Beveiligde scriptuitvoering tussen SSH-clients en de HMC instellen

In dit onderwerp wordt uitgelegd hoe u ervoor kunt zorgen dat de scriptuitvoeringen tussen SSH-clients en de HMC beveiligd zijn.

Opmerking: Om onbewaakt scrip uit te kunnen voeren tussen een SSH-client en een HMC, moet het SSH-protocol al zijn geïnstalleerd op het besturingssysteem van de client.

HMC's worden meestal in dezelfde computerruimte geplaatst waar de beheerde systemen staan en daarom hebt u wellicht geen fysieke toegang tot de HMC. In dat geval kunt u de HMC op afstand openen met behulp van de client op afstand of de opdrachtregelinterface voor opdrachten op afstand. In dit onderwerp wordt uitgelegd hoe u ervoor kunt zorgen dat de scripts tussen SSH-clients en de HMC beveiligd kunnen worden uitgevoerd.

Om onbewaakt scrip uit te kunnen voeren tussen een SSH-client en een HMC, gaat u als volgt te werk:

  1. Klik in het navigatiegebied op HMC-beheer.
  2. Klik in het navigatiegebied op HMC configureren.
  3. Klik in het gegevensgebied op Op afstand uitvoeren van opdrachten in- of uitschakelen.
  4. Als het venster wordt geopend, selecteert u het vakje om SSH in te schakelen.
  5. Maak een HMC-gebruiker met een van de volgende rollen:
    • Superbeheerder
    • Servicemedewerker
  6. Voer in het besturingssysteem van de client de sleutelgenerator van het SSH-protocol uit. Ga als volgt te werk om de sleutelgenerator van het SSH-protocol uit te voeren:
    1. Als u de sleutels wilt opslaan, moet u een directory met de naam $HOME/.ssh maken (er kunnen RSA-of DSA-sleutels worden gebruikt).
    2. Als u openbare en persoonlijke sleutels wilt genereren, moet u de volgende opdracht uitvoeren: 
      ssh-keygen -t  rsa
      De volgende bestanden worden gemaakt in de directory $HOME/.ssh: 
      persoonlijke sleutel: id_rsa 
openbare sleutel: id_rsa.pub
      De schrijfbewerkingsbits voor groep en ander zijn uitgeschakeld. Zorg ervoor dat de persoonlijke sleutel over machtiging 600 beschikt.
  7. In het besturingssysteem van de client gebruikt u ssh en voert u de opdracht mkauthkeys uit om het HMC-bestand authorized_keys2 te wijzigen in een tijdelijk bestand op de HMC. Gebruik de volgende opdracht: 
    ssh gebruikers-ID@hostnaam "mkauthkeys --add '<de sleutelreeks van the $HOME/.ssh/id_dsa.pub>'"

De sleutel van de HMC wissen

Met de volgende procedures kunt u de sleutel van de HMC wissen:

Volg deze procedure als u de HMC-sleutel wilt wissen via wijziging van een aantal bestanden:

  1. Kopieer vanaf de logische partitie het bestand authorized_keys2 als volgt met de opdracht scp van de HMC naar de logische partitie: 
    scp userid@host_name :.ssh/authorized_keys2 /tmp/mykeyfile
  2. Open het bestand /tmp/mykeyfile en verwijder de regel met de sleutel en de hostnaam van het systeem waarop u van afstand HMC-opdrachten wilt kunnen uitvoeren.
  3. Kopieer vanaf een logische partitie het nieuwe bestand met de opdracht scp naar de HMC: 
    scp /tmp/mykeyfile gebruikers-ID@hostnaam ".ssh/authorized_keys2"
  4. Als u een wachtwoordaanwijzing wilt inschakelen voor alle hosts die de HMC via ssh openen, gebruikt u de volgende ssh-opdracht om het sleutelbestand van de HMC te verwijderen: 
    scp userid@hostname:.ssh/authorized_keys2 authorized_keys2
  5. Open het bestand authorized_keys2 en verwijder alle regels in dit bestand. Kopieer het bestand vervolgens terug naar de HMC. Bijvoorbeeld: 
    scp authorized_keys joe@somehost:.ssh/authorized_keys2

OF

Vanaf een opdrachtregel kunt u de sleutel wissen van de HMC met de opdracht mkauthkeys. Bijvoorbeeld: 
ssh gebruikers-ID@hostnaam "mkauthkeys --remove 'piet@eenhost'"
Hoofdonderwerp: De regel voor opdrachten op afstand van de HMC gebruiken
Feedback verzenden|Deze pagina beoordelen