Sichere Scriptausführung zwischen SSH-Clients und der HMC konfigurieren

Hier wird beschrieben, wie Sie sicherstellen können, dass die Scriptausführung zwischen SSH-Clients und der HMC sicher ist.

Anmerkung: Um die automatische Scriptausführung zwischen einem SSH-Client und einer HMC zu aktivieren, muss das SSH-Protokoll bereits auf dem Betriebssystem des Clients installiert sein.

HMCs sind in der Regel im Systemraum untergebracht, in dem sich die verwalteten Systeme befinden. Daher kann es sein, dass Sie keinen mechanischen Zugriff auf die HMC haben. In diesem Fall können Sie über Remotezugriff entweder mit dem fernen Client oder der fernen Befehlszeilenschnittstelle darauf zugreifen. In diesem Abschnitt wird beschrieben, wie Sie sicherstellen können, dass die Scriptausführung zwischen SSH-Clients und der HMC sicher ist.

Gehen Sie wie folgt vor, um die automatische Scriptausführung zwischen einem SSH-Client und einer HMC zu aktivieren:

  1. Klicken Sie im Navigationsbereich auf HMC-Verwaltung.
  2. Klicken Sie im Navigationsbereich auf HMC-Konfiguration.
  3. Klicken Sie im Inhaltsbereich auf Ausführung von fernen Befehlen aktivieren oder inaktivieren.
  4. Wenn das Fenster geöffnet ist, wählen Sie das Feld zum Aktivieren von SSH aus.
  5. Erstellen Sie einen HMC-Benutzer mit einer der folgenden Berechtigungsklassen:
    • Superadministrator
    • Ansprechpartner
  6. Führen Sie den SSH-Protokollschlüsselgenerator unter dem Betriebssystem des Clients aus. Gehen Sie dazu wie folgt vor:
    1. Zum Speichern der Schlüssel erstellen Sie ein Verzeichnis mit dem Namen $HOME/.ssh (es können entweder RSA- oder DSA-Schlüssel verwendet werden).
    2. Führen Sie den folgenden Befehl aus, um öffentliche und private Schlüssel zu generieren: 
      ssh-keygen -t  rsa
      Im Verzeichnis $HOME/.ssh werden die folgenden Dateien erstellt:
      Privater Schlüssel: id_rsa
Öffentlicher Schlüssel: id_rsa.pub
      Die Schreibbits für group und other werden inaktiviert. Stellen Sie sicher, dass der private Schlüssel die Berechtigung 600 besitzt.
  7. Verwenden Sie ssh unter dem Betriebssystem des Clients, und führen Sie den Befehl mkauthkeys aus, um die Datei authorized_keys2 des HMC-Benutzers auf der HMC zu aktualisieren. Geben Sie dazu den folgenden Befehl ein: 
    ssh userid@hostname "mkauthkeys --add '<the key string from $HOME/.ssh/id_dsa.pub>'"

Schlüssel von der HMC löschen

Gehen Sie auf eine der folgenden Arten vor, um den Schlüssel von der HMC zu löschen:

Sie können mit dieser Prozedur den Schlüssel von der HMC löschen, indem Sie verschiedene Dateien ändern:

  1. Verwenden Sie den Befehl scp wie folgt auf der logischen Partition, um die Datei authorized_keys2 von der HMC auf die logische Partition zu kopieren: 
    scp userid@host_name :.ssh/authorized_keys2 /tmp/mykeyfile
  2. Entfernen Sie in der Datei /tmp/mykeyfile die Zeile mit dem Schlüssel und dem Hostnamen des Systems, mit dem HMC-Befehle über Remotezugriff ausgeführt werden sollen.
  3. Verwenden Sie den Befehl scp auf der logischen Partition, um die neue Datei auf die HMC zu kopieren: 
    scp /tmp/mykeyfile userid@host_name ".ssh/authorized_keys2"
  4. Wenn Sie die Aufforderung zur Kennworteingabe für alle Hosts aktivieren möchten, die über ssh auf die HMC zugreifen, entfernen Sie die Schlüsseldatei mit dem Befehl ssh von der HMC: 
    scp userid@hostname:.ssh/authorized_keys2 authorized_keys2
  5. Bearbeiten Sie die Datei authorized_keys2, und entfernen Sie alle Zeilen in dieser Datei. Kopieren Sie die Datei anschließend wieder auf die HMC. Beispiel: 
    scp authorized_keys joe@somehost:.ssh/authorized_keys2

ODER

Sie können den Befehl mkauthkeys verwenden, um den Schlüssel über die Befehlszeile von der HMC zu löschen. Beispiel: 
ssh userid@hostname "mkauthkeys --remove 'joe@somehost'"
Übergeordnetes Thema: Ferne HMC-Befehlszeile verwenden
Feedback senden | Seite bewerten