Verrouillage et chargement

gérés. Pour les autres plates-formes, il existe un choix de produits gratuits et commerciaux (voir l’encadré « Ressources SSH » ci-dessous, pour les sources de logiciel SSH). Les instructions d’installation varient selon le package, mais tous sont faciles à installer. Les instructions d’installation d’OpenSSH sur i5/OS suivent, mais il faut aussi installer SSH sur un client Windows ou Unix pour fournir un client de test à connecter votre serveur SSH iSeries.

Pour l’iSeries, il faut i5/OS V3.5, PASE (Portable Applications Solutions Environment) d’IBM et le récent Portable Utilities for i5/OS (5733-SC1). PASE et Portable Utilities sont tous deux gratuits. L’installation de PASE est simple et directe : il suffit d’exécuter l’option 33 du programme sous licence i5/OS à partir du média d’installation de i5/OS V3.5. Vous pourrez ensuite installer le package Portable Utilities à l’aide des commandes RSTLICPGM (Restore License Program) suivantes :

RSTLICPGM LICPGM(5733SC1)
DEV(OPTxx) OPTION(*BASE)
RSTOBJ(*ALL) + LNG(2924)

RSTLICPGM LICPGM(5733SC1)
DEV(OPTxx) OPTION(1)
RSTOBJ(*PGM)

Cela installe les programmes OpenSSH ssh, sftp, scp, sshkeygen, ssh-agent et shhd. Cela crée également le répertoire suivant, qui contient les fichiers de paramétrage d’OpenSSH.

/QOpenSys/QIBM/UserData/SC1OpenSSH/openssh-3.5p1/etc/

Pour les fonctions SSH de base, vous pouvez ignorer sans problème ce répertoire. Vous n’aurez à manipuler les fichiers qui y sont stockés que pour des opérations SSH avancées.

L’étape suivante consiste à générer les clés puis à démarrer le serveur OpenSSH. Cela doit être fait sous un ID utilisateur qui possède l’autorité spéciale *ALLOBJ.

SSH utilise le cryptage par clés publiques pour établir des tunnels sécurisés. A cet effet, il faut que trois clés uniques soient liées à votre hôte iSeries : une clé RSA version 1 pour la compatibilité avec les anciennes implémentations version 1 SSH et des clés DSA/RSA pour SSH version 2. Vous génèrerez ces clés à l’aide de l’utilitaire OpenSSH ssh-keygen:

ssh-keygen -t rsa1 -f /
QOpenSys/QIBM/UserData/
SC1/OpenSSH/openssh-3.5p1/
etc/ssh_host_key -N ""
ssh-keygen -t dsa -f /
QOpenSys/QIBM/UserData/
SC1/OpenSSH/openssh-3.5p1/
etc/ssh_host_dsa_key -N ""
ssh-keygen -t rsa -f /
QOpenSys/QIBM/UserData/
SC1/OpenSSH/openssh-3.5p1/
etc/ssh_host_rsa_key -N ""

L’argument de l’option -N cidessus est une chaîne null : deux signes guillemets doubles adjacents.

Normalement, cet argument spécifie une phrase « pass », mais pour les clés hôte SSH, cette phrase doit être null. Les phrases pass ne sont utilisées pour les clients SSH que quand on stocke des clés privées en remplacement de mots de passe.

Selon la vitesse de votre machine, l’exécution de ces commandes peut prendre d’une poignée de secondes à quelques minutes. Une fois ces commandes exécutées, ouvrez le répertoire des paramètres IFS (integrated file system) et vérifiez que les trois clés ont été créées : ssh_host_ key.pub, ssh_host_dsa_key. pub et ssh_ host_rsa_key.pub.

Vous voilà prêts à lancer le serveur OpenSSH, appelé sshd (pour SSH Daemon). Toujours détenteurs de l’autorité *ALLOBJ, exécutez la commande

call pgm(qp2shell) parm( ‘/QOpenSys/usr/sbin/sshd’)

Pour vérifier que le serveur SSH est en activité, regardez si un écouteur TCP/IP est actif sur le port 22.

Utilisez la commande NETSTAT, option 3, Work with TCP/IP Connection Status. Appuyez sur F14 pour afficher les numéros de ports dans la colonne Local Port et recherchez une ligne avec le port 22 et l’état Listen. Si vous passez ce test, vous êtes prêts à réaliser votre première connexion SSH !

Et maintenant, un test plus radical. Sur la machine client SSH que vous avez instaurée précédemment, ouvrez un shell de commande SSH vers votre machine iSeries. Voici une commande SSH classique à cet effet

ssh -l jdoe 10.2.2.1

L’option -l (pour login) spécifie votre nom d’utilisateur iSeries qui ne peut pas dépasser huit caractères.

Vous pouvez aussi employer l’autre syntaxe username@iserieshost- name (par exemple, jdoe@ 10.2.2.1), qui n’est pas une adresse e-mail mais simplement une autre manière d’indiquer la combinaison ID utilisateur/nom de serveur. Le mot de passe de l’utilisateur vous sera demandé. Entrez-le et vous vous retrouverez sur une ligne de commande i5/OS PASE, comme si vous vous étiez connecté au moyen d’un terminal directement relié. Mais avec une différence de taille :

la connexion entre votre client et l’iSeries est fortement cryptée et à l’abri des regards indiscrets.