Im Haltetank für SSH-Schlüssel wird der öffentliche Schlüssel gespeichert, der von einem Benutzer vorgelegt wird, der versucht, eine Verbindung herzustellen und sich anzumelden. Der Schlüssel wurde im Rahmen der Authentifizierung bereitgestellt, wurde jedoch noch nicht von einem Administrator für den betreffenden MOVEit Transfer-Benutzer als gültig akzeptiert. Einträge in den Haltetank werden automatisch vorgenommen, wenn ein gültiger Benutzername zusammen mit einem neuen Schlüssel übergeben wird UND die Anmeldung fehlschlägt (z. B. weil im Rahmen der SSH-Richtlinie von MOVEit ein Schlüssel angefordert wurde).

Durch die Verwendung eines Haltetanks bei der Authentifizierung mit Schlüsseln können Administratoren bestimmte Schlüssel für Benutzer einfach durch Klicken akzeptieren, ohne Schlüssel manuell in ein Benutzerprofil kopieren oder eingeben zu müssen.

Ausführliche Informationen zum Konfigurieren der SSH-Schlüssel-Richtlinie finden Sie auf der Dokumentationsseite Interface Policy (Schnittstellenrichtlinie).

Typisches Szenario zum Hinzufügen eines Schlüssels zum Haltetank

Das folgende Verfahren beschreibt, wie ein SSH-Client eine Verbindung mit einem neuen Schlüssel aufbauen kann, der in den Haltetank kopiert wird, so dass der Administrator anschließend genehmigen oder ablehnen kann, ob der Schlüssel für das Benutzerprofil des MOVEit Transfer-Benutzers verwendet werden darf. Jeder SSH-Benutzer, dessen Client bereits einen SSH-Client-Schlüssel generiert und installiert hat, sollte dieses Verfahren verwenden können.

Schritt 1: Versuch einer Clientverbindung über SFTP oder SSH

Zuerst muss der Benutzer mit seinem öffentlichen SSH-Schlüssel am Standardspeicherort auf dem Client-Rechner versuchen, eine SSH-Client-Verbindung zu MOVEit Transfer herzustellen. Diese Verbindung sollte fehlschlagen, und der öffentliche Schlüssel wird in den Haltetank von MOVEit Transfer kopiert.

Beispiel: Jedes der folgenden Beispiele versucht, eine Verbindung mit dem aktuellen Client-Schlüssel des Benutzers aufzubauen, und schlägt fehl (Beispiele für eine Linux BASH- und eine Powershell-Sitzung). (Der Versuch schlägt fehl, da der vorgelegte öffentliche Schlüssel vom Administrator genehmigt werden muss.)

Beispiel 1: SSH-Sitzung von Linux BASH-Client

$ ssh 10.65.18.222 -l audituser01
            audituser01@10.65.18.222's password:
            PTY allocation request failed on channel 0
            shell request failed on channel 0

(Die Anfrage ist fehlgeschlagen, aber der öffentliche Schlüssel des Clients wurde in MOVEit kopiert und befindet sich im Haltetank, mit dem Status „Ausstehend“.)

Beispiel 1: SFTP-Sitzung von Windows Powershell-Client

PS C:\Users\jsmith> sftp audituser01@10.65.18.222
            audituser01@10.65.18.222's password:
            audituser01@10.65.18.222: Permission denied (publickey).
            PS C:\Users\jsmith>

(Die Anfrage ist fehlgeschlagen, aber der öffentliche Schlüssel des Clients wurde in MOVEit kopiert und befindet sich im Haltetank, mit dem Status „Ausstehend“.)

Schritt 2: SSH-Schlüssel akzeptieren oder ablehnen

  1. Melden Sie sich als Administrator bei MOVEit Transfer an.
  2. Sie haben zwei Möglichkeiten:
    • Navigieren Sie zum Benutzerprofil des Benutzers, der gerade versucht hat, sich zu authentifizieren, falls Sie wissen, um wen es sich handelt, und klicken Sie auf den Link zur SSH-Richtlinie; oder...
    • wechseln Sie zum Haltetank der Organisation unter Settings | Security | Interface Policy | SSH...(Einstellungen | Sicherheit | Schnittstellenrichtlinie | SSH...)

    Die Seite der SSH-Richtlinie wird angezeigt.

    Abbildung 1. SSH-Richtlinienansicht

  3. Überprüfen Sie den aktuellen öffentlichen Schlüssel und klicken Sie dann auf den Link Accept (Akzeptieren).

    Anmerkung: Der Schlüssel aus dem Haltetank sollte nur dann akzeptiert werden, wenn der Administrator begründet davon ausgehen kann, dass der Verbindungsversuch, der zu dem Haltetank-Eintrag geführt hat, tatsächlich von dem autorisierten Benutzer durchgeführt wurde.

Wenn der bereitgestellte öffentliche Schlüssel als gültig analysiert wird, wird eine Erfolgsmeldung angezeigt, und der Schlüssel wird nun im Abschnitt Current SSH Keys (Aktuelle SSH-Schlüssel) angezeigt (wird dorthin „verschoben“). Ein einzelner Benutzer kann mehreren SSH-Schlüsseln zugeordnet werden. Dies ist beispielsweise hilfreich, wenn ein Benutzer denselben Benutzernamen für mehrere Geräte verwendet.

Um schließlich sicherzustellen, dass der Schlüssel vom SSH-Client angefordert und/oder es sich um erforderliche Anmeldeinformationen handelt, prüfen Sie den Abschnitt Edit SSH Policy (SSH-Richtlinie bearbeiten) und aktivieren Sie die Kästchen entsprechend.

Wenn Sie OpenSSH im Batch-Modus verwenden möchten, sollten Sie die folgenden Einstellungen verwenden (require_key = yes, require_pass_with_key = no). Wenn Sie „Zwei-Faktor-Authentifizierung“ erzwingen möchten, aktivieren Sie alle de folgenden Einstellungen (require_key = yes, require_pass_with_key = yes).

Importieren von Schlüsseln aus dem organisationsweiten Haltetank

Eine vollständige Liste aller nicht zugewiesenen Schlüssel für alle Benutzer in der Organisation kann im organisationsweiten Haltetank angezeigt werden. Der Zugriff auf den organisationsweiten Haltetank erfolgt auf der Seite Settings (Einstellungen) über den Link Security | Interface Policy | SSH (Sicherheit - Schnittstellenrichtlinie - SSH...). Um bestimmte Schlüssel zuzuweisen, klicken Sie in die Gesamtliste mit dem Link View Tank Keys (Schlüssel im Tank anzeigen).

Die Schlüssel sind nach Benutzername aufgelistet. Wählen Sie den entsprechenden Schlüssel aus und klicken Sie auf den Link Accept (Akzeptieren) neben dem Schlüssel. Nachdem ein Schlüssel akzeptiert wurde, kehrt die Schnittstelle zum organisationsweiten Haltetank zurück, sodass weitere Schlüssel zugewiesen oder gelöscht werden können.

Löschen von nicht zugewiesenen Schlüsseln aus dem Haltetank

Nicht zugewiesene Schlüssel werden nach einer bestimmten Anzahl von Tagen automatisch aus dem Haltetank gelöscht. Die genaue Anzahl der Tage ist eine konfigurierbare Option unter der organisationsweiten SSH-Richtlinie. (Dieser Wert gilt für nicht zugewiesene SSL-Client-Zertifikate und nicht vertrauenswürdige Zertifizierungsstellenzertifikate im Haltetank.)

Nicht zugewiesene Schlüssel können auch manuell aus dem Haltetank eines einzelnen Benutzers oder dem organisationsweiten Haltetank gelöscht werden, indem Sie einen der angegebenen Links Delete all (Alle löschen) verwenden.