3.2.5　UNIX版のSSHの接続設定方法

(1)　SSHサーバの公開鍵認証を有効にする

公開鍵認証を有効にするための設定手順を次に示します。

1. 監視対象ホストにスーパーユーザーでログインする。

2. /etc/ssh/sshd_config^※を開く。

3. PubkeyAuthenticationをyesに書き換える。

4. /etc/ssh/sshd_config^※を保存して閉じる。

5. 次のコマンドを実行し，sshdサービスを再起動する。

   [root@TargetHost.ssh]$ /etc/rc.d/init.d/sshd restart

   参考

   スーパーユーザーにログインして情報収集する場合は，/etc/ssh/sshd_config^※を開きPermitRootLoginをyesに書き換えてください。また，書き換えたあとにsshdサービスを再起動してください。

   注※

   HP-UXの場合は，/opt/ssh/etc/sshd_configです。

ページの先頭へ

(2)　鍵を作成する

鍵は自動で作成されます。手動で作成することもできますが，特別な事情がない場合は，自動で作成された鍵を使用することをお勧めします。

[root@RMHost]$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): ＜Enter＞
Enter passphrase (empty for no passphrase): ＜Enter＞
Enter same passphrase again: ＜Enter＞
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
ax:xx:xx:xx:xx:bx:xx:xc:xx:xx:xx:xd:xd:xa:ed:xx root@RMHost

ページの先頭へ

(3)　公開鍵を監視対象ホストに配置する

作成した公開鍵を監視対象ホストに配置します。なお，監視対象ホストが複数ある場合は，すべての監視対象ホストに対してこの作業を実施してください。

配置する手順を次に示します。

1. 監視対象ホストに，監視対象の設定時に「User」に指定した値でログインする。

   共通アカウント情報を使用する場合は，共通アカウント情報（ssh）の「User」に設定した値を指定してください。

2. cdコマンドを実行して，ホームディレクトリの.sshディレクトリに移動する。

   ホームディレクトリに.sshディレクトリがない場合は，作成してください。.sshディレクトリの属性については700または755を設定し，所有者およびグループについては監視対象ホストの設定時に指定したユーザーに合わせて設定してください。ホームディレクトリおよび.sshディレクトリの属性，所有者およびグループの設定が不正な場合，SSH接続に失敗することがあります。

3. scpコマンドを実行する。

   すでに作成済みの公開鍵ファイルが受信されます。

4. catコマンドを実行する。

   公開鍵ファイルの中身が認証鍵ファイルにリダイレクトされます。また，受信した公開鍵ファイルの内容が認証鍵ファイルに追加されます。

   認証鍵ファイルの名前は「/etc/ssh/sshd_config」の「AuthorizedKeysFile」で設定されます。HP-UXの場合は，「/opt/ssh/etc/sshd_config」です。

   デフォルトでは「~/.ssh/ authorized_keys」が設定されています。

5. rmコマンドを実行して，受信した公開鍵ファイルを削除する。

6. chmodコマンドを実行し，認証鍵ファイルの属性を600に変更する。

手順2.〜6.のコマンドの実行例を次に示します。

[ClientUser@TargetHost ]$ cd .ssh
[ClientUser@TargetHost .ssh]$ scp root@RMHost:/opt/jp1pc/agt7/.ssh/agt7.pub .
root@RMHost's password: パスワード
agt7.pub                                 100%  233     0.2KB/s   00:00
[ClientUser@TargetHost .ssh]$ cat agt7.pub >> authorized_keys
[ClientUser@TargetHost .ssh]$ rm agt7.pub
[ClientUser@TargetHost .ssh]$ chmod 600 authorized_keys

また，PFM - RMホストでssh-copy-idコマンドを実行して，公開鍵を監視対象ホストに配置することもできます。ssh-copy-idコマンドを使用する場合，公開鍵を配置する.sshディレクトリの指定，公開鍵の名前および属性の変更は必要ありません。ssh-copy-idコマンドを使用して公開鍵を配置する手順を次に示します。

1. PFM - RMホストにスーパーユーザーでログインする。

2. ssh-copy-idコマンドを実行する。

   公開鍵がコピーされます。

   ssh-copy-idコマンドの詳細については，OpenSSHのマニュアルを参照してください。

手順1.および手順2.のコマンドの実行例を次に示します。

[root@RMHost ]$ /usr/bin/ssh-copy-id -i /opt/jp1pc/agt7/.ssh/agt7.pub ClientUser@TargetHost
29
The authenticity of host 'TargetHost (xxx.xxx.xxx.xxx)' can't be established.
RSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'TargetHost,xxx.xxx.xxx.xxx' (RSA) to the list of known hosts.
ClientUser@TargetHost's password: パスワード
Now try logging into the machine, with "ssh 'ClientUser@TargetHost'", and check in:
 
  .ssh/authorized_keys
 
to make sure we haven't added extra keys that you weren't expecting.

ページの先頭へ

(4)　接続を確認して指紋を登録する

PFM - RMホストと監視対象ホストが接続できるかどうかを確認する手順について説明します。

1. PFM - RMホストにスーパーユーザーでログインする。

2. 作成した秘密鍵を利用し，監視対象ホストに対してsshクライアントコマンドを実行する。

   接続が開始されます。

3. 初回接続時は，指紋を登録する。

   監視対象ホストの公開鍵の指紋を登録します。ここでは，「yes」を入力してください。「yes」を入力すると，監視対象ホストのプロンプトが表示されます。

4. 監視対象ホストのプロンプトで，exitコマンドを実行して，一度，監視対象ホストからログアウトする。

5. PFM - RMホストで，監視対象ホストに対してsshクライアントコマンドを実行して，再度接続する。

   2回目以降の接続時に，何も入力しないで監視対象ホストのプロンプトが表示されれば，PFM - RMホストと監視対象ホストの接続設定は完了です。監視対象ホストのプロンプトでexitコマンドを実行して，監視対象ホストからログアウトしてください。

   エラーが発生した場合や，何か入力を要求された場合は，手順が正しく実施できているかどうか見直してください。

接続を確認するときの設定例を次に示します。

[root@RMHost]$ /usr/bin/ssh -i /opt/jp1pc/agt7/.ssh/agt7 -p 22 ClientUser@TargetHost
The authenticity of host 'TargetHost (xxx.xxx.xxx.xxx)' can't be established.
RSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'TargetHost,xxx.xxx.xxx.xxx' (RSA) to the list of known hosts.
Last login: Mon Mar 23 17:17:52 2009 from xxx.xxx.xxx.xxx
[ClientUser@TargetHost ~]$ exit
logout
　
Connection to TargetHost closed.
[root@RMHost]$ /usr/bin/ssh -i /opt/jp1pc/agt7/.ssh/agt7 -p 22 ClientUser@TargetHost
Last login: Mon Mar 23 17:18:00 2009 from xxx.xxx.xxx.xxx
[ClientUser@TargetHost ~]$ exit
logout
　
Connection to TargetHost closed.
[root@RMHost]$

注意

• PFM - RM for Platformは前提条件として，事前に指紋認証が完了している必要があります。SSHクライアントの初回接続時に指紋を登録できるため，この手順で完了させておいてください。

• PFM - RMホストから監視対象ホストへunameなどのコマンドを実行し，10秒未満で応答が返ってくることを確認してください。

PFM - Managerの起動については，マニュアル「JP1/Performance Management 運用ガイド」のPerformance Managementの起動と停止について説明している章を参照してください。

ページの先頭へ