1.3.4 配置SSH用户的认证方式
配置的认证方式在下次登录时生效。
表1-7 配置SSH用户的认证方式
操作 进入系统视图 为SSH用户配置认证方式 命令 system-view ssh user username authentication-type { password | rsa | password-publickey | all } 说明 - 可选 缺省情况下,系统指定用户的认证方式为RSA认证
注意:
对于使用RSA认证方式的用户,必须在设备上配置相应的用户及其公钥。对于使用password认证方式的用户,用户的账号信息可以配置在设备或者远程认证服务器(如RADIUS认证服务器)上。
1.3.5 配置SSH用户的服务类型
表1-8 配置SSH用户的服务类型
操作 进入系统视图 为某一特定的用户指定服务类型 命令 system-view 说明 - 必选 ssh user username service-type 缺省情况下,系统缺{ stelnet | sftp | 省的服务类型为all } stelnet
注意:
?
进行SFTP登录时,必须设置用户的服务类型为sftp或者all。 不需要使用SFTP服务时,SSH用户的类型设置为stelnet或者all。
?
1.3.6 配置服务器上的SSH管理功能
SSH的管理功能包括:
?
设置SSH服务器是否兼容SSH1 设置服务器密钥的定时更新时间 设置SSH认证的超时时间
设置SSH用户请求连接的认证尝试次数
?
?
?
通过定时更新服务器密钥以及对用户认证时间、认证次数的限制,可以防止恶意地对密钥和用户名的猜测和破解,从而提高了SSH连接的安全性。
表1-9 配置服务器上的SSH管理功能
操作 进入系统视图 设置SSH服务器是否兼容SSH1 命令 system-view ssh server compatible-ssh1x enable 说明 - 可选 缺省情况下,SSH服务器兼容SSH1 可选 缺省情况下,系统不更新服务器密钥对 可选 设置服务器密钥对的更新时间 ssh server rekey-interval hours 设置SSH用户的认证超时时间 设置SSH认证尝试次数 ssh server SSH用authentication-timeout 缺省情况下,户的认证超时时间time-out-value 为60秒 可选 ssh server SSH连authentication-retries 缺省情况下,接认证尝试次数为times 3次
1.3.7 配置客户端的RSA公钥
本配置适用于对SSH用户采用RSA认证的情况。如果设备上对SSH用户配置的认证方式为password认证,则不必进行本配置。
在设备上配置的是客户端SSH用户的RSA公钥。而在客户端,需要为该SSH用户指定与RSA公钥对应的RSA私钥。客户端的密钥对是由支持SSH的客户端软件随机生成的。 可以通过手工配置和从公钥文件中导入这两种方式来配置客户端的RSA公钥。当用户执行从公钥文件中导入客户端RSA公钥的命令时,系统会自动对由客户端软件生成的公钥文件进行格式转换(转换为PKCS标准编码形式,Public Key Cryptography Standards,公共密钥加密标准),并实现客户端公钥的配置。这种方式需要客户端事先将RSA密钥的公钥文件通过FTP/TFTP方式上传到服务器端。
注意:
设备作为SSH服务器时,无法通过Secure CRT 4.07将客户端公钥上传到服务器端。
?
可以通过配置ssh user assign rsa-key、ssh user authentication-type、ssh user service-type中的任何一条命令来创建SSH用户,SSH用户最多只能创建1024个,其缺省配置认证方式为RSA,服务类型为stelnet。
?
如果没有创建SSH用户,只要本地用户存在,且设置的服务类型为SSH,则SSH客户端仍然可以通过该用户登录SSH服务器,此时缺省认证方式为password认证,SSH服务类型为stelnet。
?
表1-10 手工配置客户端的RSA公钥
操作 进入系统视图 进入公共密钥视图 进入公共密钥编辑视图 命令 system-view rsa peer-public-key keyname public-key-code begin 说明 - 必选 - 操作 命令 说明 - 在输入公钥内容时,字符之间可以有空格,也可以按回车键继续输入数据,所配置的公钥必须是按公钥格式编码的十六进制字符串 - 配置客户端的公钥 直接输入公钥内容 退出公共密钥编辑视图,public-key-code end 退出视图时,系统退回到公共密钥视图 自动保存配置的公钥密钥 退出公共密钥视图,退回peer-public-key end - 到系统视图 必选 keyname为已经存为SSH用户分配公共密钥 ssh user username assign rsa-key keyname 在的公共密钥名称。使用该命令为用户分配公钥时,如果此用户已经被分配了公钥,则以最后一次分配的公钥为准
表1-11 从公钥文件中导入客户端的RSA公钥
操作 进入系统视图 从公钥文件中导入SSH用户的RSA公钥
命令 说明 system-view - rsa peer-public-key keyname import 必选 sshkey filename