コンテンツにスキップ

ホスト鍵の管理


ホスト鍵の確認の構成

この手順を使用して、不明なホストへの接続時に Reflection がどのように動作するかを指定します。

ホスト鍵の確認を構成するには

  1. [Reflection Secure Shell の設定] ダイアログボックスを開きます。

  2. ホスト認証]セクションを選択します。

  3. 厳格なホスト鍵の確認の履行]ドロップダウンから、次のいずれかのオプションを選択します。

    パスフレーズプロンプトを 宛先
    [ユーザに尋ねる] (既定値) 不明なホストに接続すると、[ホスト鍵の信頼性] 確認のダイアログボックスが表示されます。
    はい 厳格なホスト鍵の確認を履行します。ホストが信頼するホストでない場合、Reflectionは接続しません。接続前に、ホスト鍵を信頼するホスト鍵の一覧に追加する必要があります。
    [いいえ] 厳格なホスト鍵の確認を履行しません。確認のダイアログボックスが表示されずに、Reflection は接続します。信頼する鍵の一覧にホスト鍵を追加しません。

メモ

  • ホストが X.509 証明書を使用して認証するように構成されている場合、[厳格なホスト鍵の確認の履行]には影響しません。ホストがホスト認証のために証明書を提示し、信頼されたルート格納場所に必要な CA 証明書がない場合、接続に失敗します。

  • この設定に加えた変更は、現在指定されているSSH構成セクションに保存されます。

  • Secure Shellの設定は Secure Shell構成ファイルに保存されます。 また、このファイルを任意のテキストエディタで手作業で編集することにより Secure Shell の設定を構成することもできます。この設定の構成に使用されるキーワードは StrictHostKeyChecking です。


優先するホスト鍵の種類の構成

[証明書よりも SSH 鍵を優先する] を使用して、ホスト鍵アルゴリズムの優先順位を指定します。この設定は、証明書と標準ホスト鍵認証の両方をサーバに構成する場合に便利です。SSH プロトコルでは、ホストの認証試行を 1 回しか許可しません。ホストが証明書を提示し、証明書を使用したホスト認証がクライアントに構成されていない場合、接続に失敗します(これは、複数の認証試行に対応しているユーザ認証とは異なります)。

優先するホスト鍵の種類 (標準 SSH 鍵または証明書) を構成するには

  1. [Reflection Secure Shell の設定] ダイアログボックスを開きます。

  2. ホスト認証]セクションを選択します。

  3. ホストが認証に標準ホスト鍵を使用するようにするには、[証明書よりも SSH 鍵を優先する] を選択します。

    -または-

    認証に証明書を使用するには、[証明書よりも SSH 鍵を優先する] をオフにします。

メモ

  • この設定に加えた変更は、現在指定されているSSH構成セクションに保存されます。

  • Secure Shellの設定は、Secure Shell構成ファイルに保存されます。また、このファイルを任意のテキストエディタで手作業で編集することにより Secure Shell の設定を構成することもできます。この設定の構成に使用されるキーワードは[HostKeyAlgorithms] です。


既知のホストファイル

クライアントSecure Shellクライアントでは、既知のホストの一覧を既知のホストファイルに保存します。クライアントは、ユーザ固有のホストファイルとグローバルな既知のホストファイルの両方に対応しています。

ユーザ既知のホストファイル ユーザ固有の既知のホストファイルはknown_hostsと呼ばれ、ユーザの.sshフォルダにあります。これは、既定の既知のホストファイルです。クライアントは、次の場合にこのファイルを自動的に更新します。
  • [Secure Shellの設定]ダイアログボックスの [ホスト認証]タブにある[信頼されているホスト鍵]一覧を更新した場合。

    -または-
  • これまで知らなかったホストに接続し、ホスト鍵の信頼性メッセージに対して [常時] と応答した場合
グローバルな既知のホストファイル システム管理者は、ssh_known_hostsという名前のシステム規模で既知のホストファイルをクライアントアプリケーションデータフォルダに追加できます。

この場所で、既知のホストファイルにより PC のすべてのユーザのホスト一覧が提供されます。この一覧の鍵は表示できますが、[Secure Shellの設定]ダイアログボックスの[ホスト認証]タブにある[グローバルホスト鍵]の一覧で編集することはできません。

[ホスト鍵の信頼性]ダイアログボックス

この確認ダイアログボックスは、接続しているホストが信頼するホストではない場合に表示されます。この新しいホスト鍵を信頼して、接続を継続しますか?

ホスト認証により、Secure Shell クライアントは Secure Shell サーバを確実に識別することができます。この認証は、公開鍵認証を使用して行われます。ホストの公開鍵がクライアントに事前にインストールされていない場合は、初回の接続試行時に、不明なホストであることを示すメッセージが表示されます。このメッセージにはホストを識別する指紋が含まれています。

ホストが実際に自分のホストであることを確認するには、正しい指紋であるかどうかを確認できるホストのシステム管理者に問い合わせる必要があります。ホストが実際に自分のホストであることを確認するまでは、別のサーバがユーザのホストを装う「中間者」攻撃を受ける危険性があります。

オプションは次のとおりです。

[常時] 接続を行って、信頼するホストの一覧にこのホストを追加します。信頼するホストの一覧からこのホストを削除するか、ホスト鍵が変更されないかぎり、以降、同じホストに接続する際に上記のメッセージが表示されることはありません。
[1 回] 接続を行いますが、信頼するホストの一覧にこのホストを追加しません。次に同じホストに接続する時は上記のメッセージが表示されます。
[いいえ] 接続を行わず、信頼するホストの一覧にこのホストを追加しません。