SSH クライアントと HMC 間のスクリプト実行がセキュアであることを確認する方法を
説明します。
注: SSH クライアントと HMC 間でスクリプトを無人で実行できるようにするには、SSH プロトコルをクライアントのオペレーティング・システム上にインストールしておく必要があります。
HMC は、通常、管理対象システムがある機械室に配置されるので、HMC に物理的に
近寄ることができない場合があります。この場合は、リモート・クライアント
またはリモート・コマンド行インターフェースを使用して、リモート側から
アクセスできます。このトピックは、SSH クライアントと HMC 間のスクリプト実行がセキュアであるようにする方法を説明します。
SSH クライアントと HMC 間でスクリプトを無人で実行できるようにするには、以下のようにします。
- ナビゲーション領域で、「HMC 管理」をクリックします。
- ナビゲーション領域で、「HMC 構成」をクリックします。
- コンテンツ領域で、「リモート・コマンド実行の
使用可能または使用不可」をクリックします。
- ウィンドウがオープンしたら、SSH を使用可能にするボックスを選択します。
- 次のいずれかの役割の HMC ユーザーを作成します。
- Super Administrator
- サービス技術員
- クライアントのオペレーティング・システムで、SSH プロトコル鍵生成プログラムを実行します。SSH プロトコル鍵生成プログラムを実行するには、次のようにします。
- キーを保管するには、$HOME/.ssh という名前のディレクトリーを作成します (RSA または DSA のいずれかのキーを使用できます)。
- 公開鍵および秘密鍵を生成するには、次のコマンドを実行します。
ssh-keygen -t rsa
$HOME/.ssh ディレクトリーに次のファイルが作成されます。private key: id_rsa
public key: id_rsa.pub
group および other の両方の書き込みビットがオフになります。秘密鍵の許可が 600 になっていることを確認します。
- クライアントのオペレーティング・システム上で ssh を使用して、mkauthkeys コマンドを実行し、次のコマンドを使用して HMC 上の HMC ユーザーの authorized_keys2 ファイルを更新します。
ssh userid@hostname "mkauthkeys --add '<the key string from $HOME/.ssh/id_dsa.pub>'"
|
HMC からのキーの削除
HMC からキーを削除するには、以下のプロシージャーの中から 1 つを選択してください。
このプロシージャーを使用すると、さまざまなファイルを変更することにより、HMC からキーを削除できます。
- 論理区画上で、次のように scp コマンドを使用して、authorized_keys2 ファイルを HMC から論理区画にコピーします。
scp userid@host_name :.ssh/authorized_keys2 /tmp/mykeyfile
- /tmp/mykeyfile ファイルの中で、HMC コマンドをリモート側で実行したいシステムの、キーとホスト名が含まれている行を削除します。
- 論理区画上で、scp コマンドを使用して、新規ファイルを HMC にコピーします。
scp /tmp/mykeyfile userid@host_name ".ssh/authorized_keys2"
- ssh を介して HMC にアクセスするすべてのホストについて
パスワード・プロンプトを使用可能にするには、ssh コマンド
を使用して HMC からキー・ファイルを削除します。
scp userid@hostname:.ssh/authorized_keys2 authorized_keys2
- authorized_keys2 ファイルを編集し、このファイルにあるすべての行を除去し、さらにそれを HMC にコピーして戻します。例えば、次のようなものです。
scp authorized_keys joe@somehost:.ssh/authorized_keys2
または
HMC からキーを削除するためにコマンド行を使用するには、
mkauthkeys コマンドを使用します。例えば、次のようなものです。
ssh userid@hostname "mkauthkeys --remove 'joe@somehost'"