Linuxプライベートキー(Identity/Pubkey)

このページで

    Identity/Pubkey認証方式を使用し、LinuxサーバーまたはLinux OSを実行するVMにログオンできます。Identity/Pubkey認証方式は、キーロガーなどの悪意あるアプリケーションから保護し、セキュリティレベルを強化し、自動化されたタスクの起動を簡素化するのに役立ちます。

    Identity/Pubkey認証方式を使用するには、パブリックキーとプライベートキーのキーペアを生成する必要があります。

    • パブリックキーは、バックアップサーバーから接続するLinuxサーバーに保存されます。パブリックキーは、パブリックキーのリストが含まれる特別なauthorized_keysファイルに保存されます。
    • プライベートキーは、クライアントマシンであるバックアップサーバーに保存されます。プライベートキーは、パスフレーズで保護されます。プライベートキーがインターセプトされた場合でも、キーを解除して使用するためには、盗聴者はパスフレーズを指定する必要があります。

    Linuxサーバーでの認証では、クライアントはLinuxサーバーに保存されているパブリックキーと一致するプライベートキーを持っていることを証明する必要があります。そのために、クライアントはプライベートキーを使用して暗号文を生成し、この暗号文をLinuxサーバーに渡します。クライアントが暗号文に「適切な」プライベートキーを使用した場合、Linuxサーバーは一致するパブリックキーを使用して暗号文を容易に復号化できます。

    Veeam Backup & Replicationには、Identity/Pubkey認証方式で次の制限事項があります。

    • Veeam Backup & Replicationでは、DER形式のファイルなど、バイナリ・データとして保存されているキーはサポートされません。
    • Veeam Backup & Replicationでは、PuTTYでサポートされるアルゴリズムでパスフレーズが暗号化されているキーのみサポートされます。
      • AES(Rijndael):128ビット、192ビット、および256ビットのCBCまたはCTR(SSH-2のみ)
      • Blowfish:128ビットのCBC
      • Triple-DES:168ビットのCBC
    • VMware VIX/vSphere Webサービスを使用する場合、Veeam Backup & Replicationは、Linuxゲストサーバー上でのゲスト処理用としてのパブリックキーの使用をサポートしません。

    Identity/Pubkey認証方式を使用してログイン情報レコードを追加するには、次の手順を実行します。

    1. ssh-keygenなどのキー生成ユーティリティを使用してキーペアを生成します。
    2. パブリックキーをLinuxサーバーに配置します。そのために、パブリックキーをLinuxサーバーのホームディレクトリ内の.ssh/ディレクトリにあるauthorized_keysファイルに追加します。
    3. プライベートキーをバックアップサーバー上のフォルダまたはネットワーク共有フォルダに配置します。
    4. Veeam Backup & Replicationのメイン・メニューで、[Manage Credentials]を選択します。
    5. [Add] > [Linux private key]をクリックします。
    6. [Username]フィールドで、作成するログイン情報レコードのユーザー名を指定します。
    7. [Password]フィールドに、このユーザーアカウントのパスワードを入力します。このパスワードは、ルート、または/etc/sudoersNOPASSWD:ALL設定が有効化されたユーザーを使用する場合を除き、常に必要です。
    8. [Private key]フィールドにプライベートキーへのパスを入力するか、[Browse]をクリックしてプライベートキーを選択します。
    9. [Passphrase]フィールドで、バックアップサーバー上のプライベートキーのパスフレーズを指定します。入力したパスフレーズを表示するには、フィールドの右にある目のアイコンをクリックしたままにします。
    10. [SSH port]フィールドで、Linuxサーバーへの接続に使用するSSHポートの番号を指定します。デフォルトでは、ポート22が使用されます。
    11. Linuxサーバーへのルート権限がない非ルートアカウントのデータを指定する場合、[Non-root account]セクションを使用してこのアカウントにsudo権限を付与できます。
    1. 非ルートユーザーにルートアカウントの権限を付与するには、[Elevate specified account to root]チェックボックスを選択します。
    2. sudoersファイルにユーザーアカウントを追加するには、[Add account to the sudoers file automatically]チェックボックスを選択します。[Root password]フィールドに、ルートアカウントのパスワードを入力します。

    このオプションを有効にしない場合は、sudoersファイルに手動でユーザーアカウントを追加する必要があります。

    1. Linuxサーバーを登録する場合、sudoコマンドが利用できないディストリビューションではsuコマンドを使用するようにフェイルオーバーするためのオプションがあります。

    フェイルオーバーを有効にするには、[Use "su" if "sudo" fails]チェックボックスを選択し、[Root password]フィールドに、ルートアカウントのパスワードを入力します。

    1. [Description]フィールドに、作成するログイン情報の説明を入力します。類似するアカウント名(Rootなど)が多数存在する可能性があるため、リスト内で区別できるように、ログイン情報レコードに分かりやすい一意の説明を入力することを推奨します。説明は、ユーザー名の後に括弧に囲まれて表示されます。

    Linuxプライベートキー(Identity/Pubkey)重要!

    sudoを使用して、アカウントの権限を昇格させるためにルートのパスワードが必要になるようなケースは今後、サポートされません。

    Linuxプライベートキー(Identity/Pubkey)