tail head cat sleep
QR code linking to this page

manページ  — SSH-AGENT

名称

ssh-agent – 認証エージェント

内容

書式


ssh-agent [-a bindするアドレス] [-c| -s] [-t 鍵のデフォルト生存時間] [-d] [コマンド [引数 ...]]
ssh-agent [-c| -s] -k

解説

ssh-agent は (RSA や DSA の) 公開鍵認証で使われる認証鍵を保持する プログラムです。 基本的には、まず ssh-agent を X セッションあるいはログインセッションの始めに起動させ、 これ以外のすべてのウィンドウやプログラムがその ssh-agent プログラムのクライアントとして起動するようにします。 エージェントは環境変数を使うことにより、他のマシンに ssh(1) を使ってログインするときに自動的に検出され、認証に利用できます。

オプションには次のようなものがあります:
-a bindするアドレス
  Unix ドメインソケットを bind_address に bind するようにします。 この値は、デフォルトでは /tmp/ssh-XXXXXXXX/agent.<ppid> になっています。
-c
  標準出力 に C シェル用のコマンドを出力します。 環境変数 SHELL が csh 系のシェルになっているようなら、 これがデフォルトになります。
-s
  標準出力 に Bourne シェル用のコマンドを出力します。 環境変数 SHELL が csh 系以外のシェルのようなら、これがデフォルトです。
-k
  現在動いている認証エージェント ( 環境変数 SSH_AGENT_PID によって与えられている) を kill します。
-t 鍵のデフォルト生存時間
  エージェントに追加された鍵の最大生存時間のデフォルト値を指定します。 生存時間は秒数、あるいは sshd_config(5) で使われている形式で指定できます。 ですが、この値よりも ssh-add(1) で値が指定されれば、そちらのほうが優先されます。 このオプションが指定されない場合、いちど追加された鍵は永久に存在しつづけます。
-d
  デバッグモード。 このオプションが指定されていると ssh-agent は fork しません。

コマンドラインが与えられた場合、そのコマンドは この認証エージェントの子プロセスとして起動されます。 与えたコマンドが終了した場合、認証エージェントも終了します。

最初、認証エージェントは鍵をまったく持たない状態で起動されます。 認証鍵をここに追加するには ssh-add(1) を使います。 これを引数なしで起動すると、 ssh-add(1) $HOME/.ssh/id_rsa, $HOME/.ssh/id_dsa および $HOME/.ssh/identity の各ファイルを追加します。 この identity ファイルにパスフレーズが必要な場合、 ssh-add(1) はそのパスフレーズを尋ねてきます (X11 を使っているときは、 ssh-add(1) は X のちょっとしたアプリケーションを使います。 X を使っていないときは端末を使って尋ねてきます)。 この後、identity ファイルに含まれている認証鍵が 認証エージェントに送られます。 認証エージェントには複数の鍵を格納することができ、 認証エージェントはこれらの鍵を自動的に使用します。 ssh-add -l を実行すると、現在その認証エージェントによって保持されている 鍵の一覧が表示されます。

認証エージェントは、ユーザのローカル PC やノートパソコン、あるいは端末で 実行されるものです。 認証用のデータを他のマシンに置く必要はなく、 認証のためのパスフレーズがネットワーク上を流れることも決してありません。 しかし認証エージェントに対する接続は SSH のリモートログインを越えて 転送され、ユーザはその認証鍵によって与えられた権限をネットワーク上の どこでも安全に行使できるというわけです。

認証エージェントを使うためには、おもに 2 つの方法があります。 ひとつは、認証エージェントが新しい子プロセスを走らせる方法で、 このときエージェントはいくつかの環境変数を export します。 もうひとつは認証エージェントにシェル用のコマンドを出力させ (これは sh(1) あるいは csh(1) どちらかの文法で生成されます)、 認証エージェントを呼び出したシェルがそのコマンドを評価 (eval) する方法です (訳注: 要するに後のプロセスに環境変数を渡せればよい)。 これ以後 ssh(1) は認証エージェントに接続するためにこれらの変数の内容を使います。

エージェントは要求されたチャンネルを経由して秘密鍵を送るようなことは 決してしません。 かわりに、秘密鍵が必要な操作はすべてエージェント側で おこない、結果だけが要求した側に返されるようになっています。 このためエージェントを使うことによって秘密鍵がクライアントに 漏れるようなことはありません。

Unix ドメインのソケットが作られ、そのソケットの名前が SSH_AUTH_SOCK 環境変数に入れられます。 このソケットはそのユーザのみ がアクセス可能ですが、現在のところ root または同一ユーザの 別プロセスによって簡単に悪用される危険性があります。

SSH_AGENT_PID 環境変数は認証エージェントの プロセス ID を保持します。

(訳注: 認証エージェントに子プロセスを起動させた場合) 指定したコマンドが終了すると、認証エージェントも自動的に終了します。

関連ファイル

$HOME/.ssh/identity
  そのユーザがプロトコル バージョン 1 で使う RSA 秘密鍵が 入っています。
$HOME/.ssh/id_dsa
  そのユーザがプロトコル バージョン 2 で使う DSA 秘密鍵が 入っています。
$HOME/.ssh/id_rsa
  そのユーザがプロトコル バージョン 2 で使う RSA 秘密鍵が 入っています。
/tmp/ssh-XXXXXXXX/agent.<ppid>
  認証エージェントに対する接続を保持する Unix ドメイン のソケットです。 このソケットは、所有者だけが読めるようになっているはずです。 このソケットは認証エージェントが終了するとき自動的に削除されます。

関連項目

ssh(1), ssh-add(1), ssh-keygen(1), sshd(8)

作者

OpenSSH は Tatu Ylonen による、フリーな オリジナル版 ssh 1.2.12 リリースから派生したものです。 Aaron Campbell、 Bob Beck、 Markus Friedl、 Niels Provos、 Theo de Raadt および Dug Song が多くのバグをとり除き、 新しい機能をふたたび追加して OpenSSH をつくりました。 SSH プロトコル バージョン 1.5 および 2.0 のサポートは Markus Friedl の貢献によるものです。

日本語訳

新山 祐介 (yusuke at cs . nyu . edu) 2002/6/21 (for 3.3 p1)

当マニュアルページは氏のご好意により FreeBSD 向けに修正を加えて FreeBSD 日本語マニュアルに収録させていただいています。 翻訳についてのご意見、ご指摘がありましたら FreeBSD jpman プロジェクト <man-jp@jp.FreeBSD.org> または新山氏 (yusuke at cs . nyu . edu) までお送りください。


SSH-AGENT (1) September 25, 1999

tail head cat sleep
QR code linking to this page


このマニュアルページサービスについてのご意見は Ben Bullock にお知らせください。 Privacy policy.