Настройка защищенного выполнения сценариев клиентами SSH в HMC

Описано, каким образом обеспечить защищенное выполнение сценариев клиентами SSH в HMC.

Прим.: Для того чтобы реализовать автоматическое выполнение сценариев клиентом SSH в HMC, в операционной системе клиента должен быть установлен пакет программ поддержки протокола SSH.

Как правило, HMC располагаются в машинном зале, где работают управляемые системы, и могут быть недоступны физически. В этом случае возможен удаленный доступ по сети, с помощью клиента удаленного доступа или интерфейса командной строки. Далее описано, каким образом обеспечить защищенное выполнение сценариев клиентами SSH в HMC.

Для того чтобы реализовать автоматическое выполнение сценариев клиентом SSH в HMC, выполните следующие действия:

  1. В области навигации выберите Управление HMC.
  2. В области навигации щелкните на значке Настройка HMC.
  3. В списке объектов выберите Включить или выключить выполнение удаленных команд.
  4. В открывшемся окне включите использование SSH.
  5. Создайте пользователя HMC в одной из следующих ролей:
    • главный администратор
    • сотрудник сервисного центра
  6. В операционной системе клиента сгенерируйте ключ SSH. Для этого выполните следующие действия:
    1. Создайте каталог для хранения ключей под названием $HOME/.ssh (поддерживаются ключи RSA и DSA).
    2. Выполните команду для генерации пары открытого и личного ключей: 
      ssh-keygen -t  rsa
      В каталоге $HOME/.ssh будут созданы файлы ключей:
      личного ключа: id_rsa
открытого ключа: id_rsa.pub
      Биты прав записи для group и other будут выключены.Убедитесь, что права доступа к файлу личного ключа заданы как 600.
  7. В операционной системе клиента запустите ssh и выполните команду mkauthkeys. Файл authorized_keys2 в HMC для пользователя HMC будет обновлен с помощью следующей команды: 
    ssh ИД-пользователя@имя-хоста "mkauthkeys --add '<ключ из файла
$HOME/.ssh/id_dsa.pub>'"

Удаление ключа из HMC

Удалить ключ из HMC можно следующими способами:

Можно изменить файлы, чтобы удалить ключ из HMC, изменяя следующие различные файлы:

  1. В логическом разделе выполните команду scp, чтобы скопировать файл authorized_keys2 из HMC в логический раздел, как показано ниже: 
    scp userid@имя-хоста :.ssh/authorized_keys2 /tmp/mykeyfile
  2. В файле /tmp/mykeyfile удалите строку, содержащую ключ и имя хоста системы, из которой можно выполнять команды HMC по сети.
  3. В логическом разделе выполните команду scp, чтобы скопировать файл в HMC: 
    scp /tmp/mykeyfile userid@имя-хоста ".ssh/authorized_keys2"
  4. Если требуется, чтобы пароль запрашивался для всех систем, у которых есть удаленный доступ к HMC по ssh, выполните команду ssh, чтобы удалить файл ключей из HMC: 
    scp ИД-пользователя@имя-хоста:.ssh/authorized_keys2 authorized_keys2
  5. Измените файл authorized_keys2 и удалите из него все записи, а затем скопируйте его обратно в HMC. Пример: 
    scp authorized_keys joe@некоторый_хост:.ssh/authorized_keys2

или

В командной строке для удаления ключа из HMC воспользуйтесь командой mkauthkeys. Пример: 
ssh ИД-пользователя@имя-хоста "mkauthkeys --remove 'joe@некоторый-хост'"
На уровень выше: Работа с командной строкой HMC по сети
Комментарии | Оценить эту страницу