启用 EFS 的 AIX 计算机上的 Open-SSH 公钥认证

核心提示： 实现了所有配置设置之后，运行 SSH 以使用公钥认证登录远程计算机，启用 EFS 的 AIX 计算机上的 Open-SSH 公钥认证(3)，要登录到远程计算机上，使用命令：# ssh < username >@< hostname >，系统自动打开 EFS 密钥存储库，将

实现了所有配置设置之后，运行 SSH 以使用公钥认证登录远程计算机。要登录到远程计算机上，使用命令：# ssh < username >@< hostname >。

一旦建立连接且成功实现公钥认证，SSH 服务器便会检查 sshd_config 文件中的“AllowPKCS12keystoreAutoOpen” 是否设置为“yes”。如果是，它会向 SSH 客户机发送一个数据包。SSH 客户机收到数据包后，会检查客户机端是否启用了同一选项。如果已启用，客户机 SSH 会向服务器发送确认消息，表示它也支持该特性。

获得 SSH 客户机的确认之后，SSH 服务器会打开 /var/efs/user/< username >/keystore 中用户的 EFS 密钥存储库，读取公钥 cookie SSHPub(AK) 并将其发送到 SSH 客户机。

在接收到来自服务器的 SSHPubkey cookie 之后，SSH 客户机使用私钥对其解密，然后将 accesskey(AK) 发送回服务器。通过 AK，SSH 服务器将打开用户密钥存储库的私钥对象，并调用 EFS 内核扩展，从而将该打开的密钥存储库载入内核中并使之与用户的登录进程绑定。

检验身份验证和 EFS 登录

现在准备使用 EFS 登录由 Open-SSH 服务器上的用户 laxman 对 Open-SSH 客户机用户 “ram”（用户 “ram” 和 “laxman” 是代码示例 1 中所创建好的）进行公钥认证。用户应使用 SSH 登录从客户机进行同样的验证（代码示例 3）。该设置可与 DB2* Universal Database 一同使用，对数据库分区特性可以使用 Open-SSH 公钥认证。EFS 对 DB2 表进行加密。

问题诊断

在使用 SSH 公钥认证登录后，如果发现无法打开密钥存储库，确保所有的配置都已完成。也可以检查 efskeymgr 命令是否将公钥 cookie 正确插入，即验证插入前后密钥存储库文件大小。如果还是打不开 EFS 密钥存储库，则对 SSH 服务器启用调试并检查故障。成功完成帐户登录和 EFS 登录后检验口令认证。

上述设置能使用户通过 OpenSSH 公钥认证远程登录到启用 EFS 的计算机上。用户登录之后，系统自动打开 EFS 密钥存储库，将密钥装载到内核中，并使之与进程凭据绑定。