[16.0.0.4 and later]

避免集合体中出现 SSH 问题

了解如何避免集合体中出现 SSH 问题。通常,安全问题与用户无权访问资源有关,因为安全具有很强的限制性。安全的许可性过于自由时,使用 SSH 配置选项 StrictModes,可保护公共密钥文件和专用密钥文件遇到相反问题。SSH 提供系统之间的安全通信且不需要密码认证,但如果针对某些目录和文件的许可权不够严格,那么 SSH 不会工作。

关于此任务

集合体控制器使用 SSH 启动和停止集合体成员。查看和编辑配置文件时,管理中心也会使用 SSH。如果某些 SSH 目录和文件许可权过于自由,那么这两种功能都会失败。

有关 z/OS® 上的 SSH 支持,请参阅 OpenSSH 文档中的 IBM®Ported Tools for z/OS: OpenSSHUser's Guide

什么是 SSH?
集合体脚本创建控制器用于登录到使用公共和专用密钥认证的成员服务的文件,这是最为安全的 SSH 认证方法。 要保护公共和专用密钥认证密钥,需要将对包含密钥的文件的访问权限制给拥有这些密钥的用户。

对保存 SSH 密钥的目录或文件的许可权不支持对 UNIX 组或其他许可权位的写访问权。例如,如果许可权为 770、775 或 777,那么 SSH 不会正确工作。

StrictModes
缺省情况下,OpenSSH 启用 StrictModes 选项。如果安全性过于宽松时,未正确保护所需文件以保护公共密钥文件,那么使用 StrictModes 会禁用公共和专用密钥认证。
SSH 故障诊断
对控制器无法启动或停止成员或者或者无法使用管理中心查看或编辑配置文件的集合体安全问题进行故障诊断时,如果禁用 StrictModes 且解决了问题,那么对与公共和专用密钥认证相关的 ssh 目录或文件的所有权、组或全局访问权不正确。更正访问权并重新启用 StrictModes。

过程

  1. 检查 OpenSSH /etc/ssh/sshd_config 守护程序配置文件。

    如果 StrictModes 选项设置为 yes、注释掉或未显示,那么启用了 StrictModes。StrictModes 选项可能确定安全性过于宽松。因此,由于到服务器的 SSH 登录失败,导致集合体控制器无法启动成员。

  2. 对于与控制器和成员服务器关联的用户标识,用户标识必须拥有以下目录和文件的相应许可权:
    目录或文件 许可权
    主目录 700
    主目录下的 .ssh 子目录 700
    /.ssh/authorized_keys 文件 600
    /<server_config>/resources/security/ssh/ 目录 700
    /<server_config>/resources/security/ssh/id_rsa 文件 600
    /<server_config>/resources/security/ssh/id_rsa.pub 文件 缺省情况下,为 600。您可以将许可权更改为 640644 以使公共密钥可读。

用于指示主题类型的图标 任务主题

文件名:tagt_wlp_collective_zos_ssh.html