API Guide
Table Of Contents
[論拠]:ユーザーは強力で複雑なパスワードを使用してデバイスに安全にアクセスすることができますが、ユーザーはパスワード
を書き留めたり、安全でない場所に保管したりする傾向があります。SSH にスマート カードを使用すると、セキュリティが強化さ
れ、ユーザーは複雑なパスワードを記憶する必要がなくなります。
OS10 SSH サーバーにより、パスワードありとなしの 2 種類の形式で X.509v3 スマート カード認証がサポートされます。パスワー
ドを使用して X.509v3 認証を使用する場合、RADIUS または TACACS+認証を使用したリモート認証とともに、X.509v3 認証を使用
できます。
[パスワードを使用したリモート ユーザー認証]
X.509v3 SSH 認証、および RADIUS または TACACS+を使用したリモート認証を行うようにスイッチを構成する場合、SSH を使用
して接続すると、次のシーケンスが発生します。
1. システムまたはキーボードのカード リーダー スロットに、CAC または PIV スマート カードを挿入します。
2. RFC 6187 X.509v3 互換 SSH クライアント アプリケーションを起動して、認証をスマート カードまたは CAC に設定し、OS10
スイッチへの接続を確立します。
3. SSH クライアント アプリケーションは、スイッチへの初期接続を確立し、X.509v3 認証をネゴシエートして、OS10 スイッチ
X.509v3 証明書を検証します。
4. SSH クライアント アプリケーションによって、CAC または PIV カードから必要な認証証明書を選択するよう促されます。
5. SSH クライアント アプリケーションによって、CAC または PIV カードの PIN の入力を求めるプロンプトが表示されます。
6. SSH クライアント アプリケーションにより、X.509v3 証明書を使用して認証リクエストが送信されます。
7. OS10 SSH サーバーは、公開証明書を検証します。これには、信頼できるチェーン、有効な日付範囲、使用状況フィールドの検
証が含まれます。フィールドのいずれかが無効な場合、認証は失敗します。
8. 構成された OS10 セキュリティ プロファイルが失効チェックを要求すると、OS10 SSH サーバーは証明書が失効していないこと
を確認します。検証は、適切な CRL を確認するか、OCSP リクエストを適切な OCSP レスポンダーに送信することによって行
われます。
9. 証明書が失効している場合、認証は失敗します。
10. セキュリティ プロファイルでピア名のチェックが有効化されている場合、OS10 SSH サーバーは、ユーザー証明書の共通名また
はプリンシパル名フィールドをユーザー名と照合します。一致しない場合、認証は失敗します。
11. OS10 SSH サーバーからパスワードの入力を求められます。
12. OS10 SSH サーバーは、ユーザー名と返されたパスワードを使用して、標準 RADIUS または TACACS+ユーザー認証を実行しま
す。
13. 認証に成功すると、SSH セッションが続行されます。
[パスワードを使用したローカル ユーザー認証]
OS10 SSH サーバーを X.509v3 SSH ローカル認証に構成し、SSH を使用して接続すると、次のシーケンスが発生します。
1. PC またはキーボードのカード リーダー スロットに、CAC または PIV スマート カードを挿入します。
2. RFC 6187 X.509v3 互換 SSH クライアント アプリケーションを起動して、認証をスマート カードまたは CAC に設定し、OS10
スイッチへの接続を確立します。
3. SSH クライアント アプリケーションは、スイッチへの初期接続を確立し、X.509v3 認証をネゴシエートして、X.509v3 証明書
を検証します。
4. SSH クライアント アプリケーションによって、CAC または PIV カードから必要な認証証明書を選択するよう促されます。
5. SSH クライアント アプリケーションによって、CAC または PIV カードの PIN の入力を求めるプロンプトが表示されます。
6. SSH クライアントアプリケーションにより、X.509v3 証明書を使用して認証リクエストが送信されます。
7. OS10 SSH サーバーは、公開証明書を検証します。これには、信頼できるチェーン、有効な日付範囲、使用状況フィールドの検
証が含まれます。フィールドのいずれかが無効な場合、認証は失敗します。
8. 構成された OS10 セキュリティ プロファイルが失効チェックを要求すると、OS10 SSH サーバーは証明書が失効していないこと
を確認します。検証は、適切な CRL を確認するか、OCSP リクエストを適切な OCSP レスポンダーに送信することによって行
われます。
9. 証明書が失効している場合、認証は失敗します。
10. セキュリティ プロファイルでピア名のチェックが有効化されている場合、OS10 SSH サーバーは、ユーザー証明書の共通名また
はプリンシパル名フィールドをユーザー名と照合します。
11. 一致しない場合、OS10 SSH サーバーは、ユーザー証明書フィールドを、そのローカル ユーザー名に対して構成されたすべての
証明書と照合しようとします。
12. 一致しない場合、認証は失敗します。
13. OS10 SSH サーバーからパスワードの入力を求められます。
14. OS10 SSH サーバーは、ユーザー名と返されたパスワードを使用して、標準のローカル ユーザー認証を実行します。
15. 認証に成功すると、SSH セッションが続行されます。
[パスワードなしのローカル ユーザー認証]
OS10 SSH サーバーを X.509v3 SSH のローカル認証に構成し、SSH を使用して接続すると、次のシーケンスが発生します。
1. PC またはキーボードのカード リーダー スロットに、CAC または PIV スマート カードを挿入します。
30 OS10 セキュリティのベスト プラクティス