API Guide

ManualsBrandsDell ManualsAccess PlatformsSmartFabric OS10 Documentation

Table Of Contents

2. RFC 6187 X.509v3 互換 SSH クライアントアプリケーションを起動して、認証をスマートカードまたは CAC に設定し、OS10

スイッチへの接続を確立します。

3. SSH クライアントアプリケーションは、スイッチへの初期接続を確立し、X.509v3 認証をネゴシエートして、OS10 スイッチ

X.509v3 証明書を検証します。

4. SSH クライアントアプリケーションによって、CAC または PIV カードから必要な認証証明書を選択するよう促されます。

5. SSH クライアントアプリケーションによって、CAC または PIV カードの PIN の入力を求めるプロンプトが表示されます。

6. SSH クライアントアプリケーションにより、X.509v3 証明書を使用して認証リクエストが送信されます。

7. OS10 SSH サーバーは、公開証明書を検証します。これには、信頼できるチェーン、有効な日付範囲、使用状況フィールドの検

証が含まれます。フィールドのいずれかが無効な場合、認証は失敗します。

8. 構成された OS10 セキュリティプロファイルが失効チェックを要求すると、OS10 SSH サーバーは証明書が失効していないこと

を確認します。検証は、適切な CRL を確認するか、OCSP リクエストを適切な OCSP レスポンダーに送信することによって行

われます。

9. 証明書が失効している場合、認証は失敗します。

10. OS10 SSH サーバーは、ユーザー証明書フィールドを、そのローカルユーザー名に対して構成された証明書と照合しようとしま

す。

11. 一致する場合は認証が成功し、SSH セッションはパスワードプロンプトなしで続行されます。

［パスワードを使用したリモートユーザー認証の構成］

スマートカードおよびパスワードによるリモートユーザー認証をサポートするには、次のように構成します。

● RADIUS または TACACS+認証を有効にします。

radius-server host {hostname | ip-address} key {0 authentication-key | 9 authentication-

key | authentication-key} [auth-port port-number]

aaa authentication login default group radius local

● SSH サーバーで、X.509v3 認証を有効にします。

ip ssh server x509v3-authentication security-profile profile-name

● すべての SSH ログイン試行で X.509v3 証明書が必要な場合は、SSH サーバーで、プレーンパスワード認証と SSH 公開キー認

証を無効にします。

no ip ssh server password-authentication

no ip ssh server pubkey-authentication

［パスワードを使用したローカルユーザー認証の構成］

スマートカードおよびパスワードによるローカルユーザーの認証をサポートするには、次のように構成します。

● SSH サーバーで、X.509v3 認証を有効にします。

ip ssh server x509v3-authentication security-profile profile-name

● すべての SSH ログイン試行で X.509v3 証明書が提示される場合は、SSH サーバーで、プレーンパスワード認証と SSH 公開キ

ー認証を無効にします。

no ip ssh server password-authentication

no ip ssh server pubkey-authentication

● セキュリティプロファイルでキー使用率のチェックを有効にしていても、ユーザーの証明書でユーザーのログイン名とは異な

る名前の構文を使用している場合は、ユーザー証明書の詳細を構成して、SSH サーバーがユーザーの証明書をアカウントと照

合できるようにします。

username username certificate subject “x509v3-subject-string”

username username certificate principal-name user-principal-name-string

username username certificate fingerprint fingerprint-value

［パスワードなしのローカルユーザー認証の構成］

スマートカードとパスワードを使用したパスワードレスのローカルユーザー認証をサポートするには、次のように構成します。

● SSH サーバーで、パスワードレス X.509v3 認証を有効にします。

ip ssh server x509v3-authentication security-profile profile-name password-less

OS10 セキュリティのベストプラクティス 31