Administration à distance de ZFS avec le shell sécurisé

Par défaut, le rôle root ne peut se connecter à distance à l'aide de Shell sécurisé. Auparavant, root utilisait Shell sécurisé pour des tâches importantes, telles que l'envoi de données de pool ZFS sur un stockage situé sur un système distant. Dans cette procédure, le rôle root crée un utilisateur qui peut agir en tant qu'administrateur ZFS distant.

Avant de commencer

Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

1. Créez l'utilisateur sur les deux systèmes.

   Par exemple, créez l'utilisateur zfsroot et fournissez un mot de passe.

   source # useradd -c "Remote ZFS Administrator" -u 1201 -d /home/zfsroot zfsroot
   source # passwd zfsroot
   Enter password:
   Retype password:
   #

   dest # useradd -c "Remote ZFS Administrator" -u 1201 -d /home/zfsroot zfsroot
   dest # passwd zfsroot
   ...

   L'utilisateur zfsroot doit être défini de manière identique sur les deux systèmes.

2. Créez la paire de clés de l'utilisateur pour l'authentification Shell sécurisé.

   La paire de clé est créée sur le système source. Ensuite, la clé publique est copiée sur l'utilisateur zfsroot sur le système de destination.

   1. Générez la paire de clés et placez-la dans le fichier id_migrate.

      # ssh-keygen -t rsa -P "" -f ~/id_migrate
      Generating public/private rsa key pair.
      Your identification has been saved in /root/id_migrate.
      Your public key has been saved in /root/id_migrate.pub.
      The key fingerprint is:
      3c:7f:40:ef:ec:63:95:b9:23:a2:72:d5:ea:d1:61:f0 root@source

   2. Envoyez la partie publique de la paire de clés au système de destination.

      # scp ~/id_migrate.pub zfsroot@dest:
      The authenticity of host 'dest (10.134.76.126)' can't be established.
      RSA key fingerprint is 44:37:ab:4e:b7:2f:2f:b8:5f:98:9d:e9:ed:6d:46:80.
      Are you sure you want to continue connecting (yes/no)? yes
      Warning: Permanently added 'dest,10.134.76.126' (RSA) to the list of known hosts.
      Password:
      id_migrate.pub 100% |*****************************| 399 00:00

3. Sur les deux systèmes, affectez le profil de droits ZFS File Management (gestion des fichiers ZFS) à zfsroot.

   source # usermod -P +'ZFS File System Management' -S files zfsroot
   dest # usermod -P +'ZFS File System Management' -S files zfsroot

4. Vérifiez que le profil de droits est affecté au système de destination.

   dest # profiles zfsroot
   zfsroot:
   ZFS File System Management
   Basic Solaris User
   All

5. Sur le système de destination, déplacez la partie publique de la paire de clés dans le répertoire /home/zfsroot/.ssh privé.

   root@dest # su - zfsroot
   Oracle Corporation      SunOS 5.11      11.1    May 2012
   zfsroot@dest $ mkdir -m 700 .ssh
   zfsroot@dest $ cat id_migrate.pub >> .ssh/authorized_keys

6. Vérifiez que la configuration fonctionne.

   root@source# ssh -l zfsroot -i ~/id_migrate dest \
   pfexec /usr/sbin/zfs snapshot zones@test
   root@source# ssh -l zfsroot -i ~/id_migrate dest \
   pfexec /usr/sbin/zfs destroy zones@test

7. (Facultatif) Assurez-vous que vous pouvez créer un instantané et répliquez les données.

   root@source# zfs snapshot -r rpool/zones@migrate-all
   root@source#  zfs send -rc rpool/zones@migrate-all | \
   ssh -l zfsroot -i ~/id_migrate dest pfexec /usr/sbin/zfs recv -F zones

8. (Facultatif) Supprimez la possibilité d'utiliser le compte zfsroot pour l'administration de ZFS.

   root@dest# usermod -P -'ZFS File System Management' zfsroot
   root@dest#  su - zfsroot
   zfsroot@dest#  cp .ssh/authorized_keys .ssh/authorized_keys.bak
   zfsroot@dest#  grep -v root@source .ssh/authorized_keys.bak> .ssh/authorized_keys