Configurazione di un'esecuzione sicura di uno script tra client SSH e l'HMC

Descrive come accertarsi che le esecuzioni di script tra i client SSH e l'HMC siano sicure.

Nota: per abilitare l'esecuzione script non presidiata tra un client SSH e un'HMC, è necessario che il protocollo SSH sia già stato installato sul sistema operativo del client.

Le HMC si trovano in genere in una stanza dove vengono collocati i sistemi gestiti, così da impedire l'accesso fisico all'HMC. In questo caso, è possibile accedervi in modalità remota utilizzando il client remoto o l'interfaccia della riga comandi remota. Questo argomento descrive come accertarsi che le esecuzioni script tra client SSH e l'HMC siano sicure.

Per abilitare l'esecuzione script non presidiata tra un client SSH e un'HMC, effettuare quanto segue:

Nell'area di navigazione, selezionare Gestione HMC.
Nell'area di navigazione, fare clic su Configurazione HMC.
Nell'area del contenuto, fare clic su Abilita o disabilita l'esecuzione di comandi remoti.
Quando si apre la finestra, selezionare la casella per abilitare SSH.
Creare un utente HMC con uno dei seguenti ruoli:
- super amministratore
- responsabile del servizio di assistenza
Sul sistema operativo client, eseguire il generatore chiave del protocollo SSH. Per eseguirlo, effettuare quanto riportato di seguito:
1. Per memorizzare le chiavi, creare un indirizzario denominato $HOME/.ssh (è possibile utilizzare chiavi RSA o DSA).
2. Per generare chiavi pubbliche e private, effettuare il seguente comando:
```
ssh-keygen -t  rsa
```
  Nell'indirizzario $HOME/.ssh vengono creati i seguenti file:
```
private key: id_rsa 
public  key: id_rsa.pub
```
  I bit di scrittura relativi a gruppo e altro sono disattivati. Assicurarsi che la chiave privata disponga di un'autorizzazione 600.
Sul sistema operativo client, utilizzare ssh ed eseguire il comando mkauthkeys per aggiornare il file authorized_keys2 dell'utente HMC sull'HMC tramite il seguente comando:
ssh userid@hostname "mkauthkeys --add '<la stringa chiave da $HOME/.ssh/id_dsa.pub>'"

Cancellazione della chiave dall'HMC

Per cancellare la chiave dall'HMC, selezionare una delle seguenti procedure:

E' possibile utilizzare questa procedura per eliminare la chiave dalla HMC modificando vari file:

Sulla partizione logica, utilizzare il comando scp per copiare il file authorized_keys2 dall'HMC alla partizione logica, nel seguente modo:
```
scp userid@host_name :.ssh/authorized_keys2 /tmp/mykeyfile
```
Nel file /tmp/mykeyfile, eliminare la riga che contiene la chiave e il nome host del sistema che si desidera esegua i comandi HMC in modalità remota.
Sulla partizione logica, utilizzare il comando scp per copiare il nuovo file nell'HMC:
```
scp /tmp/mykeyfile userid@host_name ".ssh/authorized_keys2"
```
Se si desidera abilitare la richiesta della parola d'ordine per tutti gli host che accedono all'HMC tramite ssh, utilizzare il comando ssh per eliminare il file chiave dall'HMC:
```
scp userid@hostname:.ssh/authorized_keys2 authorized_keys2
```
Modificare il file authorized_keys2 ed eliminare tutte le righe in questo file, quindi copiarlo nuovamente nell'HMC. Ad esempio:
```
scp authorized_keys joe@somehost:.ssh/authorized_keys2
```

OPPURE

E' possibile utilizzare la riga comandi per cancellare la chiave dall'HMC utilizzando il comando mkauthkeys. Ad esempio:

ssh userid@hostname "mkauthkeys --remove 'joe@somehost'"