Gestion de l'accès au shell sécurisé dans Oracle® Solaris 11.2

Quitter la vue de l'impression

Mis à jour : Septembre 2014
 
 

Administration à distance de ZFS avec le shell sécurisé

Par défaut, le rôle root ne peut se connecter à distance à l'aide de Shell sécurisé. Auparavant, root utilisait Shell sécurisé pour des tâches importantes, telles que l'envoi de données de pool ZFS sur un stockage situé sur un système distant. Dans cette procédure, le rôle root crée un utilisateur qui peut agir en tant qu'administrateur ZFS distant.

Avant de commencer

Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

  1. Créez l'utilisateur sur les deux systèmes.

    Par exemple, créez l'utilisateur zfsroot et fournissez un mot de passe.

    source # useradd -c "Remote ZFS Administrator" -u 1201 -d /home/zfsroot zfsroot
    source # passwd zfsroot
    Enter password:
    Retype password:
    #
    dest # useradd -c "Remote ZFS Administrator" -u 1201 -d /home/zfsroot zfsroot
    dest # passwd zfsroot
    ...

    L'utilisateur zfsroot doit être défini de manière identique sur les deux systèmes.

  2. Créez la paire de clés de l'utilisateur pour l'authentification Shell sécurisé.

    La paire de clé est créée sur le système source. Ensuite, la clé publique est copiée sur l'utilisateur zfsroot sur le système de destination.

    1. Générez la paire de clés et placez-la dans le fichier id_migrate.
      # ssh-keygen -t rsa -P "" -f ~/id_migrate
      Generating public/private rsa key pair.
      Your identification has been saved in /root/id_migrate.
      Your public key has been saved in /root/id_migrate.pub.
      The key fingerprint is:
      3c:7f:40:ef:ec:63:95:b9:23:a2:72:d5:ea:d1:61:f0 root@source
    2. Envoyez la partie publique de la paire de clés au système de destination.
      # scp ~/id_migrate.pub zfsroot@dest:
      The authenticity of host 'dest (10.134.76.126)' can't be established.
      RSA key fingerprint is 44:37:ab:4e:b7:2f:2f:b8:5f:98:9d:e9:ed:6d:46:80.
      Are you sure you want to continue connecting (yes/no)? yes
      Warning: Permanently added 'dest,10.134.76.126' (RSA) to the list of known hosts.
      Password:
      id_migrate.pub 100% |*****************************| 399 00:00
  3. Sur les deux systèmes, affectez le profil de droits ZFS File Management (gestion des fichiers ZFS) à zfsroot.
    source # usermod -P +'ZFS File System Management' -S files zfsroot
    dest # usermod -P +'ZFS File System Management' -S files zfsroot
  4. Vérifiez que le profil de droits est affecté au système de destination.
    dest # profiles zfsroot
    zfsroot:
    ZFS File System Management
    Basic Solaris User
    All
  5. Sur le système de destination, déplacez la partie publique de la paire de clés dans le répertoire /home/zfsroot/.ssh privé.
    root@dest # su - zfsroot
    Oracle Corporation      SunOS 5.11      11.1    May 2012
    zfsroot@dest $ mkdir -m 700 .ssh
    zfsroot@dest $ cat id_migrate.pub >> .ssh/authorized_keys
  6. Vérifiez que la configuration fonctionne.
    root@source# ssh -l zfsroot -i ~/id_migrate dest \
    pfexec /usr/sbin/zfs snapshot zones@test
    root@source# ssh -l zfsroot -i ~/id_migrate dest \
    pfexec /usr/sbin/zfs destroy zones@test
  7. (Facultatif) Assurez-vous que vous pouvez créer un instantané et répliquez les données.
    root@source# zfs snapshot -r rpool/zones@migrate-all
    root@source#  zfs send -rc rpool/zones@migrate-all | \
    ssh -l zfsroot -i ~/id_migrate dest pfexec /usr/sbin/zfs recv -F zones
  8. (Facultatif) Supprimez la possibilité d'utiliser le compte zfsroot pour l'administration de ZFS.
    root@dest# usermod -P -'ZFS File System Management' zfsroot
    root@dest#  su - zfsroot
    zfsroot@dest#  cp .ssh/authorized_keys .ssh/authorized_keys.bak
    zfsroot@dest#  grep -v root@source .ssh/authorized_keys.bak> .ssh/authorized_keys