1.7.4 SSH接続で公開鍵認証を設定する手順
公開鍵認証は,次の流れで設定します。
SSHサーバを設定する
公開鍵ファイルおよび秘密鍵ファイルを作成する
秘密鍵ファイルをJP1/AOサーバに配置する
秘密鍵のパスフレーズを設定する
公開鍵ファイルを操作対象の機器に配置する
各手順の詳細を次に示します。
なお,OS側で実施する手順の詳細については,OSのドキュメントを参照してください。
SSHサーバを設定する手順
操作対象の機器に,rootユーザーでログインします。
sshd_configファイルを開きます。
格納先:/etc/ssh/sshd_config
PubkeyAuthenticationの値にyesを設定します。
-
次のコマンドを実行し,sshdサービスを再起動します。
systemctl restart sshd
公開鍵および秘密鍵を作成する手順
OSの機能やツールを使用して,公開鍵ファイルおよび秘密鍵ファイルを作成します。ツールを使用する場合,作成の手順はツールのドキュメントを参照してください。
作成した秘密鍵ファイルはJP1/AOサーバに,公開鍵ファイルは操作対象の機器にそれぞれ配置してください。
- ヒント
公開鍵ファイルおよび秘密鍵ファイルは,JP1/AOサーバで作成することをお勧めします。JP1/AOサーバで作成すると,作成した秘密鍵を送付する必要がなく,より安全に公開鍵認証を設定できるためです。
鍵の種類は,RSA暗号またはDSA暗号のどちらかを選択できます。
使用できる鍵長および鍵の種類はOSごとに異なります。操作対象の機器のOSの仕様に従って,公開鍵ファイルおよび秘密鍵ファイルを作成してください。
-
秘密鍵は,PEM形式で作成してください。
ここでは参考として,操作対象の機器で公開鍵および秘密鍵を作成する場合を例に,作成の手順を説明します。
操作対象の機器に,rootユーザーでログインします。
ssh-keygenコマンドを実行します。作成する鍵の種類によって,次のように入力してください。
RSA鍵を作成する場合
ssh-keygen -t rsa
DSA鍵を作成する場合
ssh-keygen -t dsa
秘密鍵を出力するパスとファイル名を指定します。
パスとファイル名には,マルチバイト文字を含めないでください。
公開鍵は秘密鍵と同じパスに,秘密鍵ファイルの名前の末尾に「.pub」が付いたファイル名で出力されます。
秘密鍵のパスフレーズを指定します。
秘密鍵のパスフレーズの入力を求められるため,パスフレーズを入力してリターンキーを押します。再度入力を求められるので,パスフレーズを入力し,リターンキーを押します。
なお,パスフレーズは指定しないこともできます。その場合は何も入力しないで,リターンキーを押してください。
作成した秘密鍵ファイルを,JP1/AOサーバに送付します。
秘密鍵をJP1/AOサーバに配置する手順
作成した秘密鍵をJP1/AOサーバに配置します。配置する手順を次に示します。
作成した秘密鍵ファイルをJP1/AOサーバの任意のパスに配置します。
ユーザー設定プロパティファイル(config_user.properties)の「ssh.privateKeyFile」に,秘密鍵ファイルを絶対パスで指定します。
JP1/AO のサービスを停止します。
- 非クラスタシステムの場合
hcmds64srvコマンドにstopオプションを指定して実行します。
- クラスタシステムの場合
クラスタソフトを使用してサービスをオフラインにします。
JP1/AOのサービスを開始します。
- 非クラスタシステムの場合
hcmds64srvコマンドにstartオプションを指定して実行します。
- クラスタシステムの場合
クラスタソフトを使用してサービスをオンラインにします。
- ヒント
秘密鍵ファイルは,JP1/AOのインストール先フォルダの配下以外に配置することをお勧めします。秘密鍵ファイルをJP1/AOのインストール先フォルダの配下に配置すると,JP1/AOのアンインストール時に,秘密鍵ファイルが自動で削除されるためです。
JP1/AOをクラスタ構成にしている場合,秘密鍵ファイルは,実行系サーバと待機系サーバとで同じパスに配置してください。秘密鍵は,実行系サーバと待機系サーバとで同じものを使用することも,別のものを使用することもできます。
秘密鍵のパスフレーズを設定する手順
JP1/AOのビルトインサービス共有プロパティにパスフレーズを設定します。なお,秘密鍵ファイルを作成した際,パスフレーズに空文字を指定した場合,この手順を実施する必要はありません。
[管理]画面の[サービス共有プロパティ]エリアで,ビルトインサービス共有プロパティ「秘密鍵のパスフレーズ(SSH公開鍵認証用)」を選択し,[編集]ボタンをクリックします。
[サービス共有プロパティ設定]ダイアログボックスの[パスワードを変更する]にチェックし,[プロパティ値]テキストボックスに,秘密鍵ファイルを作成した際に指定したパスフレーズを入力します。
[OK]ボタンをクリックします。
公開鍵を操作対象の機器に配置する手順
作成した公開鍵ファイルを操作対象の機器に配置します。配置する手順を次に示します。
catコマンドをリダイレクトするなどして,公開鍵ファイルの内容をauthorized_keysファイルに追加します。
chmodコマンドを実行し,authorized_keysファイルが格納されているフォルダの属性を700に設定します。authorized_keysファイルは,デフォルトでは「.ssh」フォルダに格納されています。
chmodコマンドを実行し,authorized_keysファイルの属性を600に設定します。
- ヒント
JP1/AOをクラスタ構成にしていて,実行系サーバと待機系サーバとで異なる秘密鍵を使用する場合,それぞれの秘密鍵ファイルに対応した公開鍵ファイルを操作対象の機器に配置します。