワードに相当するもの (パスフレーズ) を入力しますが、パスワード認証と違い これはローカルマシン上で秘密鍵を復号するためだけに使われ、 ネットワーク上には流れません。 (参考: OpenSSH を使った簡易 VPN の構築 -- 「公開鍵認証とは」)

gate 登録システムによる公開鍵の設定

公開鍵認証によるログインのためには、 ユーザは以下の作業を行う必要があります。

  1. 公開鍵と秘密鍵の作成
  2. サーバ上に公開鍵を設置

まず、「1. 公開鍵と秘密鍵の作成」に関しては 各ユーザで行う必要があります。 参考資料 1 を参考に、 公開鍵と秘密鍵のペアを作成してください。

「2. サーバ上に公開鍵を設置」に関しては gate 登録システムを介して行います。 個人申請 の「公開鍵」の欄に、公開鍵ファイルの中身をコピーアンドペースト してください。そして「公開鍵の設定方法」に関しては 「作成」にチェックを付けてください。 申請完了後に表示される初期パスワードは 更新/変更 で使用するため、忘れないようにしてください。

この申請に関して、保証人が 認証 を行い、 ユーザの申請が承認されると、 ユーザアカウントが作成されます。 その際に公開鍵の中身は サーバ 上に 新規に作成される個人ユーザのホームディレクトリ以下の .ssh/authorized_keys に書き込まれます。 以上でサーバ上に公開鍵が設置されました。

公開鍵認証によるログインの方法

上記で公開鍵の設置が完了したら、 参考資料 1 を参考に、 手元の秘密鍵を使用して サーバ にログインしてください。 ログインに成功したら、サーバ 上で以下のコマンドを 実行してください。これにより CGI 上からの公開鍵の変更が 不可能になります。CGI からの公開鍵の設定を常時許容するのは セキュリティ上好ましくないため、この作業は必ず行ってください。

	gate-user-authkey-lock

もしも公開鍵の設定にミスがある場合 (コピーアンドペーストの しそびれ等)、ログインに成功しません。 その場合には 更新/変更 から公開鍵の再設定を行ってください。 この時に必要となるパスワードは個人申請の完了後に 表示された初期パスワードです。 「公開鍵の設定方法」に関しては「上書き」を 選択してください。 ただし、ユーザアカウント作成後 7 日 を過ぎると CGI から公開鍵の設定ができなくなります。 詳しくは下記の 公開鍵のロックと解除 を参照してください。

公開鍵のロックと解除

CGI からの公開鍵の設定を常時許容するのはセキュリティ上 好ましくないため、gate 登録システムではユーザアカウント の新規作成後 7 日 を過ぎると CGI からの公開鍵の設定を禁止します。以下ではこのことを 「公開鍵のロック」と呼びます。

公開鍵がロックされていても、サーバにログインできるのであれば 公開鍵ファイルの内容の変更は可能です。以下の 2 つの方法があります。 どちらでも好きな方で変更を行ってください。

  1. サーバにログイン後、 gate-user-authkey-unlock コマンドを使用して公開鍵の ロックを解除し、その後 更新/変更 から公開鍵を変更する。
  2. サーバにログイン後、 エディタなどでホームディレクトリ以下の .ssh/authorized_keys ファイルを直接編集する。

公開鍵がロックされていて、かつサーバにログインできない場合、 自力で公開鍵の変更を行うことはできません。 保証人に、下記コマンドを実行してもらうよう連絡してください。 username は自分のユーザ名に置き換えてください。

	gate-user-authkey-unlock username

このコマンドが実行されると保証人とユーザにメールが送信されます。 メールを受け取った後、 更新/変更 から公開鍵を変更してください。

変更が完了し、ログインに成功したら、以下のコマンドで 公開鍵のロックを行ってください。

	gate-user-authkey-lock

参考資料

  1. IT pass -- [TEBIKI]SSHサーバへの公開鍵認証によるログイン
  2. SSH で RSA 公開鍵暗号による認証 (地球流体電脳倶楽部)

gate_at_itpass.scitec.kobe-u.ac.jp (_at_ を @ に変換して下さい)
$Id: user-authkey.html,v 1.3 2014/04/22 11:22:43 murashin Exp $