C’est dans la feuille de route de Nutanix ! L’authentification par mot de passe est dans le collimateur de l’éditeur qui compte bien y mettre fin et averti ses utilisateurs via une alerte informationnelle :

L’objectif est de faire progressivement basculer les clients vers l’authentification par clés SSH afin de l’imposer dans une future version de son hyperviseur.

Création des clés SSH

Les algorithmes de chiffrement SSH supportés sont :

  • AES128-CTR
  • AES192-CTR
  • AES256-CTR

Si vous possédez déjà une paire de clés de ce type, vous pouvez directement passer à l’intégration au cluster.

Pour créer une paire de clés SSH, nous allons avoir besoin d’un outils comme PuttyGen.

Cliquez sur « Generate » et bougez le curseur de la souris au dessus de la fênetre. Indiquez ensuite une passphrase puis sauvegardez la clé publique et la clé privée.

ATTENTION : veillez à utiliser une passphrase forte et non prédictible.

Il faut maintenant intégrer la clé publique au cluster.

Intégration de la clé publique au cluster

Pour intégrer votre clé publique à votre cluster, connectez vous à l’interface Prism et rendez vous dans « Settings > Cluster Lockdown »

Cliquez sur « New Public Key », donnez lui un nom, collez y le contenu de votre clé publique et validez.

A ce stade, l’authentification classique par mot de passe et celle par clé SSH sont toutes les deux actives et fonctionnelles, il est temps de tester.

Tests et activation du cluser lockdown

Pour commencer, nous allons tester l’authentification via clé SSH. Pas de panique, quoi qu’il arrive, même si la connexion SSH via les clés ne fonctionne pas après l’activation du cluster lockdown, vous pourrez toujours faire marche arrière via l’interface Prism.

Configurez votre outils de connexion SSH préféré, intégrez y votre clé privée puis lancez une connexion à votre cluster Nutanix. En premier lieu, renseignez le login que vous souhaitez utiliser, ici j’ai choisi « nutanix » :

Puis saisissez la passphrase que vous avec configuré lors de la création de votre clé SSH. Validez, vous voilà connecté à votre cluster via votre clé SSH sans avoir eu à utiliser le mot de passe du compte « nutanix ».

Désactivons maintenant l’authentification par mot de passe en retournant dans le menu « Settings > Cluster Lockdown ». Décochez la case « Enable Remote Login with Password » :

Retentez de vous connecter en utilisant le compte « nutanix » et le mot de passe habituel et constatez que vous ne pouvez plus vous connecter avec cette méthode :

Tentez maintenant avec votre clé privée :

Votre cluster est désormais accessible en SSH uniquement via le système de clés SSH. Si vous êtes plusieurs administrateurs à intervenir sur le serveur, n’oubliez pas de répéter l’opération pour chacun d’entre eux.

Point important : pensez à garder vos clés privées en lieu sûr et à utiliser une passphrase forte.

Documentation officielle

La documentation officielle Nutanix : https://portal.nutanix.com/page/documents/details?targetId=Nutanix-Security-Guide-v6_7:mul-security-cluster-lockdown-pc-t.html