マスターサーバーで SSH の設定とテストを完了したあと、マスターサーバー が SSH を使用して接続できるように N1 Service Provisioning System 5.1 内のその他のマシンを構成します。
マスターサーバーからリモートエージェントの方向へ向かって N1 Service Provisioning System 5.1 ネットワーク内をたどり、中間的なローカルディストリビュータを検出順に構成することにより、SSH 構成を完了しておく必要があります。基本的に、これはツリーネットワークを先行順にトラバースする処理です。
例として、マスターサーバー (MS)、ローカルディストリビュータ (LD1、LD2、LD3)、リモートエージェント (RA1、RA2、RA3、RA4) から構成された次のようなネットワークを考えてみましょう。
MS | \ | \ | \ LD1 LD2 | \ \ | \ LD3 | \ |\ | | | \ | | | \ | | | \ RA1 RA2 RA3 RA4 |
LD1、RA1、RA2、LD2、LD3、RA3、RA4 の順でネットワークを構成します。この順序を厳密に守り、1 つのマシンの構成を完了してから次のマシンに進みます。
マスターサーバー ブラウザインタフェースを使用し、構成するマシンの「Host Details」ページを表示します。
そのマシンにどのアプリケーションを構成するかに応じて、ローカルディストリビュータセクションまたはリモートエージェントセクションに接続の詳細情報を追加します。
接続タイプを ssh と指定します。
「Advanced Parameters」フィールドに次のテキストを追加します。
cprefix=/N1SPS5.1-Home/application |
N1SPS5.1–Home には、アプリケーションのホームディレクトリを指定します。application には、agent (リモートエージェントを構成している場合) または ld (ローカルディストリビュータを構成している場合) と指定します。
たとえば、N1 Service Provisioning System 5.1 が /opt/SUNWn1sps/N1_Service_Provisioning_System_5.1/ にインストールされる場合で、リモートエージェントを構成しているときは、「Advanced Parameters」フィールドに次のテキストを追加します。
cprefix=/opt/SUNWn1sps/N1_Service_Provisioning_System_5.1/agent |
ホストの詳細情報を保存します。
このマシンでリモートエージェントインスタンスまたはローカルディストリビュータインスタンスが実行されていないことを確認します。
このアプリケーションインスタンスの「Host Details」ページで「Test Connection」をクリックします。
この作業を、ネットワーク内のマシンごとに繰り返します。
この作業は、CLI Client が ssh-agent を使用して SSH 接続を行うように構成する場合に行なってください。
マスターサーバーと、CLI Client のインストール先であるマシンで、新しい OS ユーザーアカウントを作成します。
このアカウントは、マスターサーバー、ローカルディストリビュータまたはリモートエージェントのインストール時に指定したアカウントとは別のものでなければなりません。
先のステップで作成した新しいユーザーでマスターサーバー にログインします。
「鍵ペアを作成する」の手順に従って、作成した新規ユーザー用の公開鍵と非公開鍵を生成します。
マスターサーバー、ローカルディストリビュータ、リモートエージェント間の通信用として生成した鍵を再利用することはできません。
マスターサーバーで、非公開鍵ファイルを安全なメディアにコピーします。
% cp /User-home/.ssh/id_rsa path-to-file/.ssh/id_rsa |
User-home には、現在ログインしているユーザーのマスターサーバーマシン上のホームディレクトリを指定します。path-to-file/ には、非公開鍵ファイルを保存する安全なメディアのパスを指定します。
ローカルファイルシステムから非公開鍵ファイルを削除します。
% rm /User-home/.ssh/id_rsa |
マスターサーバーで、そのユーザーの /.ssh/authorized_keys2 ファイルに公開鍵を連結します。
% cat /User-home/.ssh/id_rsa.pub >> /HOME-MS/.ssh/authorized_keys2 |
User-home には、マスターサーバーマシン上のホームディレクトリを指定します。
先に作成した新規ユーザーのアカウントで、CLI Client マシンにログインします。
ssh-agent を起動します。
% ssh-agent > /User-home/.ssh/agent_vars |
User-home には、現在ログインしているユーザーの CLI Client マシン上のホームディレクトリを指定します。
.profile、 .cshrc、または .bash_profile ファイルに次の行を追加します。
. /User-home/.ssh/agent_vars |
User-home には、CLI Client マシン上のホームディレクトリを指定します。
マスターサーバーからログアウトし、ログインし直します。
生成した非公開鍵をアップロードします。
% ssh-add path-to-file/ |
path-to-file/ には、非公開鍵ファイルを保存した安全なメディアのパスを指定します。
以上の操作で、CLI Client はマスターサーバーに接続する時の認証に SSH と ssh-agent を使用するようになります。
ローカルホストからの接続だけを受け入れるように、マスターサーバーを構成します。手順については、「JVM セキュリティーポリシーの構成」を参照してください。
ssh-agent を停止する場合は、CLI Client 上で次のコマンドを実行します。
% eval `ssh-agent –k >User-home/.ssh/agent_vars` |
User-home には、現在ログインしているユーザーの CLI Client マシン上のホームディレクトリを指定します。
この作業は、CLI Client が空のパスワードを使用して SSH 接続を行うように構成する場合に行なってください。
マスターサーバーと、CLI Client のインストール先であるマシンで、新しい OS ユーザーアカウントを作成します。
このアカウントは、マスターサーバー、ローカルディストリビュータ、またはリモートエージェントのインストール時に指定したアカウントとは別のものでなければなりません。
先のステップで作成した新しいユーザーで、CLI Client マシンにログインします。
「鍵ペアを作成する」の手順に従って、作成した新規ユーザー用の公開鍵と非公開鍵を生成します。
マスターサーバー 、ローカルディストリビュータ、リモートエージェント間の通信用として生成した鍵を再利用することはできません。
CLI Client 上で、マスターサーバーマシン上にある新しいユーザーの authorized_keys2 ファイルに公開鍵ファイルをコピーします。
% cp User-home-CLI/.ssh/id_rsa.pub User-home-MS/.ssh/id_rsa.pub |
User-home-CLI には、CLI Client マシン上のホームディレクトリを指定します。User-home-MS には、マスターサーバーマシン上のホームディレクトリを指定します。
マスターサーバーで公開鍵をそのユーザーの /.ssh/authorized_keys2 ファイルに連結します。
% cat /User-home/.ssh/id_rsa.pub >> /User-home/.ssh/authorized_keys2 |
User-home には、現在ログインしているユーザーの マスターサーバーマシン上のホームディレクトリを指定します。
先に作成した新規ユーザーのアカウントで、CLI Client マシンにログインします。
SSH 接続をテストします。
% ssh IP-Address-MS set |
IP-Address-MS には、マスターサーバーマシンの IP アドレスを指定します。
ここで、鍵の交換をするかどうかを尋ねるメッセージが表示されることがあります。
このメッセージが表示された場合は、「yes」と答えます。
PATH 変数が正しく設定されているか確認します。
PATH 変数には、 /bin, /usr/bin、およびユーザー環境の一部であるそのほかのあらゆるディレクトリが含まれている必要があります。
ローカルホストからの接続だけを受け入れるように、マスターサーバーを構成します。手順については、「JVM セキュリティーポリシーの構成」を参照してください。