Technical Blog Post
Abstract
IBM Systems Director使用证书请求IBM i系统访问权
Body
在IBM Systems Director上管理不同的资源(如操作系统,存储系统等),首先需要发现(System Discovery)这些资源,但Systems Director对发现的资源最初是没有访问权限。以IBM i为例(参见图1),通常用户可以在选择该资源后点击右键“安全性”->“请求访问权”,输入该系统的用户名和密码即可获取到访问权。
图1 请求访问权
若该IBM i系统上没有安装代理程序(只有SSH协议)或只安装了平台代理程序(有SSH和CIM协议),通过用户名和密码直接获取访问权在某些情况下会面临一定的问题。出于安全的考虑,系统的密码在隔一定时间后会被修改,如此用户也需要相应地再一次使用新密码来请求系统访问权。若用户没有及时重新请求访问权限,由于Systems Director的某些功能(如收集清单)会多次验证当前用户名的权限,出于IBM i系统安全性的考虑,多次密码错误会导致系统账户被禁用,会增加用户的工作量。但若通过证书的方式来获取系统访问权,就不会出现这样的问题。下面介绍下如何为IBM i系统创建SSH和CIM证书并通过证书来获取系统的访问权限。用户点击图1中的“配置访问”可进入系统访问权配置页面(参见图2)。
图2 配置访问
(1)SSH
点击图2中访问类型“SSH”进入配置SSH凭证页面,在配置之前,用户需要首先创建SSH密钥对。登录到IBM i系统上,执行call qp2term进入PASE,在/home/userid/.ssh下执行ssh-keygen –t rsa生成密钥对(参见图3),命名为userid_rsa并设置密码,执行结束后得到两个密钥文件userid_rsa和userid_rsa.pub。
图3 创建密钥对
然后执行 cat userid_rsa.pub >> authorized_keys 将其写入到授权密钥文件中,只有这样 System Director 才能通过密钥 userid_rsa 来获取 IBM i 系统的 SSH 访问权。在创建密钥对时,要保证公共用户没有该登录用户主目录的读权限( chmod go-w /home/userid ),且没有 .ssh 目录和 authorized_keys 文件的任何权限( chmod go-rwx /home/userid/.ssh , chmod go-rwx /home/myuserid/.ssh/authorized_keys )。可以通过 IBM i 上的 ssh 命令才验证创建的证书是否可用(参见图 4 )。其中 passphrase 就是在图 3 中创建密钥对是输入的密码。
图 4 验证密钥
密钥对创建成功后,
将userid_rsa拷贝到Systems Director服务器上,修改 图 3 选择凭证类型 登录Systems Director,进入IBM i系统的SSH凭证配置页面(参见图3),凭证类型选择为“密钥对”,点击下一步输入凭证详细信息(参见图4)。在专用密钥文件框中输入从IBM i系统上拷贝来的userid_rsa文件的存放路径,用户标识输入创建密钥对的用户,口令则为创建密钥对时设置的密码。 图4 凭证详细信息
完成配置凭证向导后,
SSH
的访问权状态变为“确定”,而
IBM i
系统的则为“部分访问权”(参见图
5
)。
图5 配置SSH凭证结束 (2) CIM
点击图
2
中访问类型“
CIM
”进入配置
CIM
凭证页面,在配置之前,用户需要首先创建
CIM X509
证书。该证书可直接通过
Systems Director JDK
的
keytool
来创建。执行如图
6
中命令生成证书并存储在证书库
c:\keystore\cimkey.jks
中。
图6 创建CIM证书
再执行图
7
中命令从证书库中导出生成证书
director2cert.pem
,至此,就完成了
CIM X509
证书的创建。
图7 导出证书文件
事实上,在
Systems Director
的安装目录(
图8 查看证书信息
将
director2cert.pem
拷贝到
IBM i
系统上,然后执行下面的命令将证书文件加入到
IBM i
系统的
CIM
信任库中,参数
-U
应为系统的一个合法用户。
图9 加入信任库 可以通过cimtrust –l来查看创建的证书是否成功添加到了CIM信任库中,新加入的证书在信任库的最后部分。
证书创建成功后,在
CIM
凭证配置页面,点击“配置凭证”,凭证类型选择“
X 图 10 选择凭证类型
在凭证详细信息页面中(参见图
11
),密钥库位置、密钥库密码和别名分别为创建证书时参数
keystore
、
storepass
和
alias
的值,在图
6
中分别为
c:\keystore\cimkey.jks
,
password
和
directorclient
。
图 11 凭证详细信息
完成配置凭证向导后,
CIM
和
IBM i
系统的访问权状态变为“确定”(参见图
12
)。
图 12 配置
CIM
凭证结束
作者: Lin Dong
UID
ibm11145440