DSA-avaimet
DSA -avainparin luominen
Yhdistykset autentikoituvat Otaxille salasanan sijaan DSA-avaimilla. Käyttäjällä on oltava yhteyttä muodostavassa koneessa avaimen salainen osa jota vastaavan julkisen osan on löydyttävä Otaxilta yhdistyksen kotihakemiston alta tiedostosta ~/.ssh/authorized_keys.
Avainparin luominen Vipusessa
Voit luoda avaimen vipunen.hut.fi:ssa komennolla:
ssh-keygen -t dsa
Komento kysyy minne haluat tallentaa avaimen. Oletussijainti on hyvä joten paina vain enteriä.
Seuraavaksi ssh-keygen pyytää antamaan salasanan (passphrase) joka syötetään avainta käytettäessä. Salasanaa ei kannata missään nimessä jättää tyhjäksi!
Nyt kotihakemistosi alihakemistosta .ssh pitäisi löytyä tiedostot id_dsa.pub (julkinen avain) ja id_dsa (salainen avain).
Mikäli yhdistyksenne Otax-tunnuksella on jo vastuuhenkilö, jatka kohtaan "Avaimen toimittaminen Otax-tunnuksen ylläpitäjälle", muutoin lähetä avaintiedosto id_dsa.pub osoitteeseen tietotekniikka(at)tky.fi ja pyydä meitä kopioimaan avain Otax-tunnuksellenne.
Avaimen toimittaminen Otax-tunnuksen ylläpitäjälle
Koska yhdistyksellänne on jo ylläpitäjä Otaxilla, pitää avaimen julkinen osa toimittaa hänelle kopioitavaksi Otaxille. Lähetä julkinen osa sähköpostilla ja pyydä asentamaan se Otax-tunnuksenne kotihakemiston .ssh-alihakemistossa olevaan authorized_keys-tiedostoon kommenttien kera.
Varmista että avainrimpsu alkaa "ssh-dss AAAA" että sen lopussa on =-merkki. Ongelmien esiintyessä lähetä avunpyyntö TKY:n atk-tukeen osoitteessa tietotekniikka(at)tky.fi. Liitä sähköpostiin liitetiedostona avaimesi julkinen osa (tiedosto ~/id_dsa.otax.pub).
Nyt voit ottaa yhteyden Otaxiin komennolla:
Katso myös "Julkisten avainten hallinta otaxissa".
Avainparin luominen kotikoneella (Windows)
Tämä ohje koskee SSH Tectia Client -ohjelmistoa jota vastaavat ominaisuudet löytynevät myös muista ssh-ohjelmista. Katso myös HTTP-tunnelointi -ohje.
VAROITUS!: Älä luo DSA-avainparia julkisille koneille!
Vaihe 1: Avaa ssh-ohjelman asetukset painamalla Settings-kuvaketta.
Vaihe 2: Uuden avaimen luominen
- Avaa valikon kohta Global Settings - User Authentication - Keys
- Paina Generate New -nappia
- Klikkaa avautuvasta ikkunasta pari kertaa Next-nappia jolloin kone alkaa laskemaan uutta avainta, mikä voi kestää muutaman minuutin
Vaihe 3: Avaimen nimeäminen
Nimeä avaimesi siten että siitä käy ilmi atk-keskuksen käyttäjätunnuksesi ja että kyseessä on kotikoneellasi oleva avain.
Avaimen salasanan (passphrase) jonka kone pyytää avainta käytettäessä voit jättää tyhjäksi jos koneella ei ole muita käyttäjiä itsesi lisäksi.
Ohjelma kysyy seuraavaksi lähetetäänkö julkinen avain palvelimelle. Tätä ei kuitenkaan voida tehdä sillä yhteyttä Otaxiin ei pystytä muodostamaan ennen kuin juuri luomasi avaimen julkinen osa on kopioitu Otaxille.
Paina Finish-nappia jolloin avain tallennetaan hakemistoon:
C:\Documents and Settings\XYZ\Application Data\SSH\UserKeys
XYZ on Windows-käyttäjätunnuksesi.
Mikäli yhdistyksellänne ei ole Otax-tunnukselle vielä itsesi lisäksi ylläpitäjää, lähetä avain osoitteeseen tietotekniikka(at)tky.fi, muutoin jatka kohtaan "Avaimen toimittaminen Otax-tunnuksen ylläpitäjälle".
Avaimen toimittaminen Otax-tunnuksen ylläpitäjälle
SSH Tectia Clientilla luodut avaimet pitää konvertoida OpenSSH:n ymmärtämään muotoon ennen kuin niitä voidaan käyttää Otaxissa. Muunnoksen voit tehdä joko käsin itse tai unix-koneella (esim. Vipunen) tai Otax-tunnuksenne vastuuhenkilö suoraan Otaxilla.
Useimmiten riittää että avaintiedoston alkupäästä poistetaan kommentit ja lisätään "ssh-dss". Avainrimpsu päättyy merkkiin =.
Avain siis näyttää oikeassa muodossa seuraavalta:
ssh-dss AAAA....=
Huomaa että koko rimpsun pitää olla .authorized_keys tiedostossa yhdellä rivillä. =-katkaisumerkin jälkeen usein tulevan sposti-osoitteen voi jättää paikalleen.
Muunnos onnistuu Otaxilla seuraavasti:
ssh-keygen -i -f avain.pub
Muunnettu avain tulostuu standardiulostuloon mistä sen voi putkittaa esimerkiksi authorized_keys tiedostoon komentamalla:
ssh-keygen -i -f avain.pub >> ~/.ssh/authorized_keys
Tiedostoon authorized_keys tulee lisätä tämän jälkeen myös avaimen omistajan tiedot (katso "Julkisten avainten hallinta Otaxissa").
Julkisten avainten hallinta Otaxissa
Niiden joilla on jo pääsy Otaxille on mahdollista lisätä ja poistaa muiden avaimia tunnuksen .ssh hakemistossa olevaa authorized_keys -tiedostoa muokkaamalla.
Risuaidalla (#) alkavat rivit ovat kommentteja ja "ssh-dss" -alkuiset rivit ovat DSA-avainten julkisia osia. Jokaista ssh-dss -riviä tulee edeltää kommenttirivi, josta selviää ainakin seuraavat tiedot:
- päivämäärä, jolloin avain on lisätty tiedostoon (yyyy-mm-dd)
- avaimen haltijan sähköpostiosoite
- avaimen haltijan nimi
Tiedoston ~/.ssh/authorized_keys sisältö voi siis näyttää esimerkiksi seuraavalta (DSA-avaimia on esimerkissä lyhennetty):
#2005-12-01;[email protected];Teekkari;Teemu;
ssh-dss AAAAB3NzaC1yc2EAAAADAQABAAABAQC99lv5GmA5GN...=
#2005-12-01;[email protected];Peelo;Pekka;
ssh-dss AAAAB3NzaC1kc3MAAAEBANk/J8dkfAWw4VXVCFniVC...=