この節では、N1 Service Provisioning System 5.1 で SSH を使用する前に実施すべき SSH の初期設定とテストについて説明します。 ssh-agent を使用する場合は、設定とテストの作業を開始する前に ssh-agent を起動する必要があります。
この作業は、ssh-agent を使用する場合にのみ行います。この作業は、マスターサーバーを起動する前に行なってください。
次の設定作業で使用する ssh、ssh-add、および cr_server start の SSH 設定コマンドは、すべて ssh-agent の起動に使用したセッションで実行する必要があります。このセッションが終了している場合は、稼働している ssh-agent プログラムを停止し、新しい ssh-agent プログラムを起動しなければなりません。
ssh-agent を起動します。
% eval `ssh-agent` |
ssh-agent が起動し、このプログラムによって 2 つの環境変数が設定されます。 SSH_AUTH_SOCK と SSH_AGENT_PID は、ssh-agent に接続するために ssh と ssh-add によって使用されます。
生成した非公開鍵をアップロードします。
% ssh-add path-to-file/ |
path-to-file/ には、非公開鍵ファイルを保存した安全なメディアのパスを指定します。
パスワードを指定するようにメッセージが表示されます。
鍵を生成した際に作成したパスワードを指定します。
ssh-agent は、コマンド eval `ssh-agent –k` を実行して停止できます。
このコマンドは、SSH_AGENT_PID 変数を使用して ssh-agent プロセスに信号を送り、このプロセスを停止します。また、ssh-agent の起動時に設定された環境変数の解除も行います。
ssh-agent を使用する場合は、「マスターサーバーで ssh-agent を起動する」 の操作説明に従って、必ず ssh-agent を起動してください。
設定作業はセッションに依存します。このため、SSH コマンド、ssh、ssh-add、および cr_server start はすべて ssh-agent の起動時に使用したセッションで実行する必要があります。このセッションが終了している場合は、稼働している ssh-agent プログラムを停止し、新しい ssh-agent プログラムを起動しなければなりません。また、非公開鍵もアップロードする必要もあります。
SSH の接続経路をテストします。
% ssh target-host-IP set % ssh -A -t target-host-IP ls -l |
-A オプションは、 ssh-agent を使用する場合にのみ使用してください。target-host-IP には、このマシンの接続先となるマシンの IP アドレスを指定します。
例として、マスターサーバー (MS)、ローカルディストリビュータ (LD1、LD2、LD3)、リモートエージェント (RA1、RA2、RA3、RA4) から構成された次のようなネットワークを考えてみましょう。
MS | \ | \ | \ LD1 LD2 | \ \ | \ LD3 | \ |\ | | | \ | | | \ | | | \ RA1 RA2 RA3 RA4 |
このネットワーク例では、マスターサーバー上で次のコマンドを実行し、LD1、LD2、RA1、RA2、RA3、RA4 をネットワーク上のローカルディストリビュータとリモートエージェントの IP アドレスに置き換えることにより、SSH 接続経路をテストします。
% ssh -A -t LD1 ssh -t RA1 set % ssh -A -t LD1 ssh -t RA2 set % ssh -A -t LD2 ssh -A -t LD3 ssh -t RA3 set % ssh -A -t LD2 ssh -A -t LD3 ssh -t RA4 set |
これらのコマンドは、SSH を使用してダウンストリームマシンに接続する場合にマスターサーバーが使用する経路をたどります。各コマンドを実行することで、SSH は引数として指定されたマシンとの通信に必要なホスト鍵を交換できます。
SSH は、ホスト鍵の交換を許可するかどうかを尋ねるメッセージを表示します。
各メッセージに「yes」と答えます。
すべてのコマンドの出力を検証し、環境変数が正しく設定されているか確認します。
PATH 変数には、ユーザー環境の一部であるディレクトリ (/bin、/usr/bin など) が設定されていなければなりません。
SSH の接続経路をもう一度テストします。
手順 1 と同じコマンドを使用して接続経路をテストし直し、情報の入力を求めるプロンプトが表示されないことを確認します。
鍵のどれかを変更する場合は、必要に応じてこの作業を再度行なってください。サーバーの設定によっては、マシンのどれかをリブートするたびにこの作業を行わなければならないこともあります。