安装 OpenSSH 软件工具

该主题提供关于如何下载和安装 OpenSSH 软件工具然后验证是否已正确安装 OpenSSH 的信息。

必须安装 OpenSSH 以便在分区负载管理器服务器和控制硬件管理控制台（HMC）之间进行认证和通信。只要分区负载管理器满足资源请求，它就使用远程 HMC 命令来收集分区信息并启动 DR 操作。必须通过激活 HMC 上的“启用／禁用远程命令执行”任务来为 OpenSSH 启用 HMC。

当在 HMC 上为 OpenSSH 设置用户时，请指定以下其中一个角色：

系统管理员
服务代表
高级操作员

启用了远程命令的 HMC 上必须存在用户，然后您才能使用 OpenSSH。此用户必须与已配置的 HMC 用户交换 ssh 密钥，但不必是具有 plmuser 标识的用户。

OpenSSH 软件工具支持 SSH1 和 SSH2 协议。此工具提供对网络流量进行加密和认证的 shell 功能。OpenSSH 以客户机和服务器体系结构为基础。OpenSSH 在 AIX^® 主机上运行 sshd 守护进程并等待来自客户机的连接。它支持使用公用密钥和专用密钥对来对通道进行认证和加密，以确保网络连接和基于主机的认证是安全的。有关 OpenSSH 的更多信息（包括联机帮助页），请访问下列 Web 站点：

http://www.openssh.org

AIX 5.3 扩展包中包含 OpenSSH 软件。此版本的 OpenSSH 是使用 openssh-3.7.1p2 级别的源代码编译并打包为 installp 软件包的。installp 软件包包括联机帮助页和已转换的消息文件集。扩展包 CD-ROM 介质中包含的 OpenSSH 程序在 IBM^® 国际软件许可协议（IPLA）的条款和条件下对非担保程序特许使用。

在安装 OpenSSH installp 格式软件包之前，必须安装包含加密库的“开放安全套接字层”（OpenSSL）软件。以下 Web 站点的 RPM 软件包中提供了 OpenSSL：AIX Toolbox for Linux^® Applications。

因为 OpenSSL 软件包包含加密内容，所以您必须在该 Web 站点上注册才能下载这些软件包。可以通过完成下列步骤来下载这些软件包：

在以下 Web 站点的右边单击 AIX Toolbox Cryptographic Content 链接：AIX Toolbox for Linux Applications。
单击 I have not registered before。
填写表单中的必填字段。
阅读许可证然后单击 Accept License。浏览器自动将您重定向至下载页面。
滚动查看加密内容软件包的列表，直到看到 OpenSSL － SSL Cryptographic Libraries 为止。
单击 Download Now! 按钮以开始下载该 rpm 软件包。

在下载 OpenSSL 软件包之后，就可以安装 OpenSSL 和 OpenSSH。

使用 geninstall 命令来安装 OpenSSL RPM 软件包，如下所示：
```
# geninstall -d/directory R:openssl-0.9.6g
```
其中 directory 是下载了 OpenSSL 软件包的目录名称。输出类似于以下显示内容：
```
SUCCESSES
---------
openssl-0.9.6g-3
```

使用 geninstall 命令来安装 OpenSSH installp 软件包，如下所示：

# geninstall -Y -d/directory I:openssh.base

在查看许可协议之后，使用 -Y 标志来接受 OpenSSH 许可协议。

要查看许可协议，请输入以下命令：

# geninstall -IapE -ddirectory openssh.base 2>&1 |pg

在您接受许可协议之后，输出类似于以下显示内容：

Installation Summary                                                           
--------------------                                                           
Name                        Level           Part        Event       Result     
-------------------------------------------------------------------------------
openssh.base.client         3.6.0.5200      USR         APPLY       SUCCESS    
openssh.base.server         3.6.0.5200      USR         APPLY       SUCCESS    
openssh.base.client         3.6.0.5200      ROOT        APPLY       SUCCESS    
openssh.base.server         3.6.0.5200      ROOT        APPLY       SUCCESS

您还可以使用 smitty license_on_media 快速路径来查看许可证，并使用 smitty install_software 快速路径来安装 OpenSSL 和 OpenSSH。

作为上述过程的结果，已安装下列 OpenSSH 二进制文件：

scp: 类似于 rcp 的文件复制程序
sftp: 类似于 FTP 的程序，它基于 SSH1 和 SSH2 协议运行
sftp-server: SFTP 服务器子系统（由 sshd 守护程序自动启动）
ssh: 类似于 rlogin 和 rsh 客户机程序
ssh-add: 将密钥添加至 ssh-agent 的工具
ssh-agent: 可以存储专用密钥的代理程序
ssh-keygen: 密匙生成工具
ssh-keyscan: 从许多主机收集公用主机密钥的实用程序
ssh-keysign: 执行基于主机的认证的实用程序
ssh-rand-helper: OpenSSH 用来收集随机数的程序。仅在 AIX 5.1 安装上使用它。
sshd: 允许您登录的守护程序

从分区负载管理器服务器对 HMC 的 SSH 访问权

在安装 SSH 之后，您可以生成 SSH 密钥并与 HMC 通信。

如果要在 plmuser 标识下运行分区负载管理器服务器，则可通过使用以下步骤来授予从分区负载管理器服务器对 HMC 进行 SSH 访问的权限：

以 plmuser 标识登录。
通过使用以下命令在分区负载管理器服务器上生成 SSH 密钥：
```
ssh-keygen -t rsa
```

通过使用以下命令与 HMC 交换 SSH 密钥：

scp hscroot@p5hmc1:.ssh/authorized_keys2 ~/.ssh/tmp_authorized_keys2
cat ~/.ssh/id_rsa.pub >> ~/.ssh/tmp_authorized_keys2
scp ~/.ssh/tmp_authorized_keys2 hscroot@p5hmc1:.ssh/authorized_keys2

通过使用以下命令来测试作为 plmuser 标识在不使用密码的情况下对 HMC 的 SSH 访问权：
```
ssh hscroot@p5hmc1 date
```
通过使用以下命令从 HMC 获取受管系统的名称：
```
ssh hscroot@p5hmc1 lssyscfg -r sys
```
除非在 HMC 上使用受管系统的属性选项卡更改了受管系统的名称，否则缺省受管系统名称类似于以下内容：
eServer-9117-570-SNxxxxxxx
注：设置中使用的 HMC 主机名和受管系统名称将用于分区负载管理器策略。如果存在多个受管系统，请确定哪个系统包含要管理的分区。对每个受管系统使用以下命令：
```
ssh hmcuser@hmchost lssyscfg –r lpar –m machine
```