Amministrazione di gruppi host › Processo di implementazione di gruppo host › Creazione di una relazione di trust per un host remoto a cui fa riferimento un gruppo host

Creazione di una relazione di trust per un host remoto a cui fa riferimento un gruppo host

Un host remoto è un host a cui fa riferimento un gruppo host. Il gruppo host è configurato su un host con un agente. Generalmente l'host remoto non dispone di alcun agente. Per uilizzare come destinazione un host remoto è necesario che un operatore del processo disponga della connettività SSH tra un host agente e l'host remoto di riferimento.

Stabilire una connessione SSH utilizzando uno dei metodi seguenti:

• Creare una relazione di trust tra l'host agente e l'host remoto. Questo metodo crea una coppia di chiavi pubblica/privata.
• Creare un account utente sull'host remoto. Questo metodo crea le credenziali.

Quando si creano un account utente e una relazione di trust, il prodotto utilizza la relazione di trust come meccanismo di backup. Se l'autenticazione non avviene correttamente per le credenziali configurate, il prodotto esegue l'autenticazione con la coppia di chiavi.

Generare una coppia di chiavi con il programma SSH-keygen. Salvare la chiave privata nel percorso chiavi SSH configurato, quindi copiare la chiave pubblica in ciascun host remoto a cui fa riferimento il gruppo host. Collocare il file di chiave pubblica in una posizione individuabile dal daemon SSH. Il daemon OpenSSH, sshd, cerca la chiave in /home/user_name/.ssh/authorized_keys.

È possibile creare una relazione di trust per un host remoto a cui fa riferimento un gruppo host.

Attenersi alla procedura seguente:

1. Accedere all'host che contiene l'agente in cui è definito il gruppo host.
2. Aprire un prompt dei comandi e modificare le directory con un percorso da cui generare la coppia di chiavi.

   Ad esempio, se OpenSSH è stato scaricato in un sistema Windows, modificare la directory in C:\Program Files\OpenSSH\bin contenente il programma ssh-keygen.

3. Generare una coppia di chiavi con il comando seguente:

   ssh-keygen -t dsa -b 1024 -f user_name
   

   user_name

   Definisce il valore configurato come Nome utente remoto nel gruppo host.

   Il messaggio e il prompt seguenti vengono visualizzati:

   Generare la coppia di chiavi dsa pubblica/privata.
   

   Immettere la passphrase <empty for no passphrase>:
   

4. Immettere il valore configurato come Password remota nel gruppo host. Questo valore è obbligatorio.

   Viene visualizzato il prompt seguente:

   Immettere la stessa passphrase:
   

5. Immettere di nuovo il valore della password remota.

   Vengono visualizzati i messaggi seguenti:

   L'identificazione è stata salvata in user_name.
   

   Il file della chiave pubblica è stato salvato in user_name.pub.
   

   L'impronta digitale della chiave è:
   

   fingerprint_string login_name@host_name
   

   Il prodotto crea il file di chiave privata denominato user_name e il file di chiave pubblica denominato user_name.pub. La passphrase per il file di chiave è uguale alla password dell'account utente utilizzato per l'accesso SSH.

6. Spostare il file di chiave privata denominato user_name nella posizione configurata come Percorso chiavi SSH nel gruppo host. Ad esempio:
   • Windows: C:\PAM\Sshkeys
   • UNIX: /home/PAM/Sshkeys
7. Trasferire il file di chiave pubblica (user_name.pub) su ogni host a cui fa riferimento il gruppo host e spostarlo in una posizione individuabile dal daemon SSH.

   Daemon SSH differenti seguono convenzioni diverse. Esaminare le opzioni ssh-keygen per i requisiti di formattazione del file di chiave pubblica.

8. Per OpenSSH, aggiungere la chiave pubblica da user_name.pub al file che contiene tutte le chiavi autorizzate impiegate dall'host. Il daemon OpenSSH (sshd) cerca il file authorized_keys. Il file authorized_keys deve trovarsi nella directory .ssh, nel percorso della directory principale.
   1. Eseguire il seguente comando su ogni host a cui fa riferimento il gruppo host:

      cat user_name.pub >> home/user_name/.ssh/authorized_keys
      

   2. Portare gli utenti alla directory principale e riavviare il servizio ssh:

      directory principale
      

      riavvio del servizio sshd
      

9. Verificare che l'accesso sia stabilito. Accedere all'host con l'agente e all'ssh all'host remoto. Se l'accesso riesce, la relazione di trust è stabilita. Immettere il comando seguente dall'host agente:

   ssh user_name@remote_host
   

Ulteriori informazioni:

Processo di implementazione di gruppo host

Requisiti specifici di CA Process Automation per la connettività SSH