OpenSSH ソフトウェア・ツールのインストール

このトピックでは、OpenSSH ソフトウェア・ツールのダウンロードおよびインストール方法について、さらに OpenSSH が正常にインストールされたことを検証する方法について説明します。

Partition Load Manager サーバーと、制御側のハードウェア管理コンソール (HMC) との間の認証および通信を容易にするために、OpenSSH をセットアップする必要があります。Partition Load Manager は、リソース要求を満たすときは必ず、リモート HMC コマンドを使用して区画情報を収集し、DR 操作を開始します。 HMC 上で「リモート・コマンド実行の使用可能/使用不可 (Enable/Disable Remote Command Execution)」タスクを活動化することによって、HMC を OpenSSH に使用可能にする必要があります。

HMC 上にユーザーを OpenSSH 向けにセットアップする場合は、以下の役割の 1 つを指定します。

システム管理者
サービス技術員
上級オペレーター

OpenSSH を使用できる前には、リモート・コマンドが使用可能になっている HMC 上にユーザーが存在する必要があります。このユーザーは、構成された HMC ユーザーと ssh 鍵を交換する必要がありますが、このユーザーが、plmuser ID と同じユーザーである必要はありません。

OpenSSH ソフトウェア・ツールは、SSH1 プロトコルおよび SSH2 プロトコルをサポートします。このツールは、ネットワーク・トラフィックが暗号化され、認証されるシェル機能を提供します。OpenSSH は、クライアント/サーバー・アーキテクチャーに基づいています。OpenSSH は、AIX^® ホスト上で sshd デーモン・プロセスを実行して、クライアントからの接続を待っています。OpenSSH では、セキュア・ネットワーク接続およびホスト・ベースの認証を確実なものにするためにチャネルの認証および暗号化用の公開鍵と秘密鍵のペアがサポートされます。 OpenSSH について詳しくは、マニュアル・ページを含め、以下の Web サイトを参照してください。

http://www.openssh.org

OpenSSH ソフトウェアは、AIX 5.3 拡張パックに含まれています。このバージョンの OpenSSH は、openssh-3.7.1p2 レベルのソース・コードを使用してコンパイルされ、installp パッケージとしてパッケージされます。 installp パッケージには、マニュアル・ページおよび変換メッセージ・ファイルセットが含まれています。拡張パック CD-ROM メディアに含まれている OpenSSH プログラムは、「IBM^® プログラムのご使用条件 (保証適用外プログラム用)」(以下、IPLA と呼ぶ) の契約条件に基づきライセンスが与えられます。

OpenSSH installp フォーマット・パッケージをインストールする前に、暗号化ライブラリーが含まれている Open Secure Sockets Layer (OpenSSL) ソフトウェアをインストールする必要があります。 OpenSSL は、以下の Web サイトから RPM パッケージで使用できます。AIX Toolbox for Linux^® Applications

OpenSSL パッケージには、暗号内容が含まれているので、パッケージをダウンロードするためには、Web サイトで登録する必要があります。以下のステップを最後まで進めると、パッケージをダウンロードすることができます。

以下の Web サイトの右側にある「AIX ツールボックス暗号内容 (AIX Toolbox Cryptographic Content)」リンクをクリックする。 AIX Toolbox for Linux Applications
「以前に登録したことがありません (I have not registered before)」をクリックする。
フォームの必要なフィールドを入力する。
ライセンスを読み、「ライセンスを受け入れます (Accept License)」をクリックする。ブラウザーにより、ダウンロード・ページに自動的にリダイレクトされます。
「OpenSSL - SSL 暗号ライブラリー (OpenSSL - SSL Cryptographic Libraries)」が表示されるまで、暗号コンテンツ・パッケージのリストをスクロールする。
「今すぐにダウンロードします (Download Now!)」ボタンをクリックして、rpm パッケージのダウンロードを開始する。

OpenSSL パッケージをダウンロードすると、OpenSSL および OpenSSH をインストールできます。

以下のように geninstall コマンドを使用して OpenSSL RPM パッケージをインストールする。
```
# geninstall -d/directory R:openssl-0.9.6g
```
ここで、directory は、OpenSSL パッケージがダウンロードされたディレクトリー名です。以下のような出力が表示されます。
```
SUCCESSES
---------
openssl-0.9.6g-3
```

以下のように geninstall コマンドを使用して OpenSSH installp パッケージをインストールする。

# geninstall -Y -d/directory I:openssh.base

ご使用条件を検討後、-Y フラグを使用して OpenSSH のご使用条件を受け入れます。

ご使用条件を表示するには、次のコマンドを入力します。

# geninstall -IapE -ddirectory openssh.base 2>&1 |pg

ご使用条件を受け入れると、以下のような出力が表示されます。

Installation Summary
--------------------                                                           
Name                        Level           Part        Event       Result
-------------------------------------------------------------------------------
openssh.base.client         3.6.0.5200      USR         APPLY       SUCCESS
openssh.base.server         3.6.0.5200      USR         APPLY       SUCCESS
openssh.base.client         3.6.0.5200      ROOT        APPLY       SUCCESS
openssh.base.server         3.6.0.5200      ROOT        APPLY       SUCCESS

ライセンスを表示するには smitty license_on_media 高速パスを、OpenSSL および OpenSSH をインストールするには smitty install_software 高速パスを使用することもできます。

上記手順の結果として、以下の OpenSSH バイナリー・ファイルがインストールされます。

scp: rcp に似たファイル・コピー・プログラム
sftp: SSH1 および SSH2 プロトコルで機能する、FTP に似たプログラム
sftp-server: SFTP サーバー・サブシステム (sshd デーモンによって自動的に開始済み)
ssh: rlogin および rsh クライアント・プログラムに類似。
ssh-add: ssh-agent に鍵を追加するツール
ssh-agent: 秘密鍵を保管できるエージェント
ssh-keygen: 鍵生成ツール
ssh-keyscan: 多数のホストからホスト公開鍵を収集するためのユーティリティー
ssh-keysign: ホスト・ベースの認証のためのユーティリティー
ssh-rand-helper: 乱数を収集するために OpenSSH によって使用されるプログラム。AIX 5.1 のインストールでのみ使用されます。
sshd: ログインを許可するデーモン

Partition Load Manager サーバーから HMC への SSH アクセス

SSH をインストールした後、SSH 鍵を生成して HMC と通信することができます。

Partition Load Manager サーバーを plmuser ID の下で実行しようとする場合は、以下のステップを使用して、Partition Load Manager サーバーから HMC への SSH アクセスを認可します。

plmuser ID でログインする。
以下のコマンドを使用して、Partition Load Manager サーバー上に SSH 鍵を生成する。
```
ssh-keygen -t rsa
```

以下のコマンドを使用して、HMC と SSH 鍵を交換する。

scp hscroot@p5hmc1:.ssh/authorized_keys2 ~/.ssh/tmp_authorized_keys2
cat ~/.ssh/id_rsa.pub >> ~/.ssh/tmp_authorized_keys2
scp ~/.ssh/tmp_authorized_keys2 hscroot@p5hmc1:.ssh/authorized_keys2

以下のコマンドを使用して、パスワードを入力せずに plmuser ID で HMC への SSH アクセスをテストする。
```
ssh hscroot@p5hmc1 date
```
以下のコマンドを使用して、HMC から管理対象システムの名前を入手する。
```
ssh hscroot@p5hmc1 lssyscfg -r sys
```
管理対象システムの「属性」タブを使用して HMC 上で管理対象システムの名前が変更されていない場合、デフォルトの管理対象システム名は以下の名前のようになります。
eServer-9117-570-SNxxxxxxx
注: セットアップで使用した HMC ホスト名および管理対象システム名は、Partition Load Manager ポリシーで使用されます。複数の管理対象システムがある場合、どのシステムに管理する区画が含まれるかを判別してください。それぞれの管理対象システムごとに、以下のコマンドを使用してください。
```
ssh hmcuser@hmchost lssyscfg –r lpar –m machine
```