在 AIX 6.1.0, TL 4 上配置 OpenSSH 公共密钥身份验证和 EFS

核心提示： 从 ssh 客户机收到 ACK 之后，sshd 打开 /var/efs/user/<username>/keystore 中的用户 efs 密钥存储库，在 AIX 6.1.0, TL 4 上配置 OpenSSH 公共密钥身份验证和 EFS(5)，读取公共密钥 cookie SSHPu

从 ssh 客户机收到 ACK 之后，sshd 打开 /var/efs/user/<username>/keystore 中的用户 efs 密钥存储库，读取公共密钥 cookie SSHPub(AK) 并把它发送给 ssh 客户机。

当从服务器收到 SSHPub 时，ssh 客户机用它的私有密钥执行解密并把 accesskey(AK) 发送回服务器。sshd 用 AK 打开用户密钥存储库的私有部分，通过调用 EFS 内核扩展把这个打开的密钥存储库放到内核中并与用户的登录进程相关联。

检验身份验证和 EFS 登录

现在准备使用 EFS 登录由 OpenSSH 服务器上的用户 laxman 对 OpenSSH 客户机用户 ram 进行公钥认证。确认来自客户机的 ssh 登录是否会成功：

#　hostname　
ivy02.in.ibm.com　
　
#　su　-　ram　
　
$　ssh　-vvv　laxman@ivy01.in.ibm.com　
　
*********************************************************************　
*　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　*　
*　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　*　
*　Welcome　to　AIX　Version　6.1!　　　　　　　　　　　　　　　　　　　　　　　　*　
*　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　*　
*　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　*　
*　Please　see　the　README　file　in　/usr/lpp/bos　for　information　pertinent　to　　*　
*　this　release　of　the　AIX　Operating　System.　　　　　　　　　　　　　　　　　*　
*　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
*　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　*　
*　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　*　
*******************************************************************　
$　efskeymgr　-V　
List　of　keys　loaded　in　the　current　process:　
　Key　#0:　
　　　　　　　　　Kind　.....................　User　key　
　　　　　　　　　Id　　(uid　/　gid)　.........　216　
　　　　　　　　　Type　.....................　Private　key　
　　　　　　　　　Algorithm　................　RSA_1024　
　　　　　　　　　Validity　.................　Key　is　valid　
　　　　　　　　　Fingerprint　..............　a1a07c79:e0d57e83:8f148a2c:ac778fab:f813cf11　
　
$hostname　
ivy01.in.ibm.com　

这种设置的应用

这种设置可以应用于采用 OpenSSH 公共密钥身份验证的 DB2 UDB DPF。使用 EFS 加密 DB2 表。

排除故障

检查是否执行了上面列出的所有配置。在插入公共密钥 cookie 之前和之后检查密钥存储库文件的大小，从而确认 efskeymgr 命令是否插入了 cookie。为 sshd 启用调试，检查是否有任何错误。另外，成功完成账户登录和 efs 登录后检验密码身份验证。