[16.0.0.4 and later]

集合における SSH の問題の回避

集合における SSH の問題の回避について説明します。セキュリティー問題は通常、セキュリティーの制限が強すぎるためにリソースにアクセスできないユーザーに関係します。SSH 構成オプション StrictModes は、それとは反対の問題としてセキュリティーが緩すぎる場合に、公開鍵ファイルおよび秘密鍵ファイルを保護します。SSH は、パスワード認証なしでシステム間のセキュア通信を提供しますが、特定のディレクトリーおよびファイルでの許可が十分に厳格でない場合、SSH は機能しません。

このタスクについて

集合コントローラーは SSH を使用して集合メンバーを開始および停止します。また、Admin Center も、構成ファイルを表示および編集するときに SSH を使用します。特定の SSH ディレクトリーおよびファイルの許可が緩すぎる場合、これらの機能はともに失敗します。

z/OS® での SSH サポートについては、OpenSSH 資料の「IBM® Ported Tools for z/OS: OpenSSHUser's Guide」を参照してください。

SSH とは
集合スクリプトは、公開鍵および秘密鍵認証 (最もセキュアな認証の SSH 方式) を使用しているメンバー・サービスにログインするためにコントローラーが使用するファイルを作成します。 公開鍵および秘密鍵認証の鍵を保護するには、鍵が含まれているファイルへのアクセス権限を、鍵を所有しているユーザーに制限する必要があります。

SSH 鍵を保持しているディレクトリーまたはファイルの許可で、UNIX グループへの書き込み権限や他の許可ビットが許可されてはなりません。例えば、許可が 770、775、または 777 の場合、SSH は正しく機能しません。

StrictModes
OpenSSH では、デフォルトで、StrictModes オプションが有効になっています。セキュリティーが緩すぎて、公開鍵ファイルを保護するために必要なファイルが適切に保護されていない場合、StrictModes により公開鍵および秘密鍵認証の使用が無効になります。
SSH のトラブルシューティング
コントローラーがメンバーを開始および停止できない場合、または Admin Center を使用して構成ファイルを表示および編集できない場合に集合のセキュリティー問題をトラブルシューティングする際に、StrictModes を無効にして問題が解決されたのであれば、公開鍵および秘密鍵認証に関連した SSH ディレクトリーまたはファイルに対する所有権、グループ、または全ユーザー・アクセス権限が正しくありません。アクセス権限を修正してから、StrictModes を再有効化します。

手順

  1. OpenSSH /etc/ssh/sshd_config デーモン構成ファイルを確認します。

    StrictModes オプションは、yes に設定されている場合、コメント化されている場合、または存在しない場合、有効になっています。StrictModes オプションにより、セキュリティーが緩すぎると判別されることがあります。その結果、サーバーへの SSH ログインが失敗することが原因で、集合コントローラーがメンバーを開始できなくなります。

  2. コントローラーおよびメンバー・サーバーに関連付けられているユーザー ID は、以下のディレクトリーおよびファイルを所有し、それらに対する適切な許可を備えている必要があります。
    ディレクトリーまたはファイル 許可
    ホーム・ディレクトリー 700
    ホーム・ディレクトリー内の .ssh サブディレクトリー 700
    /.ssh/authorized_keys ファイル 600
    /<server_config>/resources/security/ssh/ ディレクトリー 700
    /<server_config>/resources/security/ssh/id_rsa ファイル 600
    /<server_config>/resources/security/ssh/id_rsa.pub ファイル デフォルトでは、600 です。許可を 640 または 644 にして、公開鍵を読み取り可能にすることができます。

トピックのタイプを示すアイコン タスク・トピック

ファイル名: tagt_wlp_collective_zos_ssh.html