Le dossier de stockage des clés SSH contient une clé publique présentée par un utilisateur se connectant et tentant de s'identifier. La clé a été fournie dans le cadre de l'authentification, mais n'a pas encore été acceptée comme valide par un administrateur pour l'utilisateur MOVEit Transfer en question. Le dossier de stockage est rempli automatiquement lorsqu'un nom d'utilisateur valide est présenté avec une nouvelle clé ET que la connexion échoue (par exemple, la connexion échoue parce qu'une clé était requise dans le cadre de la stratégie SSH MOVEit du site).

L'utilisation d'un dossier de stockage des clés d'authentification facilite le travail des administrateurs qui « cliquent pour accepter » les clés spécifiques des utilisateurs sans avoir à copier ou saisir manuellement les clés dans le profil utilisateur.

Pour en savoir plus sur la configuration de la stratégie de clés SSH, reportez-vous à la page Interface Policy (Stratégie d'interface).

Scénario type pour l'ajout d'une clé au dossier de stockage

La procédure suivante décrit comment un client SSH peut se connecter avec une nouvelle clé, qui est copiée dans le dossier de stockage pour qu'un administrateur puisse éventuellement approuver ou rejeter le profil d'utilisateur de MOVEit Transfer. Tout utilisateur SSH dont le client a déjà généré et installé une clé client SSH doit être en mesure d'utiliser cette procédure.

Étape 1 : Tentative de connexion du client avec SFTP ou SSH

Tout d'abord, avec sa clé publique SSH à l'emplacement par défaut sur la machine cliente, demandez à votre utilisateur de tenter une connexion client SSH à MOVEit Transfer. Cette connexion devrait échouer, avec pour effet secondaire la copie de leur clé publique dans le dossier de stockage de MOVEit Transfer.

Par exemple, chacun des éléments suivants (un exemple de session Linux BASH et Powershell) tente de se connecter avec la clé client actuelle de l'utilisateur et échoue. (Il échoue parce que la clé publique qu'il a présentée doit être approuvée par l'administrateur.)

Exemple 1 : Session SSH depuis un client Linux BASH

$ ssh 10.65.18.222 -l audituser01
            mot de passe de audituser01@10.65.18.222's :
            La demande d'allocation PTY a échoué sur le canal 0
            la demande de shell a échoué sur le canal 0

(La demande a échoué, mais la clé publique du client a été copiée sur MOVEit et se trouve dans le dossier de stockage, en attente.)

Exemple 1 : Session SFTP à partir du client Windows Powershell

PS C:\Users\jsmith> sftp audituser01@10.65.18.222
            mot de passe audituser01@10.65.18.222 :
            audituser01@10.65.18.222: Permission denied (publickey).
            PS C:\Users\jsmith>

(La demande a échoué, mais la clé publique du client a été copiée sur MOVEit et se trouve dans le dossier de stockage, en attente.)

Étape 2 : Accepter ou rejeter la clé SSH

  1. Connectez-vous en tant qu'administrateur à MOVEit Transfer.
  2. Accédez au :
    • Profil de l'utilisateur qui vient d'essayer de s'authentifier si vous le connaissez, et cliquez sur le lien Stratégie SSH, ou...
    • Le dossier de stockage de l'organisation dans Paramètres | Sécurité | Stratégie d'interface | SSH...)

    La page Stratégie SSH s'affiche.

    Figure 1. Vue Stratégie SSH

  3. Examinez la clé publique actuelle et cliquez ensuite sur le lien Accepter.

    Remarque : Un administrateur ne doit accepter une clé du dossier de stockage que s'il a de bonnes raisons de croire que la tentative de connexion qui a donné lieu à l'entrée dans le dossier de stockage provient effectivement de l'utilisateur autorisé.

Si la clé publique fournie est analysée comme étant valide, un message de réussite s'affiche et la clé s'affiche (« déplacer ») dans la section Clés SSH actuelles. Un utilisateur peut être associé à plusieurs clés SSH. Par exemple, cela pourrait être utile si un utilisateur utilise le même nom de compte à partir de différentes machines.

Enfin, pour vous assurer que la clé sera demandée par le client SSH et/ou qu'elle constituera un authentifiant obligatoire, reportez-vous à la section Edit SSH Policy (Modifier la stratégie SSH) et cochez les cases appropriées.

Si vous prévoyez d'utiliser OpenSSH en mode batch, vous devez utiliser les paramètres suivants (require_key = yes, require_pass_with_key = no (require_key = oui, require_pass_with_key = non)). Si vous souhaitez appliquer une authentification « two-factor » (deux facteurs d'authentification), activez l'ensemble des paramètres suivants : (require_key = yes, require_pass_with_key = yes (require_key = oui, require_pass_with_key = oui)).

Importation des clés depuis le dossier de stockage à l'échelle de l'organisation

Une liste complète regroupant toutes les clés non assignées pour tous les utilisateurs dans l'organisation peut être consultée dans le dossier de stockage à l'échelle de l'organisation. Vous pouvez accéder au dossier de stockage à l'échelle de l'organisation à partir de la page Settings (Paramètres) en suivant le lien Security | Interface Policy | SSH (Sécurité | Stratégie d'interface | SSH). Pour assigner des clés spécifiques, cliquez dans la liste complète avec le lien View Tank Keys (Afficher les clés du dossier de stockage).

Les clés sont répertoriées par nom d'utilisateur. Sélectionnez la clé approprié et cliquez sur le lien Accept (Accepter) à côté de celle-ci. Après qu'une clé a été acceptée, l'interface revient au dossier de stockage au niveau de l'organisation afin que les autres clés puissent être assignées ou supprimées.

Nettoyage des clés non assignées dans le dossier de stockage

Les clés non assignées seront automatiquement nettoyées du dossier de stockage après un certain nombre de jours. Le nombre exact de jours est une option configurable sous la stratégie SSH à l'échelle de l'organisation. (La même valeur s'applique aux clés client SSL non assignées et aux certificats CA qui ne sont pas jugés fiables du dossier de stockage.)

Les clés non assignées peuvent également être supprimées manuellement du dossier de stockage d'un utilisateur individuel ou du dossier de stockage à l'échelle de l'organisation à l'aide des liens delete all (supprimer tout).