Ssh登录

1.1.3  SSH认证方式

设备作为SSH服务器可提供以下几种对客户端的认证方式。

1. password认证

利用AAA（Authentication、Authorization、Accounting，认证、授权和计费）对客户端身份进行认证。客户端向服务器发出password认证请求，将用户名和密码加密后发送给服务器；服务器将认证请求解密后得到用户名和密码的明文，通过本地认证或远程认证验证用户名和密码的合法性，并返回认证成功或失败的消息。

客户端进行password认证时，如果远程认证服务器要求用户进行二次密码认证，则会在发送给服务器端的认证回应消息中携带一个提示信息，该提示信息被服务器端透传给客户端，由客户端输出并要求用户再次输入一个指定类型的密码，当用户提交正确的密码并成功通过认证服务器的验证后，服务器端才会返回认证成功的消息。

SSH1版本的SSH客户端不支持AAA服务器发起的二次密码认证。

关于AAA相关内容的介绍，请参考“安全配置指导”中的“AAA”。

2. keyboard-interactive认证

该认证方式与password认证方式类似，相较于password认证，该认证方式提供了可变的交互信息。客户端进行keyboard-interactive认证时，如果远程认证服务器要求用户进行交互认证，则远程认证服务器会在发送给服务器端的认证回应消息中携带一个提示信息，该提示信息被服务器端透传给客户端，在客户端终端上显示并要求用户输入指定的信息。当用户提交正确的信息后，若远程认证服务器继续要求用户输入其它的信息，则重复以上过程，直到用户输入了所有远程认证服务器要求的信息后，远程认证服务器才会返回认证成功的消息。

3. publickey认证

采用数字签名的方式来认证客户端。目前，设备上可以利用DSA、ECDSA、RSA三种公钥算法实现数字签名。客户端发送包含用户名、公钥和公钥算法或者携带公钥信息的数字证书的publickey认证请求给服务器端。服务器对公钥进行合法性检查，如果合法，则发送消息请求客户端的数字签名；如果不合法，则直接发送失败消息；服务器收到客户端的数字签名之后，使用客户端的公钥对其进行解密，并根据计算结果返回认证成功或失败的消息。

关于公钥相关内容的介绍，请参考“安全配置指导”中的“公钥管理”。

4. password-publickey认证

对于SSH2版本的客户端，要求同时进行password和publickey两种方式的认证，且只有两种认证均通过的情况下，才认为客户端身份认证通过；对于SSH1版本的客户端，只要通过其中任意一种认证即可。

5. any认证

不指定客户端的认证方式，客户端可采用keyboard-interactive认证、password认证或publickey认证，且只要通过其中任何一种认证即可。