システム環境の以下の定義について説明します。
運用管理サーバが動作するOS別に、必要なシステム環境の定義を示します。
OS名 | システム環境の定義 |
|---|---|
Solaris | 運用管理サーバのノード名の登録 SVPMノード名の登録 rootを役割からユーザに変更(Solaris 11以降) ログイン名syscomの登録 .rhosts の設定 Solaris 11以降の場合に設定が必要な項目 rsh の有効化 動作確認が必要な項目 rcp の動作確認 |
Linux | 運用管理サーバのノード名の登録 SVPMノード名の登録 ログイン名syscomの登録 rsh の設定(rshを使用する場合) ssh の設定(sshを使用する場合) Linuxの場合に設定が必要な項目 rsh の有効化(rshを使用する場合) 動作確認が必要な項目 rcpの動作確認(rshを使用する場合) |
ここでは、下図に示すようにSVPMを二重化している場合の定義例を示します。
運用管理サーバのノード名の登録
運用管理サーバのノード名を任意の名前で決定し、運用管理サーバの/etc/hostsファイルにIPアドレスおよびノード名を定義します。SVPMのLANまたは装置を二重化する場合は、接続する2系統のLANそれぞれについて、ノード名をIPアドレスとともに登録します。
100.200.000.003 MANAGER-1 #運用管理サーバノード名(1) 100.200.100.003 MANAGER-2 #運用管理サーバノード名(2)
SVPMノード名の登録
運用管理サーバの/etc/hostsファイルに、SVPMのIPアドレスおよびノード名を定義します。IPアドレスは、SVPM導入時に設定されたSVPM基本部のIPアドレスを定義します。SVPMの装置を二重化する場合は、すべてのSVPMを登録してください。SVPMのLANを二重化する場合は、接続する2系統のLANそれぞれのIPアドレスおよびノード名を登録してください。
ノード名には、/etc/hostsファイルにおいて他のシステムと重複しないような名前を定義してください。
100.200.000.001 SVPM-a # SVPM1ノード名(a) 100.200.100.001 SVPM-b # SVPM1ノード名(b) 100.200.000.002 SVPM-c # SVPM2ノード名(c) 100.200.100.002 SVPM-d # SVPM2ノード名(d)
rootを役割からユーザに変更(Solaris 11以降)
以下のコマンドを実行し、rootを役割からユーザに変更します。
rolemod -K type=normal root
ログイン名syscomの登録
運用管理サーバにログイン名syscomを登録します。syscomユーザの基本グループは「sys」を指定してください。登録は、以下のコマンドを実行します。
useradd -g sys -m syscom
注意
運用管理サーバにsyscomユーザで、ログインできることを確認してください。
rshを使用する場合の設定
Solarisの場合、必ず本設定を行ってください。
Linuxの場合、SVPMとの接続方式を rsh にする場合は、本設定を行ってください。
運用管理サーバの.rhostsファイルに、ノード名を登録します。
下記にファイル名を示します。
OS名 | ファイル名 |
|---|---|
Solaris 10 以前 | /.rhosts |
Solaris 11 以降 | /root/.rhosts |
下記に登録するノード名を示します。
前述した“運用管理サーバのノード名の登録”で定義したもの
前述した“SVPMノード名の登録”で定義したもの
MANAGER-1 root MANAGER-2 root SVPM-a root SVPM-b root SVPM-c root SVPM-d root
Systemwalkerをクラスタシステムに導入した場合、クラスタシステムの論理IPに対するノード名も登録してください。
.rhostsファイルを新規作成した場合は、作成した.rhostsファイルにパーミッションを設定します。
chmod 600 .rhosts |
また、SELinux(Security-Enhanced Linux)機能が有効になっているLinux環境の場合は、以下のコマンドでSELinuxコンテキストを設定してください。
restorecon -R .rhosts |
本操作は syscomユーザでログインして行ってください。
運用管理サーバのログイン名syscomのホームディレクトリ配下にある.rhostsファイルに、以下のノード名を登録します。
前述した“運用管理サーバのノード名の登録”で定義したもの
前述した“SVPMノード名の登録”で定義したもの
MANAGER-1 syscom MANAGER-2 syscom SVPM-a syscom SVPM-b syscom SVPM-c syscom SVPM-d syscom
Systemwalkerをクラスタシステムに導入した場合、クラスタシステムの論理IPに対するノード名も登録してください。
.rhostsファイルを新規作成した場合は、作成した.rhostsファイルにパーミッションを設定します。
chmod 600 .rhosts |
また、SELinux(Security-Enhanced Linux)機能が有効になっているLinux環境の場合は、以下のコマンドでSELinuxコンテキストを設定してください。
restorecon -R .rhosts |
sshを使用する場合の設定
Linuxで、SVPMとの接続方式を sshにする場合は、本設定を行ってください。
以下の流れで設定を行います
rootユーザの鍵ファイルを生成
rootユーザの公開鍵を運用管理サーバに登録
syscomユーザの鍵ファイルを生成
syscomユーザの公開鍵を運用管理サーバに登録
syscomユーザの公開鍵をSVPM側へ転送し登録
rootユーザの公開鍵をSVPM側へ転送し登録
SVPM側の syscomユーザの公開鍵を取得
SVPM側の公開鍵を syscomユーザへ登録
手順1.は rootユーザでログインして実施し、手順3.以降は syscomユーザでログインして実施します。
手順5.では、SVPM側の syscomユーザのパスワードが必要になります。
ここでは、syscomユーザのホームディレクトリが /home/syscom、装置を二重化したSVPMのノード名が svpm0、svpm1 の場合を例に説明します。
設定手順
rootユーザの鍵ファイルを生成します。
本操作は rootユーザでログインして行ってください。以下のコマンドを実行します。
# ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Created directory '/root/.ssh'. Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. : :
これにより、/root/.ssh/に下記2つのファイルが生成されます。
id_rsa(秘密鍵)
id_rsa.pub(公開鍵)
作成された/root/.ssh/ディレクトリ、および配下の id_rsaファイル(秘密鍵)に、パーミッションを設定します。
# chmod 700 /root/.ssh # chmod 600 /root/.ssh/id_rsa
作成された/root/.ssh/id_rsa.pubファイル(公開鍵)を、syscomユーザのホームディレクトリにコピーします(コピーしたファイルは手順6.で使用します)。
# cp /root/.ssh/id_rsa.pub /home/syscom
rootユーザの公開鍵を運用管理サーバに登録します。
本操作は rootユーザでログインして行ってください。以下のコマンドを実行します。
# cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys # chmod 600 /root/.ssh/authorized_keys
syscomユーザの鍵ファイルを生成します。
本操作は syscomユーザでログインして行ってください。以下のコマンドを実行します。
$ ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/home/syscom/.ssh/id_rsa): Created directory '/home/syscom/.ssh'. Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/syscom/.ssh/id_rsa. : :
これにより、/home/syscom/.ssh/に下記2つのファイルが生成されます。
id_rsa(秘密鍵)
id_rsa.pub(公開鍵)
作成された/home/syscom/.ssh/ディレクトリ、および配下の id_rsaファイル(秘密鍵)に、パーミッションを設定します。
$ chmod 700 /home/syscom/.ssh $ chmod 600 /home/syscom/.ssh/id_rsa
syscomユーザの公開鍵を運用管理サーバに登録します。
本操作は syscomユーザでログインして行ってください。以下のコマンドを実行します。
# cat /home/syscom/.ssh/id_rsa.pub >> /home/syscom/.ssh/authorized_keys # chmod 600 /home/syscom/.ssh/authorized_keys
syscomユーザの公開鍵をSVPM側へ転送し登録します。
本操作は syscomユーザでログインして行ってください。以下のコマンドを実行します。
$ cat /home/syscom/.ssh/id_rsa.pub | ssh svpm0 'cat >> .ssh/authorized_keys' $ cat /home/syscom/.ssh/id_rsa.pub | ssh svpm1 'cat >> .ssh/authorized_keys'
以下のメッセージが表示された場合は、yes を入力してください。
Are you sure you want to continue connecting (yes/no)?
また、パスワードの入力要求に対しては、SVPM側の syscomユーザのパスワードを入力してください。
参照
運用管理サーバの環境がRed Hat Enterprise Linux 9で、sshコマンドが異常終了した場合
運用管理サーバの導入環境がRed Hat Enterprise Linux 9、かつ、sshコマンドが暗号化に関するメッセージを出力して異常終了した場合は、後述の対処を実施してください。
出力されるメッセージの例
ssh_dispatch_run_fatal: Connection to %1 port 22: error in libcrypto
Unable to negotiate with %1 port 22: no matching key exchange method found. Their offer: gss-group1-sha1-to...
%1:sshコマンドに指定したSVPMのノード名
[対処方法]
Red Hat Enterprise Linux 9では、署名の暗号化に使用されるSHA-1アルゴリズムが非推奨となり、デフォルトではシステムの暗号化ポリシーで無効化されています。この場合、SHA-1アルゴリズムの署名を使用する古い版数のSVPMへのssh接続に失敗します。
以下の方法で運用管理サーバの暗号化ポリシーを確認し、SHA-1が無効な場合は有効化してください。
なお、本操作はrootユーザでログインして行ってください。
以下のコマンドを実行し、システムの暗号化ポリシーを確認します。
update-crypto-policies --show
表示された暗号化ポリシーが「LEGACY」以外、かつ「:SHA1」を含んでいない場合、SHA-1は無効化されています。
以下のコマンドを実行し、システムの暗号化ポリシーにSHA1サブポリシーを適用します。
update-crypto-policies --set %1:SHA1
%1:手順1.のコマンドで表示された暗号化ポリシー
実行例) 手順1.で表示された暗号化ポリシーが「DEFAULT」の場合
# update-crypto-policies --set DEFAULT:SHA1 Setting system policy to DEFAULT:SHA1 Note: System-wide crypto policies are applied on application start-up. It is recommended to restart the system for the change of policies to fully take place.
システムを再起動します。
rootユーザの公開鍵をSVPM側へ転送し登録します。
本操作は syscomユーザでログインして行ってください。以下のコマンドを実行し、手順1.で syscomユーザのホームディレクトリにコピーした rootユーザの公開鍵をSVPM側へ転送します。
$ scp /home/syscom/id_rsa.pub svpm0:/syscom/tmp $ scp /home/syscom/id_rsa.pub svpm1:/syscom/tmp
以下のコマンドを実行し、転送した公開鍵を登録します。
$ ssh svpm0 setsshkey -f /syscom/tmp/id_rsa.pub $ ssh svpm1 setsshkey -f /syscom/tmp/id_rsa.pub
なお、上記コマンドにより、運用管理サーバの rootユーザの公開鍵がSVPMに登録されるとともに、SVPM側の syscomユーザの公開鍵が生成されます。
注意
setsshkeyコマンドが異常終了した場合
setsshkeyコマンドが以下のいずれかのメッセージを出力して異常終了した場合は、後述の対処を実施してください。
[メッセージ]
%1 file not found. |
%1:-fオプションに指定したファイル名
/bin/cp %1 /syscom/tmp/id_rsa_root%2.pub Command failed. |
%1:rootユーザの公開鍵ファイル %2:基本部番号 #0/1
[対処]
-fオプションに指定したファイル名が間違っていないか確認してください。
正しいrootユーザの公開鍵ファイルをSVPM側に転送しているか確認してください。
rootユーザの公開鍵ファイルに設定したパーミッションが正しいか確認してください。
なお、上記以外のメッセージが出力された場合は、CEに連絡してください。
SVPM側の syscomユーザの公開鍵を取得します。
本操作は syscomユーザでログインして行ってください。以下のコマンドを実行し、手順6.で生成されたSVPM側の syscomユーザの公開鍵を取得します。
$ scp svpm0:/syscom/tmp/id_rsa_base0.pub /tmp $ scp svpm1:/syscom/tmp/id_rsa_base1.pub /tmp
※装置を二重化したSVPMの基本部#0と基本部#1とで、SVPM側の公開鍵のファイル名が異なるため注意してください。
SVPM側の公開鍵を syscomユーザへ登録します。
本操作は syscomユーザでログインして行ってください。以下のコマンドを実行します。
$ cat /tmp/id_rsa_base0.pub >> /home/syscom/.ssh/authorized_keys $ cat /tmp/id_rsa_base1.pub >> /home/syscom/.ssh/authorized_keys $ chmod 600 /home/syscom/.ssh/authorized_keys
登録完了後、転送作業でコピーしたファイルを削除します。
$ rm -f /home/syscom/id_rsa.pub $ rm -f /tmp/id_rsa_base0.pub $ rm -f /tmp/id_rsa_base1.pub
Solaris 11以降の場合に設定が必要な項目
以下のコマンドを実行し、Solaris上に「service/network/legacy-remote-utilities」がインストールされていることを確認します。
pkg info service/network/legacy-remote-utilities
インストールされている場合は、パッケージの情報が表示されます。
パッケージの情報が表示されない場合、「service/network/legacy-remote-utilities」をインストールしてください。
以下のコマンドを実行し、rsh実行が可能になるサービスがonlineになっているか確認します。
svcs network/shell:default svcs network/login:rlogin
onlineではない場合、以下のコマンドを実行しサービスを有効にします。
svcadm enable network/shell:default svcadm enable network/login:rlogin
以下のコマンドを実行し、rexecの実行が可能になるサービスがonlineになっているか確認します。
svcs network/rexec:default
onlineでない場合、以下のコマンドを実行しサービスを有効にします。
svcadm enable network/rexec:default
以下のコマンドを実行し、Solaris上に「system/display-manager/gdm」がインストールされていることを確認します。
pkg info system/display-manager/gdm
インストールされている場合は、パッケージの情報が表示されます。
パッケージの情報が表示されない場合、GDMをインストールしてください。GDMをインストールしたあと、OSのリブートが必要です。
以下のコマンドを実行し、gdmがonlineになっているか確認してください。
svcs gdm
onlineではない場合、以下のコマンドを実行しサービスを有効にします。
svcadm enable gdm
以下のコマンドを実行し、gdmがonlineになったことを確認してください。
svcs gdm
以下のコマンドを実行し、Solaris上に「library/motif」がインストールされていることを確認します。
pkg info library/motif
インストールされている場合は、パッケージの情報が表示されます。
パッケージの情報が表示されない場合、「library/motif」をインストールしてください。
Linuxの場合に設定が必要な項目
SVPM または PC-X との接続方式を rsh にする場合に必要な設定です。
以下のコマンドを実行し、Linux上で rsh が使用できるかの確認を行います。
# systemctl is-enabled rsh.socket enabled
enabledの場合、rshはすでに有効です。
rsh が disabledの場合は、以下のコマンドを実行し rshを起動します。
# systemctl enable rsh.socket # systemctl start rsh.socket
rootユーザで rcpを使用するため、「/etc/securetty」ファイルにrcp を利用するために「rsh」を追加してください。
console (省略) rsh
SVPMの接続方式を ssh にする場合に必要な設定です。
以下のコマンドを実行し、Linux上で ssh が使用できるかの確認を行います。
# systemctl is-enabled sshd enabled
enabledの場合、sshはすでに有効です。
ssh が disabledの場合は、以下のコマンドを実行し sshを起動します。
# systemctl enable sshd # systemctl start sshd
PC-Xの接続方式を rexec にする場合に必要な設定です。
以下のコマンドを実行し、Linux上で rexec が使用できるかの確認を行います。
# systemctl is-enabled rexec.socket enabled
enabledの場合、rexecはすでに有効です。
rexec がdisabledの場合は、以下のコマンドを実行し rexecを起動します。
# systemctl enable rexec.socket # systemctl start rexec.socket
rootユーザで rexecを使用するため、「/etc/securetty」ファイルにPC-X から X Windowクライアント利用するために「rexec」を追加してください。
console (省略) rexec
Red Hat Enterprise Linux 8以降で、PC-Xの接続方式を telnet にする場合に必要な設定です。
なお、Red Hat Enterprise Linux 7でのPC-Xの接続方式は、rexecまたは rshを使用してください。
以下のコマンドを実行し、Linux上で telnet が使用できるかの確認を行います。
# systemctl is-enabled telnet.socket enabled
enabledの場合、telnetはすでに有効です。
telnet がdisabledの場合は、以下のコマンドを実行し telnetを起動します。
# systemctl enable telnet.socket # systemctl start telnet.socket
以下のコマンドを実行し、Linux上に motif がインストールされていることを確認します。
# rpm -q motif motif-‥‥‥‥‥
motifがインストールされている場合は、上記のように motifのrpmパッケージの情報(「motif-‥‥」)が表示されます。
motifがインストールされていない場合には、上記コマンドで「パッケージ motif はインストールされていません」のメッセージが表示されます。メッセージが表示された場合は、motifの rpmパッケージを追加インストールしてください。
動作確認が必要な項目(rshを使用する場合)
Solarisの場合、必ず本動作確認を行ってください。
Linuxの場合、SVPMとの接続方式を rsh にする場合は、本動作確認を行ってください。
“SVPM連携の定義”の“SVPM連携のための作業内容”のすべての作業が完了した後、rcpと rshが正しく動作することを確認してください。
以下の手順で確認を行います。
運用管理サーバで、SVPMに対して、rcpが実行できるかを以下のコマンドで確認してください。確認はrootユーザにログインしてから実施してください。
# /usr/bin/rcp xx.xx.xx.xx:/tmp/aaa yy.yy.yy.yy:/tmp/bbb
(説明)・ xx.xx.xx.xxは、SVPM(コピー元)のIPアドレスを指定
・ /tmp/aaaは、SVPM(コピー元)のファイル名を指定
・ yy.yy.yy.yyは、運用管理サーバ(コピー先)のIPアドレスを指定
・ /tmp/bbbは、運用管理サーバ(コピー先)のファイル名を指定
# (省略: 正しくファイルがコピーされていれば問題ありません。)運用管理サーバで、SVPMに対して、rshが実行できるかを以下のコマンドで確認してください。確認はrootユーザにログインしてから実施してください。
正しく動作しない場合、システム環境の定義を見直してください。
# rsh xx.xx.xx.xx ls (説明)・ xx.xx.xx.xxは、SVPMのIPアドレスを指定 bin : (省略: / ディレクトリ配下の内容が表示されれば問題ありません。)
動作確認が必要な項目(sshを使用する場合)
Linuxで、SVPMとの接続方式を ssh にする場合は、本動作確認を行ってください。
本動作確認により、sshコマンドおよびscpコマンドで必要なknown_hostsファイルへのエントリ追加を行います。
そのため必ずすべての確認を実施し、以下のメッセージが表示された場合は、yes を入力してください。
Are you sure you want to continue connecting (yes/no)?
運用管理サーバで、SVPMに対して、scpが実行できるかを以下のコマンドで確認してください。確認はrootユーザにログインしてから実施してください。
# /usr/bin/scp xx.xx.xx.xx:/tmp/aaa /tmp/bbb
(説明)・ xx.xx.xx.xxは、SVPM(コピー元)のIPアドレスを指定
・ /tmp/aaaは、SVPM(コピー元)のファイル名を指定
・ /tmp/bbbは、運用管理サーバ(コピー先)のファイル名を指定
# (省略: 正しくファイルがコピーされていれば問題ありません。)運用管理サーバで、SVPMに対して、sshが実行できるかを以下のコマンドで確認してください。確認は、rootユーザにログインしてから実施してください。
正しく動作しない場合、システム環境の定義を見直してください。
# ssh xx.xx.xx.xx ls (説明)・ xx.xx.xx.xxは、SVPMのIPアドレスを指定 bin : (省略: / ディレクトリ配下の内容が表示されれば問題ありません。)
運用管理サーバで、以下のコマンドがパスワードなしで発行できることを確認してください。確認は、rootユーザでログインしてから実施してください。
正しく動作しない場合、システム環境の定義を見直してください。
# ssh root@運用管理サーバのホスト名 ls
# ssh root@運用管理サーバのIPアドレス ls
運用管理サーバで、以下のコマンドがパスワードなしで発行できることを確認してください。確認は、syscomユーザでログインしてから実施してください。
正しく動作しない場合、システム環境の定義を見直してください。
# ssh syscom@運用管理サーバのホスト名 ls
# ssh syscom@運用管理サーバのIPアドレス ls
# ssh syscom@SVPMのIPアドレス ls