Gestion des clés hôte
Configuration du contrôle des clés hôte
Suivez la procédure ci-dessous pour spécifier les actions à effectuer par Reflection lors de la connexion à un hôte inconnu.
Pour configurer le contrôle des clés hôte
-
Ouvrez la boîte de dialogue Paramètres de Reflection Secure Shell.
-
Sélectionnez la section Authentification de l'hôte.
-
Sélectionnez l'une des options suivantes dans la liste déroulante Appliquer un contrôle strict des clés hôte.
Sélectionnez À Demander (valeur par défaut) Afficher la boîte de dialogue de confirmation Authenticité de la clé hôte lorsque vous vous connectez à un hôte inconnu. Oui Appliquer le contrôle strict des clés hôte. Reflection ne se connecte pas si l'hôte n'est pas approuvé. Avant de vous connecter, vous devez ajouter la clé hôte à la liste de vos clés hôte approuvées. Non Ne pas appliquer le contrôle strict des clés hôte. Reflection se connecte sans afficher de boîte de dialogue de confirmation. La clé hôte n'est pas ajoutée à la liste des clés approuvées.
Remarque
-
L'option Appliquer un contrôle strict des clés hôte n'a aucun effet si l'hôte a été configuré pour l'authentification par certificats X.509. Si un hôte présente un certificat pour s'authentifier et que vous n'avez pas le certificat de l'autorité de certification requis dans votre liste de certificats racine approuvés, la connexion échoue.
-
Les modifications que vous apportez à ce paramètre sont enregistrées dans le schéma de configuration SSH actuellement spécifié.
-
Les paramètres Secure Shell sont enregistrés dans le fichier de configuration Secure Shell. Vous pouvez aussi configurer les paramètres Secure Shell en modifiant manuellement ce fichier dans un éditeur de texte. Le mot clé utilisé pour configurer ce paramètre est StrictHostKeyChecking.
Configuration du type de clé hôte préféré
Sélectionnez Utiliser les clés ssh avant les certificats pour spécifier l'ordre de préférence d'utilisation des algorithmes de clé hôte. Ce paramètre est utile lorsque le serveur est configuré pour l'authentification par certificat et par clé hôte standard. Le protocole SSH n'autorise qu'une seule tentative d'authentification de l'hôte. Si l'hôte présente un certificat et que le client n'est pas configuré pour l'authentification hôte par certificat, la connexion échoue. (Contrairement à l'authentification client où plusieurs tentatives sont autorisées.)
Pour configurer le type de clé hôte préféré (certificats ou clés SSH standard)
-
Ouvrez la boîte de dialogue Paramètres de Reflection Secure Shell.
-
Sélectionnez la section Authentification de l'hôte.
-
Pour que l'hôte utilise l'authentification par clé hôte standard, sélectionnez Utiliser les clés ssh avant les certificats.
-ou-
Pour utiliser l'authentification par certificat, décochez Utiliser les clés ssh avant les certificats.
Remarque
-
Les modifications que vous apportez à ce paramètre sont enregistrées dans le schéma de configuration SSH actuellement spécifié.
-
Les paramètres Secure Shell sont enregistrés dans le fichier de configuration Secure Shell. Vous pouvez aussi configurer les paramètres Secure Shell en modifiant manuellement ce fichier dans un éditeur de texte. Le mot clé utilisé pour configurer ce paramètre est HostKeyAlgorithms.
Fichier d'hôtes connus
Le client Secure Shell tient à jour une liste des hôtes connus dans un fichier y dédié. Le client accepte les fichiers d'hôtes connus aussi bien spécifiques à chaque utilisateur que globaux.
| Fichier d'hôtes connus spécifique à l'utilisateur | Ce fichier nommé known_hosts se trouve dans le dossier utilisateur .ssh. Il s'agit du fichier d'hôtes connus par défaut. Le client met automatiquement à jour ce fichier lorsque :
|
| Le fichier d'hôtes connus global | Les administrateurs système peuvent ajouter un fichier d'hôtes connus couvrant l'ensemble du système (appeléssh_known_hosts) au dossier des données d'application du client.À cet emplacement, le fichier d'hôtes connus fournit une liste d'hôtes à tous les utilisateurs du PC. L'utilisateur peut consulter cette liste, sans toutefois pouvoir la modifier, sous l'option Clés hôte globales dans l'onglet Authentification de l'hôte de la boîte de dialogue Paramètres de Secure Shell. |
Boîte de dialogue Authenticité de la clé hôte
Cette boîte de dialogue de confirmation apparaît si l'hôte auquel vous vous connectez n'est pas un hôte approuvé. Voulez-vous accepter cette nouvelle clé hôte et continuer avec la tentative de connexion ?
L'authentification hôte permet au client Secure Shell de confirmer l'identité du serveur Secure Shell de façon fiable. Cette authentification est réalisée à l'aide d'une authentification par clé publique. Si la clé publique hôte n'a pas été installée sur le client au préalable, la première fois que vous essayez de vous connecter, un message s'affiche indiquant qu'il s'agit d'un hôte inconnu. Ce message comprend une empreinte identifiant l'hôte.
Pour être sûr qu'il s'agit effectivement de votre hôte, vous devez contacter l'administrateur système de l'hôte pouvant confirmer qu'il s'agit de la bonne empreinte. Jusqu'à ce que vous soyez sûr qu'il s'agit effectivement de votre hôte, vous risquez d'être victime d'une attaque de type « intermédiaire », au cours de laquelle un autre serveur se fait passer pour votre hôte.
Les options sont les suivantes :
| Toujours | Établissez la connexion et ajoutez cet hôte à la liste des hôtes approuvés. Cette invite ne s'affichera pas pour les connexions suivantes au même hôte à moins que vous ne supprimiez ce dernier de la liste des hôtes approuvés ou que la clé hôte change. |
| Une fois | Établissez la connexion mais n'ajoutez pas l'hôte à la liste des hôtes approuvés. Cette invite s'affiche la prochaine fois que vous établissez une connexion au même hôte. |
| Non | N'établissez pas la connexion et n'ajoutez pas l'hôte à la liste des hôtes approuvés. |