SSH Tectia

ssh-broker-g3

ssh-broker-g3 — SSH Connection Broker - Generation 3

書式

ssh-broker-g3 [-f, --config-file=FILE] [-D, --debug=LEVEL] [-l, --debug-log-file=FILE] [--exit] [--reconfig] [--no-gui] [--start-gui] [-h] [-V]

説明

ssh-broker-g3 (Windows では ssh-broker-g3.exe) は、SSH Tectia Client および SSH Tectia ConnectSecure のコンポーネントです。SSH Tectia クライアント プログラム sshg3scpg3sftpg3、および ssh-client-g3.exe (Windows 上のみ) のすべての暗号化動作と認証関連のタスクを処理します。

ssh-broker-g3 は、SecureShell プロトコル バージョン 2 を使用して SecureShell サーバと通信します。

ssh-broker-g3 コマンドを使用して、Connection Broker を手動で起動できます。これによって ssh-broker-g3 がバックグラウンドで起動され、その後に sshg3sftpg3、または scpg3 を使用すると、新しい Broker セッションが開始されるのではなく、すべて Connection Broker のこのインスタンスを介して接続されます。

Connection Broker がバックグラウンドで実行されていないときにコマンドライン クライアント (sshg3sftpg3、または scpg3) が起動された場合は、そのクライアントによって Broker がオンデマンド実行 (run-by-need) モードで起動されます。このモードでは、最後のクライアントが切断されると ssh-broker-g3 が終了します。

オンデマンド実行モードで実行されている ssh-broker-g3 プロセスが存在する場合に Connection Broker がコマンドラインから起動されると、新しい ssh-broker-g3 プロセスは、古い ssh-broker-g3 プロセスにオンデマンド実行モードからバックグラウンド モードに変更するよう指示するメッセージを送信します。これにより、クライアントが切断された後も Broker は実行されたままになります。

認証

Connection Broker は自動的に認証エージェントとして動作し、ユーザの公開鍵を保存したり、SecureShell 接続を通して認証を転送したりします。鍵のペアは、ssh-keygen-g3 を使用して作成できます。

Solaris および AIX では、Connection Broker は認証エージェントとして OpenSSH クライアントにもサービスを提供できます。

ユーザ認証に使用される公開鍵のペアは、デフォルトでは $HOME/.ssh2 ディレクトリ (Windows では %APPDATA%\SSH\UserKeys) に保存されます。詳細については、ファイル項を参照してください。

Connection Broker は、SecureShell サーバの認証に使用される公開ホスト鍵が含まれたデータベースを自動的に管理しチェックします。サーバ ホストに初めてログインすると、そのホストの公開鍵はユーザの $HOME/.ssh2/hostkeys ディレクトリ (Windows では %APPDATA%\SSH\HostKeys) に保存されます。詳細については、ファイル項を参照してください。

オプション

ssh-broker-g3 の最も重要なオプションは以下の通りです。

-f, --config-file=FILE

デフォルトの場所の代わりに、FILE から Connection Broker の設定ファイルを読み取ります。

-D, --debug=LEVEL

デバッグ レベル文字列を LEVEL に設定します。

-l, --debug-log-file=FILE

デバッグ メッセージを FILE に出力します。

--exit

現在実行されている Connection Broker を終了します。これにより、すべての接続が終了します。

--reconfig

設定ファイル (ssh-broker-config.xml) を再度読み取って使用します。

--no-gui

Windows で、Connection Broker を起動しますが、GUI は起動しません。

このオプションは、Connection Broker が実行されていないときにコマンドライン クライアントが起動された場合に、内部的に使用されます。

--start-gui

Windows で、SSH Tectia 構成 GUI がまだ実行されていない場合は起動します。

-V, --version

プログラムのバージョンを表示して終了します。

-h, --help

コマンドライン オプションの簡単な概要を表示して終了します。

Windows では、ヘルプは "ssh-broker-cli.exe -h" を "C:\Program Files\SSH Communications Security\SSH Tectia\SSH Tectia AUX\Support Binaries" ディレクトリから直接実行している場合にのみ表示されます。通常、ssh-broker-cli.exe はユーザによって実行されることはなく、ssh-broker-g3.exe から自動的に呼び出されます。

ファイル

ssh-broker-g3 では、以下のファイルを使用します。

$HOME/.ssh2/ssh-broker-config.xml

これは、ssh-broker-g3 (および sshg3scpg3sftpg3) で使用されるユーザ固有の設定ファイルです。このファイルの形式は、ssh-broker-config(5)で説明されています。このファイルには通常、機密情報は含まれていませんが、そのユーザの読み取り/書き込みを許可し、他のユーザからはアクセスできないようにすることを推奨します。

Windows では、ユーザ固有の設定ファイルは %APPDATA%\SSH\ssh-broker-config.xml にあります。

$HOME/.ssh2/random_seed

このファイルは、乱数発生器に種を与えるために使用します。機密データが含まれているため、そのユーザの読み取り/書き込みを許可し、他のユーザからはアクセスできないようにする必要があります。このファイルは、プログラムが初めて実行されるときに作成され、自動的に更新されます。このファイルを読み取ったり変更したりする必要はありません。

Windows では、乱数種ファイルは %APPDATA%\SSH\random_seed にあります。

$HOME/.ssh2/identification

このファイルには、リモート ホストに接続するときのユーザ認証に使用される公開鍵と証明書に関する情報が含まれています。

SSH Tectia Client G3 では、すべてのユーザ鍵がデフォルトのディレクトリに保存され、公開鍵や証明書による認証にすべての鍵を使用できるようにしている場合は、identification ファイルを使用する必要はありません。identification ファイルが存在しない場合、Connection Broker は、$HOME/.ssh2 ディレクトリにある各鍵の使用を試行します。identification ファイルが存在する場合は、そのファイルに記述されている鍵が最初に試行されます。

identification ファイルには、それぞれの名前の先頭に IdKey (または CertKey) というキーワードが付属した、秘密鍵のファイル名のリストが記載されます。ファイルの例は以下の通りです。

IdKey       mykey 

これによって Connection Broker は、公開鍵認証を使用してログインしようとするときに $HOME/.ssh2/mykey を使用します。

ファイルはデフォルトで $HOME/.ssh2 ディレクトリにあると見なされますが、鍵ファイルへのパスを指定することもできます。$HOME/.ssh2 ディレクトリに対する絶対または相対パスが指定できます。複数の IdKey が存在する場合は、identification ファイルに記載された順序で試行されます。

Windows では、identification ファイルは %APPDATA%\SSH\identification にあります。ファイルの鍵のパスには、%APPDATA%\SSH ディレクトリの絶対または相対パスが指定できます。デフォルトのユーザ鍵のディレクトリは %APPDATA%\SSH\UserKeys であり、デフォルトのユーザ証明書のディレクトリは %APPDATA%\SSH\UserCertificates です。

$HOME/.ssh2/hostkeys

これは、サーバ ホストの公開鍵を保存するためのユーザ固有のデフォルトのディレクトリです。ssh-broker-config.xml ファイルで strict-host-key-checkingyes に設定していない限り、サーバに接続すると自動的に新しい鍵または変更された鍵を受け入れるよう求められます。新しい鍵または変更された鍵を受け入れる前に、鍵のフィンガープリントを検証する必要があります。

リモート ホストへの最初の接続中にホスト鍵を受信し (または、ホスト鍵が変更され)、その鍵の保存を選択すると、デフォルトでは、そのファイル名はハッシュ化された形式で保存されます。ハッシュ化されたホスト鍵形式は、ホストでのアドレスの取り込みを困難にするためのセキュリティ機能です。

この保存形式は、ssh-broker-config.xml 設定ファイル内の known-hosts エレメントの filename-format 属性を使用して制御できます。この属性値は、plain または hash (デフォルト) にする必要があります。

鍵を手動で追加する場合は、その鍵に key_<port>_<host>.pub のパターンを使用して名前を付ける必要があります。ここで、<port> は SecureShell サーバが実行されているポートであり、<host> は、そのサーバに接続するときに使用するホスト名 (key_22_alpha.example.com.pub など) です。

ハッシュ化された形式と平文形式の両方の鍵が存在する場合は、ハッシュ化された形式が優先されます。

この識別は、クライアントの接続先のホストとポートに応じて異なることに注意してください。たとえば、短いホスト名 alpha は、完全修飾ドメイン名 alpha.example.com とは異なると見なされます。また、IP を使用した接続 (10.1.54.1 など) や、ホストは同じだが異なるポートへの接続 (alpha.example.com#222 など) も別のホストと見なされます。

Windows では、ユーザ固有のホスト鍵ファイルは %APPDATA%\SSH\HostKeys にあります。

ホスト鍵の詳細については、公開鍵を使用したサーバの認証項を参照してください。

$HOME/.ssh2/hostkeys/salt

これは、ハッシュ化されたホスト鍵の名前の初期化ファイルです。

Windows では、salt ファイルは %APPDATA%\SSH\HostKeys\salt にあります。

/etc/ssh2/ssh-tectia/auxdata/ssh-broker-ng/ssh-broker-config-default.xml

これは、ssh-broker-g3 (および sshg3scpg3sftpg3) で使用される設定ファイルで、工場出荷時のデフォルト設定が含まれています。このファイルを編集することは推奨されませんが、デフォルト設定の確認に使用できます。このファイルの形式は、ssh-broker-config(5)で説明されています。

Windows では、デフォルト設定ファイルは "C:\Program Files\SSH Communications Security\SSH Tectia\SSH Tectia AUX\ssh-broker-ng\ssh-broker-config-default.xml" にあります。

/etc/ssh2/ssh-broker-config.xml

これは、ssh-broker-g3 (および sshg3scpg3sftpg3) で使用されるグローバル (システム全体) 設定ファイルです。このファイルの形式は、ssh-broker-config(5)で説明されています。

Windows では、グローバル設定ファイルは %APPDATA%\SSH\ssh-broker-config.xml にあります。

/etc/ssh2/hostkeys

ユーザ固有の $HOME/.ssh2/hostkeys ディレクトリにホスト鍵が見つからない場合は、次に、この場所がすべてのユーザについて確認されます。ホスト鍵ファイルはここに自動的に保存されるわけではなく、システム管理者 (root) が手動で更新するか、または SSH Tectia Manager を使用して更新する必要があります。

管理者が各ホストに接続することによってホスト鍵を取得する場合、デフォルトでは、これらの鍵はハッシュ化された形式になります。この場合は、その管理者の $HOME/.ssh2/hostkeys/salt ファイルも /etc/ssh2/hostkeys ディレクトリにコピーする必要があります。

Windows では、システム全体のホスト鍵ファイルはデフォルトで以下の場所にあります。

Vista 以前の Windows では "C:\Documents and Settings\All Users\Application Data\SSH\HostKeys"

Windows Vista では "C:\ProgramData\SSH\HostKeys"

/etc/ssh2/hostkeys/salt

これは、ハッシュ化されたホスト鍵の名前の初期化ファイルです。このファイルは、ホスト鍵を取得した管理者が手動でここにコピーする必要があります。

Windows では、すべてのユーザの salt ファイルはデフォルトで以下の場所にあります。

Vista 以前の Windows では "C:\Documents and Settings\All Users\Application Data\SSH\HostKeys\salt"

Windows Vista では "C:\ProgramData\SSH\HostKeys\salt"

/etc/ssh/ssh_known_hosts

これは、既知のサーバ ホストの公開鍵データを保存するために OpenSSH クライアントによって使用されるデフォルトのシステム全体のファイルです。このファイルは、SSH Tectia Client でもサポートされています。

ユーザ固有の $HOME/.ssh/known_hosts ファイルにホスト鍵が見つからない場合は、次に、この場所がすべてのユーザについて確認されます。

SSH Tectia Client または ConnectSecure では、新しいホスト鍵は常に SSH Tectia のユーザ固有のディレクトリ $HOME/.ssh2/hostkeys に保存されるため、ssh_known_hosts ファイルがこれらのプログラムによって自動的に更新されることはありません。

$HOME/.ssh/known_hosts

これは、既知のサーバ ホストの公開鍵データを保存するために OpenSSH クライアントによって使用されるデフォルトのユーザ固有のファイルです。known_hosts ファイルは、SSH Tectia Client でもサポートされています。

known_hosts ファイルには、既知の各ホスト鍵のハッシュ化された形式または平文形式のエントリと、サーバで使用されているポート (標準の 22 以外) が含まれています。known_hosts ファイルの形式の詳細については、OpenSSH sshd(8) の man ページを参照してください。

SSH Tectia Client または ConnectSecure では、新しいホスト鍵は常に SSH Tectia のディレクトリ $HOME/.ssh2/hostkeys に保存されるため、known_hosts ファイルがこれらのプログラムによって自動的に更新されることはありません。

$HOME/.ssh2/authorized_keys (サーバ ホスト上)

このディレクトリは、ログイン用に承認されたユーザ公開鍵のために SSH Tectia Server によって使用されるデフォルトの場所です。

Windows 上の SSH Tectia Server では、ユーザ公開鍵のデフォルトのディレクトリは %USERPROFILE%\.ssh2\authorized_keys です。

$HOME/.ssh2/authorization (サーバ ホスト上)

これは、以前のバージョンの SSH Tectia Server (sshd2) によって使用されるデフォルトのファイルで、ログイン用に承認されたユーザ公開鍵が記述されています。このファイルは、SSH Tectia Server G3 (ssh-server-g3) でもオプションで使用できます。

Windows 上の SSH Tectia Server では、承認ファイルはデフォルトで %USERPROFILE%\.ssh2\authorization にあります。

このファイルの形式については、ssh-server-g3(8) の man ページを参照してください。

$HOME/.ssh/authorized_keys (サーバ ホスト上)

これは、OpenSSH サーバ (sshd) によって使用されるデフォルトのファイルで、ログイン用に承認されたユーザ公開鍵が含まれています。

このファイルの形式については、OpenSSH sshd(8) の man ページを参照してください。