Für z/OS-Plattformen[16.0.0.4 und höher]

SSH-Probleme in einem Verbund vermeiden

Erfahren Sie hier, wie Sie SSH-Probleme in einem Verbund vermeiden. Sicherheitsprobleme beziehen sich in der Regel auf einen Benutzer, der aufgrund einer zu strengen Sicherheit nicht auf eine Ressource zugreifen kann. Die SSH-Konfigurationsoption "StrictModes" schützt öffentliche und private Schlüsseldateien vor dem umgekehrten Problem, das auftritt, wenn die Sicherheit nicht streng genug ist. SSH stellt sichere Kommunikation zwischen Systemen ohne Kennwortauthentifizierung bereit. SSH funktioniert jedoch nicht, wenn die Berechtigungen für bestimmte Verzeichnisse und Dateien nicht streng genug sind.

Informationen zu diesem Vorgang

Der Verbundcontroller verwendet SSH zum Starten und Stoppen von Verbundmembern. Das Admin Center verwendet auch SSH beim Anzeigen und Bearbeiten von Konfigurationsdateien. Diese beiden Funktionen schlagen fehl, wenn bestimmte SSH-Verzeichnis- und -Dateiberechtigungen nicht streng genug sind.

Informationen zur SSH-Unterstützung unter z/OS finden Sie in der OpenSSH-Dokumentation IBM® Ported Tools for z/OS: OpenSSHUser's Guide.

Was ist SSH?
Die Verbundscripts erstellen die Dateien, die der Controller verwendet, um sich an Member-Services anzumelden, die eine Authentifizierung über öffentliche und private Schlüssel verwenden, das die sicherste SSH-Authentifizierungsmethode ist. Wenn Sie öffentliche und private Schlüssel der Authentifizierungsschlüssel schützen möchten, müssen Sie den Zugriff auf die Dateien, die die Schlüssel enthalten, auf den Benutzer beschränken, der Eigner der Schlüssel ist.

Berechtigungen für die Verzeichnisse oder Dateien, die SSH-Schlüssel enthalten, dürfen keinen Schreibzugriff über die UNIX-Berechtigungsbits "Gruppe" oder "Andere" zulassen. Bei den Berechtigungen 770, 775 oder 777 funktioniert SSH nicht ordnungsgemäß.

StrictModes
OpenSSH aktiviert standardmäßig die Option "StrictModes". StrictModes inaktiviert die Verwendung der Authentifizierung über öffentliche und private Schlüssel, wenn die erforderlichen Dateien nicht ordnungsgemäß geschützt sind, um öffentliche Schlüsseldateien zu schützen, wenn die Sicherheit nicht streng genug ist.
Fehlerbehebung bei SSH
Wenn Sie Fehler bei Verbundsicherheitsproblemen beheben möchten, bei denen der Controller ein Member nicht starten oder stoppen kann, oder Sie Konfigurationsdateien über das Admin Center nicht anzeigen oder bearbeiten können, und Sie diese Fehler durch Inaktivieren des StrictModes beheben können, sind die Eigner-, Gruppen- oder globalen Zugriffsberechtigungen auf die SSH-Verzeichnisse oder -Dateien für die Authentifizierung über öffentliche und private Schlüssel, falsch. Korrigieren Sie die Zugriffsberechtigungen und aktivieren Sie StrictModes erneut.

Vorgehensweise

  1. Überprüfen Sie die OpenSSH-Dämonkonfigurationsdatei /etc/ssh/sshd_config.

    Die Option "StrictModes" ist aktiviert, wenn sie auf yes gesetzt, auskommentiert oder nicht vorhanden ist. Die Option "StrictModes" stellt möglicherweise fest, dass die Sicherheit zu schwach ist. Der Verbundcontroller kann daher einen Member nicht starten, weil die SSH-Anmeldung am Server fehlschlägt.

  2. Die Benutzer-IDs, die den Controller- und Member-Servern zugeordnet sind, müssen die entsprechenden Berechtigungen für die folgenden Verzeichnisse und Dateien besitzen, und Eigner dieser Verzeichnisse und Dateien sein.
    Verzeichnis oder Datei Berechtigungen
    Ausgangsverzeichnis 700
    .ssh-Unterverzeichnis unterhalb des zugehörigen Ausgangsverzeichnisses 700
    Datei /.ssh/authorized_keys 600
    Verzeichnis /<server_config>/resources/security/ssh/ 700
    Verzeichnis /<server_config>/resources/security/ssh/id_rsa 600
    Datei /<server_config>/resources/security/ssh/id_rsa.pub 600 (Standardwert). Sie können den Berechtigungswert in 640 oder 644 ändern, um die Leseberechtigung für den öffentlichen Schlüssel zu erteilen.

Symbol das den Typ des Artikels anzeigt. Taskartikel

Dateiname: tagt_wlp_collective_zos_ssh.html