启用 EFS 的 AIX 计算机上的 Open-SSH 公钥认证

核心提示： 1. 在客户机端创建用户并为该用户生成密钥，可以使用 ssh-keygen 命令生成公 / 私钥对，启用 EFS 的 AIX 计算机上的 Open-SSH 公钥认证(2)，在客户机端，找到 /etc/ssh/ssh_config 文件并将其设置为“PubkeyAuthenticati

1. 在客户机端创建用户并为该用户生成密钥。可以使用 ssh-keygen 命令生成公 / 私钥对。在客户机端，找到 /etc/ssh/ssh_config 文件并将其设置为“PubkeyAuthentication Yes”。在服务器端，找到 /etc/ssh/sshd_config 文件并将其设置为“PubkeyAuthentication Yes”。

2. 在启用 EFS 的计算机上配置 Open-SSH 服务器和客户机以使用公钥认证。在客户机端，找到 /etc/ssh/ssh_config 文件并将其设置为“AllowPKCS12keystoreAutoOpen yes”。在服务器端，找到 /etc/ssh/sshd_config 文件，并将其设置为“AllowPKCS12keystoreAutoOpen yes”。

3. 重启服务器。

4. 在代码示例 1 中创建的用户下面，使用以下命令生成密钥。ssh-keygen 命令提示输入密码。该密码将用于加密客户机端的私钥文件。ssh-keygen 命令甚至会接受空密码，不过这种情况下，私钥文件将不会被加密。

5. 在 ~/.ssh/authorized_keys 文件中复制公钥到服务器。同样地，可将客户机用户的任何公钥复制到服务器 - 用户（server-user）帐户上的 ~/.ssh/authorized_keys 文件中。

AIX EFS 配置

EFS 必须通过 efsenable 命令在服务器端启用。这会创建管理员密钥存储库。该密钥存储库在两种情况下创建：创建新用户时；将密码分配给用户或用户登录时。系统上创建用户密钥存储库的路径是：/var/efs/users/< userlogin >/keystore。

用户密钥存储库的格式是 Public Key Cryptography Standards 12 (PKCS 12)，该格式包含公共和私有对象。用户访问密钥保护私有对象。该用户访问密钥是用户定义密码（登录密码或另一特定于 EFS 的密码）的散列值。

必须创建公钥 cookie 并将其插入服务器端的密钥存储库中。通过调用 efskeymgr 命令可完成该操作。公钥 cookie 是由用户公钥加密的密码。代码示例 2 显示了如何为用户创建密钥存储库并将其插入公钥 cookie。