所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

FusionCloud 6.3.0 安全管理指南 09

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
Service OM公钥认证配置

Service OM公钥认证配置

配置Service OM服务端公私密钥对

背景信息

Service OM支持公钥认证功能,该认证为双向认证,认证方法如下:

  • SSH客户端在访问Service OM时,会验证服务端的合法性。
  • Service OM作为服务端,对发起访问的SSH客户端身份进行合法性认证。

该任务指导管理员使用OpenSSH生成服务端公钥认证的公私密钥对,该密钥对用于SSH客户端验证服务端的合法性。

前提条件
  • 准备一台安装有OpenSSH的PC机。
  • 已获取“WinSCP”和“PuTTY”工具。
  • 已获取Service OM主、备节点的管理IP地址以及galaxmanager用户的密码。
操作步骤

生成服务端公私密钥对

  1. 登录安装有OpenSSH的操作系统。
  2. 使用“ssh-keygen”命令,并根据提示生成公私密钥对。

    以Linux操作系统为例,操作如下:

    [ssh_client]$ ssh-keygen -t rsa -b 2048 
    Generating public/private rsa key pair. 
    Enter file in which to save the key (<user_home>/.ssh/id_rsa):<保持缺省值> 
    Enter passphrase (empty for no passphrase):<输入密钥口令> 
    Enter same passphrase again:<输入密钥口令> 
    Your identification has been saved in <user_home>/.ssh/id_rsa. 
    Your public key has been saved in <user_home>/.ssh/id_rsa.pub. 
    The key fingerprint is: 
    75:13:82:75:30:bf:58:24:de:1e:fe:a6:27:fc:4e:35 root@test-smc3
  3. 配置密钥文件权限,防止未授权用户的访问或修改。
    [ssh_client]$ chmod 400 ~/.ssh/id_rsa  ~/.ssh/id_rsa.pub
  4. 执行以下命令,修改生成的公钥、私钥文件名。将公钥(id_rsa.pub)文件名修改为“ssh-server.pub”,私钥(id_rsa)文件名修改为“ssh-server”。

    mv ~/.ssh/id_rsa.pub ~/.ssh/ssh-server.pub

    mv ~/.ssh/id_rsa ~/.ssh/ssh-server

更换服务端密钥证书

  1. 使用“WinSCP”工具,以“galaxmanager”用户,将公钥文件“ssh-server.pub”及私钥文件“ssh-server”拷贝至Service OM主节点的“/opt/goku/data/upload”路径下。
  2. 使用“PuTTY”工具,登录Service OM主节点。

    以“galaxmanager”用户,通过管理IP地址登录。

    “galaxmanager”用户的默认密码为“IaaS@OS-CLOUD9!”。

  3. 执行以下命令,并按提示输入“root”用户的密码,切换至“root”用户。

    su - root

    root用户的默认密码是“IaaS@OS-CLOUD8!”。

  4. 执行以下命令,防止系统超时退出。

    TMOUT=0

  5. 执行以下命令,更换证书。

    updateCa ssh

  6. 参考59,在Service OM备节点上更换证书。

配置Service OM客户端公私密钥对

背景信息

该任务指导管理员生成客户端公钥认证的公私密钥对,Service OM作为服务端,使用该密钥,对发起访问的SSH客户端(以PuTTY为例)身份进行合法性认证。

前提条件
  • 已获取“WinSCP”、“PuTTY”和“PuttyGen”工具。“PuttyGen”工具用来生成公私密钥对,可用于PuTTY、Plink、PSFP、PSCP和Pageant登录认证。
  • “PuTTY”和“PuttyGen”的版本为0.7.0或以上。
  • 已获取Service OM主、备节点的管理IP地址以及galaxmanager用户的密码。
操作步骤

生成客户端公私密钥对

  1. 运行“PuttyGen.exe”文件。
  2. 在PuttyGen界面的“Parameters”区域中选择密钥类型、设置密钥长度。为确保安全,建议使用“RSA”类型的密钥,密钥长度为“2048”,如图5-2
    图5-2 PuTTY Key Generator
  3. 单击“Generate”,开始产生密钥。可在PuttyGen界面上不断的移动鼠标以产生足够的随机数。
  4. 进入如图5-3所示界面后,在“Key comment”中输入密钥注释信息,在“Key passphrase”中输入密钥口令,并在“Confirm passphrase”中确认密钥口令。
    图5-3 密钥口令配置
  5. 单击“Save private key”,保存私钥文件。私钥文件扩展名为“*.ppk”。
  6. 单击“Save public key”,保存公钥文件。

上传公钥文件至服务端

  1. 使用“WinSCP”工具,以“galaxmanager”用户,将生成的公钥文件拷贝至Service OM主节点的“/opt/goku/data/upload”路径下。
  2. 使用“PuTTY”工具,登录Service OM主节点。

    以“galaxmanager”用户,通过管理IP地址登录。

    “galaxmanager”用户的默认密码为“IaaS@OS-CLOUD9!”。

  3. 执行以下命令,并按提示输入“root”用户的密码,切换至“root”用户。

    su - root

    root用户的默认密码是“IaaS@OS-CLOUD8!”。

  4. 执行以下命令,防止系统超时退出。

    TMOUT=0

  5. 执行以下命令,加载公钥文件。

    updateCa sshPub 公钥文件名

  6. 参考711,在Service OM备节点上传公钥文件。
后续任务

使用PuTTY以公钥认证方式登录Service OM

  1. 运行“PuTTY”工具,输入Service OM节点管理IP地址。
  2. 在“Data”中设置Service OM节点的登录用户“galaxmanager”用户,如图5-4所示。
    图5-4 Data
  3. 在“Auth”中导入私钥文件,如图5-5所示。
    图5-5 Auth
  4. 单击“Open”,根据界面提示输入密钥口令。
翻译
下载文档
更新时间:2019-01-25

文档编号:EDOC1100015665

浏览量:28376

下载量:788

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页