La configuration de la sécurité comporte les étapes suivantes :
L'administrateur système configure SSH sous Linux, comme décrit dans Configurer SSH sous Linux.
Générez les clés publiques et privées sur le client (votre PC), comme décrit dans Générer des clés publiques et privées à l'aide de l'outil Putty et Générer des clés publiques et privées à l'aide de l'interface de ligne de commande SSH ou utilisez les clés contenues dans le package.
Trois outils sont disponibles pour configurer la sécurité sous Linux :
Putty (un outil d'interface utilisateur gratuit disponible sur Internet)
CGWIN (un SDK de kit d'outils SSH gratuit disponible sur Internet)
Ligne de commande SSH
Trillium recommande la méthode Putty ou CGWIN qui utilise les étapes standard et copie la clé publique du client vers le serveur. La méthode de ligne de commande SSH nécessite de copier la clé privée du serveur vers le client, ce qui n'est pas recommandé.
Créez une phrase secrète.
Copiez la clé publique du client vers le serveur Linux.
Ajoutez la clé publique au fichier authorized_keys.
Insérez la directive de script de commande Trillium avant l'entrée de la clé publique dans le fichier authorized_keys.
Pour configurer SSH sous Linux
Suivez cette étape si un administrateur système ou un utilisateur autorisé doit configurer SSH pour qu'il fonctionne avec un compte d'utilisateur sous Linux.
Créez un répertoire .ssh pour un utilisateur Trillium ou un utilisateur autorisé et définissez les autorisations nécessaires.
Exemple
cd ~ (home directory or Trillium user directory) mkdir .ssh chmod 700 .ssh
Pour générer des clés publiques et privées à l'aide de l'outil Putty
Vous pouvez utiliser Putty ou CGWIN pour générer des clés publiques et privées. La méthode avec l'outil Putty est décrite à titre d'exemple.
Démarrez puttygen.exe. La fenêtre PuTTYKey Generator s'ouvre.
Dans Parameters, sélectionnez SSH-2 RSA.
Dans Actions, cliquez sur Generate. La clé est générée.
Figure 1. Générateur de clé PuttyDans Key passphrase, saisissez la phrase secrète de votre clé et confirmez-la.
Sélectionnez Conversions > Export OpenSSH key. Enregistrez le fichier.
Sélectionnez l'intégralité du texte de la clé publique et copiez-le vers le presse-papiers.
Ouvrez un éditeur de texte tel que Bloc-notes et collez la clé.
Enregistrez le fichier de clé publique sous le même nom que le fichier de clé privée avec l'extension .pub pour indiquer les fichiers appariés.
Si vous exécutez le gestionnaire système d'administration avec un utilisateur Trillium spécial créé par un administrateur sous Linux, donnez cette clé publique aux administrateurs et demandez-leur d'effectuer les étapes suivantes.
Si vous exécutez le gestionnaire système d'administration en utilisant votre propre ID utilisateur sous Linux, vous pouvez effectuer les étapes suivantes vous-même avec votre propre compte d'utilisateur.
Ajoutez la clé publique au fichier authorized_keys et définissez les autorisations nécessaires.
Le répertoire ~user sous Linux est configuré par l'administrateur pour avoir un sous-répertoire .ssh. Ce répertoire contient le fichier authorized_keys utilisé par OpenSSH.
Exemple
cd ~/.ssh (the .ssh directory in home directory) cat directorkey.pub >> authorized_keys chmod 644 authorized_keys
Ouvrez le fichier authorized_keys et ajoutez la commande suivante Trillium avant le mot « ssh-rsa » qui se trouve devant la clé. La commande Trillium pointe vers le script trilsecure.sh dans le répertoire bin de Trillium Software sur votre serveur.
command="/<linux_trillium_software_bin_location>/trilsecure.sh"
Exemple
Avant :
ssh-rsa AAB3NzaC1yc2EAAAmx5ZFqxa....=mlamand@tril01
Après :
command="/Vendors/TrilliumSoftware/tsq/Software/bin/ trilsecure.sh" ssh-rsa AAB3NzaC1yc2EAAAmx5ZFqxa....=mlamand@tril01
Plutôt que d'utiliser Putty ou CGWIN, vous pouvez utiliser l'interface de ligne de commande SSH côté serveur en appelant l'outil ssh-keygen. Vous pouvez effectuer cette étape dans votre compte d'utilisateur, ou un administrateur système peut la réaliser dans un compte d'utilisateur Trillium désigné.
Pour générer des clés publiques et privées à l'aide de l'interface de ligne de commande SSH
Accédez au répertoire .ssh
Générez des clés publiques et privées avec une phrase secrète en utilisant la commande de script interactive suivante.
ssh-keygen -t rsa
Remarque : Si vous utilisez Red Hat 8, vous devez exécuter la commande suivante :ssh-keygen -m PEM
Exemple
Enter file to save key: directorkey Enter Passphrase: ******* Re-Enter Passphrase: *******
Les fichiers clés suivants sont générés dans cet exemple :
directorkey.pub
. La clé publique qui sera requise sur le serveur.directorkey
. La clé privée qui reste sur le client.
Enregistrez la phrase secrète que vous avez créée pour cette clé. Dans le gestionnaire système d'administration, vous devez spécifier le fichier de clé privée et sa phrase secrète. Chaque fois que vous tentez d'exécuter une fonctionnalité sécurisée pour les services Director Linux, le fichier de clé publique et sa phrase secrète sont nécessaires.
Copiez la clé privée vers la machine client distante. Vous pouvez copier le fichier de clé privé n'importe où vers le PC client sur lequel s'exécute le gestionnaire système d'administration. La clé privée est inutile sans phrase secrète. Vous seul connaissez cette phrase secrète.
Ajoutez le fichier de clé publique au fichier
authorized_keys
et définissez les autorisations nécessaires.Exemple
cd ~/.ssh (the .ssh directory in your home directory) cat directorkey.pub >> authorized_keys chmod 644 authorized_keys (necessary permissions)
Ouvrez le fichier authorized_keys et ajoutez la commande suivante Trillium avant le mot « ssh-rsa » qui se trouve devant la clé. La commande Trillium pointe vers le script trilsecure.sh dans le répertoire bin de Trillium Software sur votre serveur.
command="/<linux_trillium_software_bin_location>/trilsecure.sh"
Exemple
Avant :
ssh-rsa AAB3NzaC1yc2EAAAmx5ZFqxa....=mlamand@tril01
Après :
command="/Vendors/TrilliumSoftware/tsq/Software/bin/ trilsecure.sh" ssh-rsa AAB3NzaC1yc2EAAAmx5ZFqxa....=mlamand@tril01