SSH キーの保留タンクには、接続ユーザーがサインオンを試みる際に提示された公開キーが保持されます。キーは認証の一環として提供されましたが、特定の MOVEit Transfer ユーザーに対して、まだ有効なキーとして管理者によって承認されていません。新しいキーと共に有効なユーザー名が提示され、サインオンが失敗すると (たとえば、サイトの MOVEit の SSH ポリシーの一環としてキーが必須だったためサインオンが失敗すると)、保留タンクに自動的に入力されます。

キー認証の際に保留タンクを使用すると、管理者はユーザープロファイルにキーを手動でコピーしたり入力したりする必要がなくなり、ユーザーに対して特定のキーを「クリックして承認」するのが容易になります。

SSH キーポリシーの設定の詳細については、「インターフェイスポリシー」ページも参照してください。

保持タンクにキーを追加する典型的なシナリオ

次の手順では、SSH クライアントが新しいキーを使用して接続する方法について説明します。このキーは保留タンクにコピーされ、管理者が最終的に MOVEit Transfer ユーザーのユーザープロファイルから承認または拒否することができます。SSH ユーザーのクライアントで既に SSH クライアントキーを生成してインストールしている場合は、この手順に従って操作できます。

ステップ 1:SFTP または SSH によるクライアントの接続試行

まず、クライアントマシンのデフォルトの場所にある SSH 公開キーを使用して、ユーザーに MOVEit Transfer への SSH クライアント接続を試行させます。この接続は失敗します。その結果、公開キーが MOVEit Transfer の保留タンクにコピーされます。

たとえば、次のセッション (Linux BASH と Powershell セッションの例) は、ユーザーの現在のクライアントキーを使用した接続を試行して失敗します(提示された公開キーは管理者によって承認される必要があるため、失敗します)。

例 1:Linux BASH クライアントからの SSH セッション

$ ssh 10.65.18.222 -l audituser01
            audituser01@10.65.18.222's password:
            PTY allocation request failed on channel 0
            shell request failed on channel 0

(要求は失敗しましたが、クライアントの公開キーは MOVEit にコピーされ、保留タンクに保留中として保持されています)

例 1:Windows PowerShell クライアントからの SFTP セッション

PS C:\Users\jsmith> sftp audituser01@10.65.18.222
            audituser01@10.65.18.222's password:
            audituser01@10.65.18.222:Permission denied (publickey).
            PS C:\Users\jsmith>

(要求は失敗しましたが、クライアントの公開キーは MOVEit にコピーされ、保留タンクに保留中として保持されています)

ステップ 2:SSH キーを承認するか拒否する

  1. MOVEit Transfer に管理者としてサインオンします。
  2. 以下のいずれかに移動します:
    • 認証を試行したユーザーのユーザープロファイルを知っている場合は、ユーザープロファイルに移動し、SSH ポリシーリンクをクリックします。または...
    • [Settings (設定)] | [Security (セキュリティ)] | [Interface Policy (インターフェイスポリシー)] | [SSH...] の下の [organization holding tank (組織の保留タンク)] に移動します。

    [SSH Policy (SSH ポリシー)] ページが表示されます。

    図 1. SSH ポリシービュー

  3. 現在の公開キーを確認し、[Accept (承認)] リンクをクリックします。

    注: 管理者は、保留タンクのエントリが生成される結果になった接続試行が、実際に承認済みのユーザーによるものだということを確信できる場合にのみ、保留タンクからのキーを承認する必要があります。

提示された公開キーが有効として解析されると、成功メッセージが表示され、キーが [Current SSH Keys (現在の SSH キー)] セクションに表示 (移動) されます。1 人のユーザーを複数の SSH キーに関連付けることができます。たとえば、これは、ユーザーが複数のマシンから同じユーザー名を使用する場合に役立ちます。

最後に、キーが SSH クライアントから要求されることや、キーが必須の認証情報であることを確実に設定するために、[Edit SSH Policy (SSH ポリシーの編集)] セクションを表示してチェックボックスを適切に選択してください。

バッチモードで OpenSSH を使用する予定がある場合は、次の設定を使用してください (require_key = yes、require_pass_with_key = no)。「2 要素」認証を行う場合は、次のすべての設定を有効にします (require_key = yes、require_pass_with_key = yes)。

組織全体の保留タンクからのキーのインポート

組織内のすべてのユーザーの割り当てられていないすべてのキーのリストは、組織全体の保留タンクで確認できます。組織全体の保留タンクには、[Security (セキュリティ)] | [Interface Policy (インターフェイスポリシー)] | [SSH] リンクをたどって、[Settings (設定)] ページからアクセスできます。特定のキーを割り当てるには、[View Tank Keys (タンクキーの表示)] リンクをクリックして、完全なリストを表示します。

キーはユーザー名ごとに表示されます。適切なキーを選択し、その横の [Accept (承認)] リンクをクリックします。キーが承認されると、インターフェイスが組織全体の保留タンクに戻るため、他のキーの割り当てや削除を行うことができます。

割り当てられていないキーの保留タンクからの消去

割り当てられていないキーは、一定の日数が経過すると、保留タンクから自動的に消去されます。正確な日数は、組織全体の SSH ポリシーで設定することができます (保留タンク内の割り当てられていない SSL クライアント証明書と信頼されていない CA 証明書に同じ値が適用されます)。

割り当てられていないキーは、[delete all (すべて削除)] リンクを使用して、個々のユーザーの保留タンクまたは組織全体の保留タンクから手動で消去することもできます。