HOME > システム > SR16000 > SR16000 利用の手引き > 第2章 ログイン方法

第2章 ログイン方法

2.1 概要

SR16000にはSSH2を用いてログインします。ログイン自体にはパスワードを使用せず鍵による認証を行います。初回ログイン時には鍵の生成とシステムへの登録作業が必要となります。登録操作は次のようになります。
  1. Windowsの場合はターミナルソフトを入手する。
  2. 認証に用いる鍵を生成する。
  3. Webブラウザを用いてSR16000に公開鍵を登録する。
  4. SSH ログインする。
手順は手元のマシンがWindowsかUNIX系オペレーティングシステム(Mac OS Xを含む)で異なりますので、OSごとに分けて説明します。すでに公開鍵をお持ちの方は改めて鍵を生成する必要はありません。SR16000への鍵の登録のみで使用できます。
▲ 第2章 ログイン方法 TOPへ

2.2 接続情報

ログインに必要な接続情報は以下の表のようになります。


表2-2-1 接続情報
表2-2-1 接続情報
▲ 第2章 ログイン方法 TOPへ

2.3 Windows システムからのログイン方法

Windowsで使用できるターミナルソフトにはPuTTYやTera Term Pro などがあります。PuTTYがもっとも鍵の扱いが容易なので、 PuTTY を本センターの推奨ターミナルソフトとし接続方法を説明します。他のターミナルソフトについては解説しませんが、多くのソフトは鍵での認証に対応しているのでSR16000へのログインに使用することができます。またCygwinを使用される方はUNIX向けの解説をご覧ください。

2.3.1 PuTTy の入手

2008年5月現在 PuTTY は日本語化されたものが次のページより入手できます。
http://hp.vector.co.jp/authors/VA024651/
このページより日本語化PuTTYをダウンロードし、適切なフォルダに展開してください。

2.3.2 鍵の生成

PuTTYの配布ファイルを展開すると puttygen.exe という実行可能ファイルがあるのでそれを実行します。「PuTTY Key Generator」 の画面が開くので <Generate>ボタンをクリックします。すると画面の上の方にバーが出現するので、バーが右端に到達するまでバーの下あたりでマウスを適当に動かします。これにより公開鍵(public key)、秘密鍵(private key)のペアが生成されます。


図2-3-1 鍵の生成
図2-3-1 鍵の生成

[Key passphrase] と [Confirm passphrase] に適当な他人に知られない文字列を入力します。センターから通知されたパスワードとは無関係なので、センターから発行されたパスワードを入力しないように注意してください。また、入力しなくても鍵としては使えますが、セキュリティー強化のためSR16000に登録する鍵はパスフレーズで保護されていることを必須とします。パスフレーズはメモしたりファイルに書いたりしなくて済むよう、他人には推測されず、自分には覚えやすいものを設定してください。パスフレーズの入力が終了したら <Save private key> ボタンをクリックして鍵を保存します。この秘密鍵ファイルは絶対に他人に読まれることがないよう、アクセス権には十分注意してください。この鍵を他人に読まれるとSR16000に不正侵入される危険性があります。<Save public key>ボタンは今回使用する必要はありません(<Save private key> ボタンで public key も同時に保存されています)。以上で鍵の生成は完了ですが、次の登録作業のためにこの画面は開いたままにしておいてください。

2.3.3 鍵の SR16000 への登録

SR16000にはputtygenの画面の上の方にある"Public key for pasting into OpenSSH authorized_keys file" と書かれた欄にある文字列を登録します。もし、前のステップの後 puttygen を終了してしまった場合は、再び puttygen を起動した後 <Load>ボタンを押して前のステップで保存した鍵のファイルを読み込めば登録に必要な文字列が得られます。鍵の登録のためには、次のURLにアクセスしてください。
https://yayoi.cc.u-tokyo.ac.jp/
ユーザー名とパスワードを求められるので、センターから通知されたユーザー名とパスワードを入力してください。ここで入力するパスワードは鍵の保護のために入力したパスフレーズではなく、センター発行のパスワードです。認証に成功するとユーザーページが開きますので「公開鍵登録」のリンクをクリックしてください。開いたページの "Public Key"の欄に PuTTY Key Generator ウインドウの "Public key for pasting into OpenSSH authorized_keys file" に表示されている文字列をコピー&ペーストし、"Password" の欄にセンター発行のパスワードを入力してください(すでに認証済みですが、セキュリティー上非常に重要な部分なので再度パスワード入力をお願いしております)。<登録>をクリックして完了画面が出れば登録完了です。登録まで少し時間がかかることがありますが、<登録>ボタンを何度もクリックしないようお願いします。登録作業を2回以上行うと、最初に登録した鍵は削除されます。また、一度でもSSHでログインするとWeb経由での公開鍵登録はできなくなります。複数のコンピュータからログインするために公開鍵を2個以上登録する方法や、ログインした後の鍵の変更方法は後の「鍵について」の節で説明します。

2.3.4 ログイン

PuTTYを起動すると以下のような画面が出ます。図に示した順番で以下のように情報を設定します。
  1. ホスト名を入力する。
  2. 「SSH」の「認証」画面に移動して秘密鍵ファイルを設定する。
  3. 「セッション」画面に戻ってセッション名を入力し、保存する。
  4. <開く>ボタンで接続する。ユーザー名を入力すると鍵のパスフレーズを聞かれるので、鍵作成の時に設定したパスフレーズを入力する。
図2-3-2 ログイン方法
図2-3-2 ログイン方法

2.3.5 ファイルコピー

ファイルコピーにはWinSCPというソフトが使用できます。WinSCPはPuTTY Key Generator で生成して保存した秘密鍵がそのまま使えます。ホスト名やユーザー名を登録する「セッション登録画面」に秘密鍵ファイルを指定する欄がありますので、秘密鍵ファイルを指定してください。


図2-3-3 WinSCPによるファイルコピー
図2-3-3 WinSCPによるファイルコピー
▲ 第2章 ログイン方法 TOPへ

2.4 UNIX システムからのログイン方法

Linux や Mac OS X 、Windows上のCygwinからのログインにはOSにデフォルトでインストールされている OpenSSH が使用できます。

2.4.1 鍵の生成

次のコマンドを入力してください。
 $ ssh-keygen -t rsa
最初に鍵の保存場所を聞かれます。これはそのままリターン(エンター)キーで大丈夫です。次にパスフレーズを求められるので入力してください。センターから通知されたパスワードとは無関係なので、センターから発行されたパスワードを入力しないように注意してください。また、入力しなくても鍵としては使えますが、セキュリティー強化のためSR16000に登録する鍵はパスフレーズで保護されていることを必須とします。パスフレーズはメモしたりファイルに書いたりしなくて済むよう、他人には推測されず、自分には覚えやすいものを設定してください。確認のためもう一度パスフレーズを入力したら鍵生成は完了です。

2.4.2 鍵の SR16000 への登録

鍵の登録のために、次のURLにアクセスしてください。
https://yayoi.cc.u-tokyo.ac.jp/

図2-4-1 SR16000 利用者専用ページ

ユーザー名とパスワードを求められるので、センターから通知されたユーザー名とパスワードを入力してください。ここで入力するパスワードは鍵の保護のために入力したパスフレーズではなく、センター発行のパスワードです。認証に成功すると上記の図のような、利用者専用ページが開きますので「公開鍵登録」のリンクをクリックしてください。開いたページの "Public Key"の欄に ~/.ssh/id_rsa.pub の内容をコピー&ペーストし、"Password" の欄にセンター発行のパスワードを入力してください(すでに認証済みですが、セキュリティー上非常に重要な部分なので再度パスワード入力をお願いしております)。「登録」をクリックして完了画面が出れば登録完了です。登録まで少し時間がかかることがありますが、「登録」ボタンを何度もクリックしないようお願いします。 登録作業を2回以上行うと、最初に登録した鍵は削除されます。また、一度でもログインするとWeb経由での公開鍵登録はできなくなります。複数のコンピュータからログインするために公開鍵を2個以上登録する方法や、ログインした後の鍵の変更方法は次節「鍵について」で説明します。


(注)
公開鍵の文字列中に不正な文字(半角スペースなど)が含まれている公開鍵を登録した場合、正しいパスフレーズを用いて SSH ログインしようとしてもエラーになり、ログインできません。現在のところ、Mac OS X や UNIX(Linux)のターミナル上で、less や emacs を使用して文字列(公開鍵)を表示させ、コピー&ペーストすると、SSH 公開鍵では使用されない半角スペースが混在してしまうという問題が発生する場合があることを確認しております。したがって、SSH ログインできない場合、以下のようにターミナル上で cat で出力した文字列(公開鍵)をコピー&ペーストして、再度、公開鍵登録作業をし、SSH ログインを試してみてください。

 $ cat ~/.ssh/id_rsa.pub

2.4.3 ログイン

次のコマンドを実行し、パスフレーズを入力すればログインできます。自動的に公開鍵認証が行われます。
 $ ssh {ユーザー名}@yayoi-1.cc.u-tokyo.ac.jp
(注)
正しい公開鍵を登録したにもかかわらず、SSH ログインの際に「Agent admitted failure to sign using the key.」というエラーメッセージが表示されログインできない場合は、お使いのクライアントマシン上で ssh エージェントが有効になっていると思われますので、お使いのクライアントマシンの管理者にお問い合わせください。もし、ssh エージェントを利用されている場合は、登録した公開鍵の対となる秘密鍵が何らかの原因により、エージェントに認識されていないため、お使いのクライアントマシン上で ssh-add コマンドを利用するケースである可能性があります。
$ ssh-add {登録した公開鍵の対となる秘密鍵ファイル}

2.4.4 ファイルコピー

次のコマンドを実行し、パスフレーズを入力します。自動的に公開鍵認証が行われます。
 $ scp file {ユーザー名}@yayoi-1.cc.u-tokyo.ac.jp:
▲ 第2章 ログイン方法 TOPへ

2.5 鍵について(Windows、UNIX 共通)

2.5.1 Web 登録システムの有効期間

Webによる鍵登録が可能なのは最初にSSHでのログインに成功するまでです。常に登録システムを開いておくと、悪意を持った第三者にパスワードが漏れた場合に登録システムを通じて攻撃者が生成した鍵が登録されてしまい、システムに不正侵入されてしまうためです。鍵が未登録なはずなのに登録システムに登録を拒否された場合は、何者かによって鍵を登録されてしまったことになるので、至急センターまでご連絡ください。

2.5.2 Web 登録システムに入力できる鍵

Web登録システムは OpenSSH形式の鍵を受け付けます。Windowsでは推奨ソフトであるPuTTY の他、Tera Term Pro もこの形式の鍵を生成します。

2.5.3 鍵の追加と変更

SSH ログインした後に、他のマシン用の鍵を追加したり、登録済みの鍵を変更する場合は、SR16000にログインし ~/.ssh/authorized_keys に書かれている公開鍵をエディタで直接編集してください。一行に一個の公開鍵を書きます。鍵の文字列は長いため、多くの場合は複数行にわたって表示されることになりますが、データ上は一個の鍵は一行でなくてはなりません。鍵の途中に改行を入れないようご注意ください。このファイルを削除したり、書かれている公開鍵を壊してしまうとログインできなくなります。

2.5.4 秘密鍵の管理

鍵の生成方法で説明したとおり、秘密鍵を守ることはSR16000のセキュリティーを守る上で非常に重要なので、パスフレーズや秘密鍵が他人に漏れることのないよう十分ご注意ください。万が一秘密鍵が他人に漏れた場合は必ずセンターに連絡し、適切な処置についてご相談ください。複数のマシンからSR16000にログインする場合は、それぞれのマシンで鍵を生成して、上で説明した方法でSR16000の方に鍵を追加します。秘密鍵をコピーして他のマシンで使用してはいけません。

2.5.5 秘密鍵を失った場合

鍵の生成方法で説明したとおり、秘密鍵はSR16000にログイン、セキュリティーを守るために非常に重要なものです。そのため、秘密鍵を紛失する (鍵を生成したマシンが故障するなどして、秘密鍵を失ってしまう) と、SR16000へのログインができなくなってしまいます。この場合には、新たに SR16000にログインするためのマシンで、鍵の生成と SR16000 側への公開鍵登録が必要となりますが、SR16000へのログインが一度でも行ったことがある場合には、Web経由での公開鍵登録はできない状態です。そのため、ユーザー名と再度公開鍵登録を行えるようにしてほしい旨と紛失した理由をご記入の上、本センター宛てまでメールでご連絡ください。

2.5.6 別システムへのログインに使用している鍵の流用

1台のクライアントマシンからSR16000と他の公開鍵認証を用いるシステムにログインする場合、他のシステムに登録した鍵をSR16000にも登録することは差し支えありません。ただし、他のシステム用に登録していた鍵がパスフレーズで保護されていない場合はSR16000には登録できません。一般的に、パスフレーズのない鍵の使用は非常に危険なので、その場合は、別のシステムに登録していた鍵の方をパスフレーズ付きに変更し、それをSR16000にも登録することをお勧めします。


お使いの UNIX システム上で複数の鍵を使い分けたいときは ~/.ssh/config に次のように書きます。


(例) yayoi-*.cc.u-tokyo.ac.jp には秘密鍵 ~/.ssh/id_rsa_smp を使用する時

 Host yayoi-*.cc.u-tokyo.ac.jp
  User {ユーザー名}
  IdentityFile ~/.ssh/id_rsa_smp
▲ 第2章 ログイン方法 TOPへ