SSH аутентификация при помощи открытого ключа
Материал из DiPHOST.Ru wiki system
(Различия между версиями)
Schors (Обсуждение | вклад) |
Schors (Обсуждение | вклад) |
||
Строка 11: | Строка 11: | ||
Для примера рассмотрим подключение с домашнего компьютера пользователя HOME к серверу SERVER: | Для примера рассмотрим подключение с домашнего компьютера пользователя HOME к серверу SERVER: | ||
# Пользователь при помощи программы-клиента [[SSH]] - ''ssh-client'' , например [[Putty]], на HOME устанавливает соединение с сервером [[SSH]] на SERVER. Происходит проверка и [[Authentication|аутентификация]] сервера - сервер передаёт свой публичный ключ, устанавливается защищённое соединение. Обычно программа-клиент просит запомнить публичный ключ сервера и при каждом последующем подключении отслеживает соответствие сохранённого ключа переданному для проверки подлинности сервера. | # Пользователь при помощи программы-клиента [[SSH]] - ''ssh-client'' , например [[Putty]], на HOME устанавливает соединение с сервером [[SSH]] на SERVER. Происходит проверка и [[Authentication|аутентификация]] сервера - сервер передаёт свой публичный ключ, устанавливается защищённое соединение. Обычно программа-клиент просит запомнить публичный ключ сервера и при каждом последующем подключении отслеживает соответствие сохранённого ключа переданному для проверки подлинности сервера. | ||
- | # ssh-client передаёт по установленному защищённому соединению имя пользователя серверу. В отличии от Telnet, в [[SSH]] передача имени пользователя входит в состав протокола. ssh-client или уже настроен с определённым именем пользователя или предлагает ввести его | + | # ssh-client передаёт по установленному защищённому соединению имя пользователя серверу. В отличии от Telnet, в [[SSH]] передача имени пользователя входит в состав протокола. ssh-client или уже настроен с определённым именем пользователя или предлагает ввести его. |
# В ответ на имя пользователя сервер посылает обратно запрос пароля. Доступа пользователю пока не предоставлено. | # В ответ на имя пользователя сервер посылает обратно запрос пароля. Доступа пользователю пока не предоставлено. | ||
# ssh-client предлагает пользователю ввести пароль и после ввода отсылает его на сервер по установленному ранее защищённому каналу. | # ssh-client предлагает пользователю ввести пароль и после ввода отсылает его на сервер по установленному ранее защищённому каналу. |
Версия 14:49, 13 октября 2010
SSH широко используется для безопасного доступа к удалённым системам. Большинство использующих SSH знакомы с обычной аутентификацией при помощи пароля. Это самый лёгкий, доступный по умолчанию, способ аутентификации пользователя. Но у него есть ряд недостатков, включающих проблемы безопасности, простоту и удобство использования. В протоколе SSH существует несколько удобных возможностей, позволяющих решить эти проблемы.
Доступ по паролю
SSH обеспечивает обычный доступ с использованием логина и пароля.
Для примера рассмотрим подключение с домашнего компьютера пользователя HOME к серверу SERVER:
- Пользователь при помощи программы-клиента SSH - ssh-client , например PuTTY, на HOME устанавливает соединение с сервером SSH на SERVER. Происходит проверка и аутентификация сервера - сервер передаёт свой публичный ключ, устанавливается защищённое соединение. Обычно программа-клиент просит запомнить публичный ключ сервера и при каждом последующем подключении отслеживает соответствие сохранённого ключа переданному для проверки подлинности сервера.
- ssh-client передаёт по установленному защищённому соединению имя пользователя серверу. В отличии от Telnet, в SSH передача имени пользователя входит в состав протокола. ssh-client или уже настроен с определённым именем пользователя или предлагает ввести его.
- В ответ на имя пользователя сервер посылает обратно запрос пароля. Доступа пользователю пока не предоставлено.
- ssh-client предлагает пользователю ввести пароль и после ввода отсылает его на сервер по установленному ранее защищённому каналу.
- Сервер сравнивает присланный пароль с имеющимся у него в базе пользователей, и, если он совпадает, предоставляет пользователю регламентированный доступ.