IBM Support

IBM Systems Director使用证书请求IBM i系统访问权

Technical Blog Post


Abstract

IBM Systems Director使用证书请求IBM i系统访问权

Body

    在IBM Systems Director上管理不同的资源(如操作系统,存储系统等),首先需要发现(System Discovery)这些资源,但Systems Director对发现的资源最初是没有访问权限。以IBM i为例(参见图1),通常用户可以在选择该资源后点击右键“安全性”->“请求访问权”,输入该系统的用户名和密码即可获取到访问权。

图像

图1 请求访问权

    若该IBM i系统上没有安装代理程序(只有SSH协议)或只安装了平台代理程序(有SSH和CIM协议),通过用户名和密码直接获取访问权在某些情况下会面临一定的问题。出于安全的考虑,系统的密码在隔一定时间后会被修改,如此用户也需要相应地再一次使用新密码来请求系统访问权。若用户没有及时重新请求访问权限,由于Systems Director的某些功能(如收集清单)会多次验证当前用户名的权限,出于IBM i系统安全性的考虑,多次密码错误会导致系统账户被禁用,会增加用户的工作量。但若通过证书的方式来获取系统访问权,就不会出现这样的问题。下面介绍下如何为IBM i系统创建SSH和CIM证书并通过证书来获取系统的访问权限。用户点击图1中的“配置访问”可进入系统访问权配置页面(参见图2)。

图像

图2 配置访问

(1)SSH

点击图2中访问类型“SSH”进入配置SSH凭证页面,在配置之前,用户需要首先创建SSH密钥对。登录到IBM i系统上,执行call qp2term进入PASE,在/home/userid/.ssh下执行ssh-keygen –t rsa生成密钥对(参见图3),命名为userid_rsa并设置密码,执行结束后得到两个密钥文件userid_rsa和userid_rsa.pub。

图像

图3 创建密钥对

 

   然后执行 cat userid_rsa.pub >> authorized_keys 将其写入到授权密钥文件中,只有这样 System Director 才能通过密钥 userid_rsa 来获取 IBM i 系统的 SSH 访问权。在创建密钥对时,要保证公共用户没有该登录用户主目录的读权限( chmod go-w /home/userid ),且没有 .ssh 目录和 authorized_keys 文件的任何权限( chmod   go-rwx /home/userid/.ssh , chmod go-rwx /home/myuserid/.ssh/authorized_keys )。可以通过 IBM i 上的 ssh 命令才验证创建的证书是否可用(参见图 4 )。其中 passphrase 就是在图 3 中创建密钥对是输入的密码。

 图像

图 4 验证密钥

    密钥对创建成功后, 将userid_rsa拷贝到Systems Director服务器上,修改 \lwi\conf\overrides\USMi.properties文件(为Systems Director 安装目录),添加com.ibm.usmi.server.security.cts.util.escalateUser=true,然后重启Systems Director。 图像

图 3 选择凭证类型 

  登录Systems Director,进入IBM i系统的SSH凭证配置页面(参见图3),凭证类型选择为“密钥对”,点击下一步输入凭证详细信息(参见图4)。在专用密钥文件框中输入从IBM i系统上拷贝来的userid_rsa文件的存放路径,用户标识输入创建密钥对的用户,口令则为创建密钥对时设置的密码。

图像

图4 凭证详细信息

   完成配置凭证向导后, SSH 的访问权状态变为“确定”,而 IBM i 系统的则为“部分访问权”(参见图 5 )。

图像

 图5 配置SSH凭证结束 

(2) CIM    点击图 2 中访问类型“ CIM ”进入配置 CIM 凭证页面,在配置之前,用户需要首先创建 CIM X509 证书。该证书可直接通过 Systems Director JDK 的 keytool 来创建。执行如图 6 中命令生成证书并存储在证书库 c:\keystore\cimkey.jks 中。

图像

图6 创建CIM证书

     再执行图 7 中命令从证书库中导出生成证书 director2cert.pem ,至此,就完成了 CIM X509 证书的创建。

图像

 图7 导出证书文件

    事实上,在 Systems Director 的安装目录( \ \data\cim\keystore\ ibmd_cert.jks )中包含了一个默认的 CIM X509 证书库,用户可以使用上面的命令从该证书库中导出证书文件。但是证书是有有效期的,这个默认的证书库中的证书文件要是过期了的话,用户就只能自己来创建新的证书。通过下面的命令可以查看证书文件的有效期,其中的 Valid from

图像

 图8 查看证书信息

    将 director2cert.pem 拷贝到 IBM i 系统上,然后执行下面的命令将证书文件加入到 IBM i 系统的 CIM 信任库中,参数 -U 应为系统的一个合法用户。

图像

图9 加入信任库

    可以通过cimtrust –l来查看创建的证书是否成功添加到了CIM信任库中,新加入的证书在信任库的最后部分。

    证书创建成功后,在 CIM 凭证配置页面,点击“配置凭证”,凭证类型选择“ X509 ”。

图像

图 10 选择凭证类型 

    在凭证详细信息页面中(参见图 11 ),密钥库位置、密钥库密码和别名分别为创建证书时参数 keystore 、 storepass 和 alias 的值,在图 6 中分别为 c:\keystore\cimkey.jks , password 和 directorclient 。

图像

图 11 凭证详细信息

   完成配置凭证向导后, CIM 和 IBM i 系统的访问权状态变为“确定”(参见图 12 )。

图像

图 12  配置

CIM 凭证结束

  作者: Lin Dong 

[{"Business Unit":{"code":"BU058","label":"IBM Infrastructure w\/TPS"},"Product":{"code":"SWG60","label":"IBM i"},"Component":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"","Edition":"","Line of Business":{"code":"LOB57","label":"Power"}}]

UID

ibm11145440

Page Feedback