For z/OS platforms[16.0.0.4 and later]

Cómo evitar problemas con SSH en un colectivo

Obtenga información sobre cómo evitar problemas con SSH en un colectivo. Los problemas de seguridad normalmente se refieren a que el usuario no tiene acceso a un recurso porque la seguridad es demasiado restrictiva. La opción de configuración SSH StrictModes protege los archivos de claves públicos y privados frente al problema opuesto, es decir, cuando la seguridad es demasiado permisiva. SSH proporciona comunicaciones seguras entre sistemas sin autenticación de contraseña, pero SSH no funciona si los permisos en determinados directorios y archivos no son lo suficientemente estrictos.

Acerca de esta tarea

El controlador colectivo utiliza SSH para iniciar y detener miembros de colectivo. El Centro de administración también utiliza SSH cuando se visualizan y editan archivos de configuración. Ambas funciones fallarán si determinados permisos de archivo y directorio SSH son demasiado permisivos.

Para ver el soporte de SSH en z/OS, consulte IBM® Ported Tools for z/OS: OpenSSHUser's Guide en la documentación de OpenSSH.

¿Qué es SSH?
Los scripts de colectivo crean los archivos que utiliza el controlador para iniciar la sesión en servicios de miembro que utilizan autenticación de clave pública y privada, que es el método SSH de autenticación más seguro. Para proteger las claves de autenticación de clave pública y privada, es necesario que el acceso a los archivos que contienen las claves esté restringido al usuario propietario de las claves.

Los permisos en los directorios o archivos que mantienen las claves SSH no deben permitir acceso de escritura en el grupo UNIX u otros bits de permiso. Por ejemplo, SSH no funciona correctamente si los permisos son 770, 775 o 777.

StrictModes
OpenSSH habilita de forma predeterminada la opción StrictModes. StrictModes inhabilita el uso de la autenticación de clave pública y privada si los archivos solicitados no están protegidos correctamente para proteger los archivos de claves públicas cuando la seguridad es demasiado permisiva.
Resolución de problemas de SSH
Cuando resuelva problemas de seguridad de colectivo donde el controlador no pueda iniciar o detener un miembro, o no pueda visualizar o editar archivos de configuración mediante el Centro de administración, si inhabilita StrictModes y el problema se resuelve, el acceso de todos, grupo o propietario a los archivos o directorios ssh relacionados con la autenticación de clave pública o privada es incorrecto. Corrija el acceso y vuelva a habilitar StrictModes.

Procedimiento

  1. Compruebe el archivo de configuración de daemon /etc/ssh/sshd_config de OpenSSH.

    La opción StrictModes está habilitada si está establecida en yes, está comentada o no está presente. La opción StrictModes podría determinar que la seguridad es demasiado permisiva. Como resultado, el controlador colectivo no puede iniciar un miembro porque el inicio de sesión SSH en el servidor falla.

  2. Para los ID de usuario asociados con el controlador y los servidores miembro, los ID de usuario deben ser propietarios de los siguientes archivos y directorios y tener los permisos adecuados para ellos:
    Directorio o archivo Permisos
    Directorio inicial 700
    Subdirectorio .ssh bajo su directorio inicial 700
    Archivo /.ssh/authorized_keys 600
    Directorio /<server_config>/resources/security/ssh/ 700
    Archivo /<server_config>/resources/security/ssh/id_rsa 600
    Archivo /<server_config>/resources/security/ssh/id_rsa.pub De forma predeterminada, 600. Puede cambiar los permisos a 640 o 644 para que la clave pública sea legible.

Icono que indica el tipo de tema Tema de tarea

Nombre de archivo: tagt_wlp_collective_zos_ssh.html