パスワードとキーペアに関するFAQ - Bastionhost - Alibaba Cloud ドキュメントセンター

このトピックでは、パスワードとキーペアに関するよくある質問への回答を提供します。

キーペアまたは秘密鍵認証を設定した後、パスワードの入力を求められた場合はどうすればよいですか？

堡垒机がElastic Compute Service（ECS）インスタンスにアクセスする場合、キーペア認証はパスワード認証よりも優先されます。キーペア認証が失敗した場合、パスワード認証が自動的に実行されます。ホストアカウントにキーペアが設定されているが、パスワードが設定されていない場合、キーペア認証が失敗すると、ECSインスタンスのパスワードの入力を求められます。

上記の課題のトラブルシューティングを行うには、次の操作を実行します。

堡垒机で有効な秘密鍵が設定されていること、およびその秘密鍵を使用して ECS インスタンスにアクセスできることを確認します。秘密鍵を使用して ECS インスタンスにアクセスできるかどうかを確認するには、秘密鍵を使用して ECS インスタンスにログオンします。キーペアを生成し、堡垒机でキーペア認証を設定する方法の詳細については、キーペアを生成してキーペア認証を設定するにはどうすればよいですか？を参照してください。
説明
SSH 秘密鍵ベースの認証を設定する方法の詳細については、「Configure SSH private key-based authentication」を参照してください。
OpenSSH がバージョン 9.0 以後にアップグレードされているか、オペレーティングシステムが Rocky Linux 9.0 以降、Ubuntu 22.04 以降、または Mac 13.0 以降であるかどうかを確認します。
OpenSSH がバージョン 9.0 以後にアップグレードされているか、オペレーティングシステムが Rocky Linux 9.0 以降、Ubuntu 22.04 以降、または Mac 13.0 以降の場合、ssh-rsa 公開鍵署名アルゴリズムはデフォルトで無効になっています。関連ファイルのパラメーターを設定して、オンプレミスクライアントまたはリモートサーバーで ssh-rsa 公開鍵署名アルゴリズムを手動で有効にすることができます。
- Mac 13.0.1 以降を実行しているクライアントを使用して Bastionhost にアクセスする場合は、次の手順を実行して ssh-rsa 公開鍵署名アルゴリズムを有効にします。
  1. ECS インスタンスで次のコマンドを実行して、ssh_config 設定ファイルを開きます。
```
vim /etc/ssh/ssh_config
```
  2. 次の設定項目を ssh_config 設定ファイルに追加して、ファイルを保存します。
```
HostKeyAlgorithms +ssh-rsa
PubkeyAcceptedAlgorithms +ssh-rsa
```
  3. sshd を再起動します。
```
systemctl restart sshd
```
- Rocky Linux 9.0 以降または Ubuntu 22.04 以降を実行しているクライアントを使用して Bastionhost にアクセスする場合は、次の手順を実行して ssh-rsa 公開鍵署名アルゴリズムを有効にします。
  1. ECS インスタンスで次のコマンドを実行して、sshd_config 設定ファイルを開きます。
```
vim /etc/ssh/sshd_config
```
  2. 次の設定項目を sshd_config 設定ファイルに追加して、ファイルを保存します。
```
HostKeyAlgorithms +ssh-rsa
PubkeyAcceptedAlgorithms +ssh-rsa
```
  3. sshd を再起動します。
```
systemctl restart sshd
```

SSH モードで堡垒机にログオンするときに、キーペアを使用して認証できますか？

はい。ポート 60022 経由で SSH モードで堡垒机にログオンするときに、キーペアまたはパスワードを使用して認証できます。

キーペアを使用して堡垒机にログオンする方法の詳細については、ユーザーの公開鍵をホストするを参照してください。
SSH 経由で堡垒机にログオンする方法の詳細については、お使いのオペレーティングシステムに基づいて、次のいずれかのリンクを参照してください。
- Windows：SSH ベースの O&M
- macOS：SSH ベースの O&M

O&M エンジニアです。堡垒机にログオンするために使用するパスワードを変更するにはどうすればよいですか？

次のいずれかの方法を使用して、堡垒机にログオンするために使用するパスワードを変更できます。

堡垒機の管理者に連絡してください。
堡垒机にログオンしてパスワードを変更します。詳細については、O&M 管理者のセキュリティポリシーを参照してください。

パスワードの有効期限が切れた後、キーペアを使用して堡垒机にログオンできますか？

はい。パスワードの有効期限が切れた後も、キーペアを使用してログオンできます。

ECS インスタンスにアクセスするためにキーペアを生成し、キーペア認証を設定するにはどうすればよいですか？

Bastionhost は、RSA キーペアと Ed25519 キーペアをサポートしています。次の例は、root アカウントの RSA キーペアを生成する方法を示しています。

ECS インスタンスで次のコマンドを実行して、.ssh ディレクトリに移動します。
```
cd ~/.ssh/
```
.ssh ディレクトリで、次のコマンドを実行して RSA キーペアを生成します。
```
ssh-keygen -t RSA -m PEM
```
コマンドを実行すると、秘密鍵 id_rsa と公開鍵 id_rsa.pub を含む RSA キーペアが現在のディレクトリに生成されます。
id_rsa 秘密鍵を、堡垒机で秘密鍵を設定するホストアカウントにコピーします。詳細については、ホストのアカウント設定を構成するを参照してください。
次のコマンドを実行して、id_rsa.pub 公開鍵を authorized_keys ディレクトリにコピーします。
```
cp id_rsa.pub authorized_keys
```

説明

CreateHostAccount オペレーションを呼び出してホストアカウントを作成するときは、ホストアカウントのキーペアを Base64 でエンコードします。
キーペア認証はパスワード認証よりも優先されます。キーペア認証が失敗した場合、パスワード認証が実行されます。