热门标签 | HotTags
当前位置:  开发笔记 > 运维 > 正文

AIX5.3安装Oracle11gR2SSH互信问题

在本地节点(racnode1)上,使用SCP(安全复制)或SFTP(安全FTP)将~.sshid_dsa.pub公共密钥的内容从集群中的两个Oracl

在本地节点 (racnode1) 上,使用 SCP(安全复制)或 SFTP(安全 FTP)将 ~/.ssh/id_dsa.pub 公共密钥的内容从集群中的两个 Oracl

在集群节点上配置无口令的 SSH
要配置无口令的 SSH,必须先在每个集群节点上生成 RSA 或 DSA 密钥,然后将所有集群节点成员上生成的所有密钥复制到授权密钥文件 中,该文件在每个节点上都是相同的。注意,SSH 文件必须只能由 root 用户、软件安装用户(grid、Oracle)读取,因为如果其他用户可以访问一个私钥文件,则 SSH 会忽略该文件。以下示例中使用 DSA 密钥。
对于安装时要使用的 Oracle 软件安装所有者(grid、oracle),您必须为每个所有者分别配置无口令的 SSH。
要配置无口令的 SSH,完成以下任务:
在每个节点上创建 SSH 目录并生成 SSH 密钥
在每个节点上完成以下步骤:
以软件所有者身份(此例中为 grid 用户)登录。
[root@linuxidc1 ~]# su - grid
要确保您是以 grid 登录的,,并验证用户 ID 与预期的用户 ID(即您已为 grid 用户分配的用户 ID)一致,输入 id 和 id grid 命令。确保 Oracle 用户组和用户与您当前使用的用户终端窗口进程的组和用户 ID 相同。例如:

如有必要,在 grid 用户的主目录下创建 .ssh 目录并设置相应权限,以确保仅 oracle 用户具有读写权限:
[grid@linuxidc1 ~]$ mkdir ~/.ssh
[grid@linuxidc1 ~]$ chmod 700 ~/.ssh
输入以下命令,为 SSH 协议生成 DSA 密钥对(公共密钥和私有密钥):出现提示时,接受默认的密钥文件位置和无口令短语设置(按 [Enter]):
[grid@linuxidc1 ~]$ /usr/bin/ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/home/grid/.ssh/id_dsa): [Enter]
Enter passphrase (empty for no passphrase): [Enter]
Enter same passphrase again: [Enter]
Your identification has been saved in /home/grid/.ssh/id_dsa.
Your public key has been saved in /home/grid/.ssh/id_dsa.pub.
The key fingerprint is:
7b:e9:e8:47:29:37:ea:10:10:c6:b6:7d:d2:73:e9:03grid@linuxidc1
注:Oracle Clusterware 11g 第 2 版及更高版本不支持使用口令短语的 SSH。Oracle 11g 第 2 版及更高版本必须使用无口令的 SSH。

此命令将 DSA 公共密钥写入 ~/.ssh/id_dsa.pub 文件,将私有密钥写入 ~/.ssh/id_dsa 文件。

绝不要将私钥分发给任何无权执行 Oracle 软件安装的用户。


对您想使其成为集群成员的所有其他使用 DSA 密钥的节点 (linuxidc2) 重复第 1 步到第 4 步。

将所有密钥添加到一个公共 authorized_keys 文件

现在,每个 Oracle RAC 节点都包含用于 DSA 的公共和私有密钥,您需要在其中一个节点上创建一个授权密钥文件 (authorized_keys)。授权密钥文件只是一个包含每个用户(每个节点)的 DSA 公共密钥的文件。在授权密钥文件包含了所有公共密钥后,将其分发至集群中的所有其他节点。

注:每个节点上 grid 用户的 ~/.ssh/authorized_keys 文件必须包含您在所有集群节点上生成的所有 ~/.ssh/id_dsa.pub 文件中的内容。

在集群中的一个节点上完成以下步骤以生成授权密钥文件,然后分发该文件。对于此文而言,我将使用集群中的主节点 linuxidc1:

从 linuxidc1(本地节点)中确定所有者的主目录 .ssh 中是否存在授权密钥文件 ~/.ssh/authorized_keys。大多数情况下,该文件是不存在的,因为本文假设您正在进行新的安装。如果该文件不存在,那么现在进行创建:
[grid@linuxidc1 ~]$ touch ~/.ssh/authorized_keys
[grid@linuxidc1 ~]$ ls -l ~/.ssh
total 8
-rw-r--r-- 1 grid oinstall 0 Nov 12 12:34 authorized_keys
-rw------- 1 grid oinstall 668 Nov 12 09:24 id_dsa
-rw-r--r-- 1 grid oinstall 603 Nov 12 09:24 id_dsa.pub
在 .ssh 目录中,您会看到前面生成的 id_dsa.pub 密钥以及空白文件 authorized_keys。

在本地节点 (linuxidc1) 上,使用 SCP(安全复制)或 SFTP(安全 FTP)将 ~/.ssh/id_dsa.pub 公共密钥的内容从集群中的两个 Oracle RAC 节点复制到刚才创建的授权密钥文件 (~/.ssh/authorized_keys) 中。同样,从 linuxidc1 进行该操作。系统将提示您为每个访问的 Oracle RAC 节点输入 grid OS 用户帐户口令。
以下示例是在 linuxidc1 节点上运行的,假定集群有两个节点,分别是 linuxidc1 和 linuxidc2:

[grid@linuxidc1 ~]$ ssh linuxidc1 cat ~/.ssh/id_dsa.pub >> ~/.ssh/authorized_keys
The authenticity of host 'linuxidc1 (192.168.1.151)' can't be established.
RSA key fingerprint is 2f:0d:2c:da:9f:d4:3d:2e:ea:e9:98:20:2c:b9:e8:f5.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'linuxidc1,192.168.1.151' (RSA) to the list of known hosts.
grid@linuxidc1'spassword: xxxxx

[grid@linuxidc1 ~]$ ssh linuxidc2 cat ~/.ssh/id_dsa.pub >> ~/.ssh/authorized_keys
The authenticity of host 'linuxidc2 (192.168.1.152)' can't be established.
RSA key fingerprint is 97:ab:db:26:f6:01:20:cc:e0:63:d0:d1:73:7e:c2:0a.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'linuxidc2,192.168.1.152' (RSA) to the list of known hosts.
grid@linuxidc2'spassword: xxxxx
第一次使用 SSH 从某个特定系统连接到节点时,您会看到类似以下的消息:

The authenticity of host 'linuxidc1 (192.168.1.151)' can't be established.
RSA key fingerprint is 2f:0d:2c:da:9f:d4:3d:2e:ea:e9:98:20:2c:b9:e8:f5.
Are you sure you want to continue connecting (yes/no)? yes
在该提示下输入 yes 继续。于是,会将公共主机名添加到 ~/.ssh 目录下的 known_hosts 文件中,以后再从此系统连接到相同节点时就不会看到此消息了。

此时,linuxidc1 上的授权密钥文件 (~/.ssh/authorized_keys) 中含有来自集群中各个节点的 DSA 公共密钥。
[grid@linuxidc1 ~]$ ls -l ~/.ssh
total 16
-rw-r--r-- 1 grid oinstall 1206 Nov 12 12:45 authorized_keys
-rw------- 1 grid oinstall 668 Nov 12 09:24 id_dsa
-rw-r--r-- 1 grid oinstall 603 Nov 12 09:24 id_dsa.pub
-rw-r--r-- 1 grid oinstall 808 Nov 12 12:45 known_hosts
我们现在将其复制到集群中的其余节点。在我们的双节点集群示例中,唯一剩下的节点就是 linuxidc2。使用 scp 命令将授权密钥文件复制到集群中的所有其余节点:

[grid@linuxidc1 ~]$ scp ~/.ssh/authorized_keys linuxidc2:.ssh/authorized_keys
grid@linuxidc2'spassword: xxxxx
authorized_keys 100% 1206 1.2KB/s 00:00

通过登录到节点并运行以下命令,为集群中的两个 Oracle RAC 节点更改授权密钥文件的权限:
[grid@linuxidc1 ~]$ chmod 600 ~/.ssh/authorized_keys
在集群节点上启用 SSH 用户等效性

将包含所有公共密钥的 authorized_keys 文件复制到集群中的每个节点之后,完成本节中的各个步骤以确保正确配置了集群成员节点之间的无口令 SSH 连接。在本示例中,将使用名为 grid 的 Oracle Grid Infrastructure 软件所有者。

当您运行本节中的测试 SSH 命令时,如果看到除日期和主机名之外的任何其他消息或文本,则 Oracle 安装将失败。如果任一节点提示您输入口令或口令短语,则验证节点上的 ~/.ssh/authorized_keys 文件中包含了正确的公共密钥并且您已创建了具有同样组成员关系和 ID 的 Oracle 软件所有者。进行必要的更改,以确保您在输入这些命令时只显示日期和主机名。您应当确保对生成任何输出或询问任何问题的登录脚本的任何部分进行修改,以便它们仅当 shell 是交互式 shell 时才会生效。


在您希望运行 OUI 的系统 (linuxidc1) 上,以 grid 用户身份登录。
[root@linuxidc1 ~]# su - grid

如果 SSH 配置正确,您将能够从终端对话使用 ssh 和 scp 命令,而无需提供口令或口令短语。
[grid@linuxidc1 ~]$ ssh linuxidc1 date
Fri Nov 13 09:46:56 EST 2009
linuxidc1

[grid@linuxidc1 ~]$ ssh linuxidc2 date
Fri Nov 13 09:47:34 EST 2009
linuxidc2

如果需要密码的话,检查grid文件夹的权限,两边节点目标的权限需要一致,权限太大(比如是777)则需把权限改小(如755)


推荐阅读
  • 在现代网络环境中,两台计算机之间的文件传输需求日益增长。传统的FTP和SSH方式虽然有效,但其配置复杂、步骤繁琐,难以满足快速且安全的传输需求。本文将介绍一种基于Go语言开发的新一代文件传输工具——Croc,它不仅简化了操作流程,还提供了强大的加密和跨平台支持。 ... [详细]
  • 本文介绍如何在现有网络中部署基于Linux系统的透明防火墙(网桥模式),以实现灵活的时间段控制、流量限制等功能。通过详细的步骤和配置说明,确保内部网络的安全性和稳定性。 ... [详细]
  • 本文详细介绍如何在Linux系统中配置SSH密钥对,以实现从一台主机到另一台主机的无密码登录。内容涵盖密钥对生成、公钥分发及权限设置等关键步骤。 ... [详细]
  • WinSCP: 跨Windows与Linux系统的高效文件传输解决方案
    本文详细介绍了一款名为WinSCP的开源图形化SFTP客户端,该工具支持SSH协议,适用于Windows操作系统,能够实现与Linux系统之间的文件传输。对于从事嵌入式开发的技术人员来说,掌握WinSCP的使用方法将极大提高工作效率。 ... [详细]
  • 在计算机技术的学习道路上,51CTO学院以其专业性和专注度给我留下了深刻印象。从2012年接触计算机到2014年开始系统学习网络技术和安全领域,51CTO学院始终是我信赖的学习平台。 ... [详细]
  • 本文详细介绍了如何在BackTrack 5中配置和启动SSH服务,确保其正常运行,并通过Windows系统成功连接。涵盖了必要的密钥生成步骤及常见问题解决方法。 ... [详细]
  • 1:有如下一段程序:packagea.b.c;publicclassTest{privatestaticinti0;publicintgetNext(){return ... [详细]
  • 本文详细介绍了如何在Linux系统上安装和配置Smokeping,以实现对网络链路质量的实时监控。通过详细的步骤和必要的依赖包安装,确保用户能够顺利完成部署并优化其网络性能监控。 ... [详细]
  • 如何配置Unturned服务器及其消息设置
    本文详细介绍了Unturned服务器的配置方法和消息设置技巧,帮助用户了解并优化服务器管理。同时,提供了关于云服务资源操作记录、远程登录设置以及文件传输的相关补充信息。 ... [详细]
  • 本文详细分析了Hive在启动过程中遇到的权限拒绝错误,并提供了多种解决方案,包括调整文件权限、用户组设置以及环境变量配置等。 ... [详细]
  • 从 .NET 转 Java 的自学之路:IO 流基础篇
    本文详细介绍了 Java 中的 IO 流,包括字节流和字符流的基本概念及其操作方式。探讨了如何处理不同类型的文件数据,并结合编码机制确保字符数据的正确读写。同时,文中还涵盖了装饰设计模式的应用,以及多种常见的 IO 操作实例。 ... [详细]
  • MySQL 数据库迁移指南:从本地到远程及磁盘间迁移
    本文详细介绍了如何在不同场景下进行 MySQL 数据库的迁移,包括从一个硬盘迁移到另一个硬盘、从一台计算机迁移到另一台计算机,以及解决迁移过程中可能遇到的问题。 ... [详细]
  • Python 工具推荐 | PyHubWeekly 第二十一期:提升命令行体验的五大工具
    本期 PyHubWeekly 为大家精选了 GitHub 上五个优秀的 Python 工具,涵盖金融数据可视化、终端美化、国际化支持、图像增强和远程 Shell 环境配置。欢迎关注并参与项目。 ... [详细]
  • 本文介绍如何配置SecureCRT以正确显示Linux终端的颜色,并解决中文显示问题。通过简单的步骤设置,可以显著提升使用体验。 ... [详细]
  • 利用SSH隧道实现外网对局域网机器的安全访问
    本文探讨了一种常见的网络配置问题及其解决方案,即如何在外网环境下安全地访问位于局域网内的计算机。特别介绍了使用SSH反向隧道技术来实现这一目标的具体步骤和注意事项。 ... [详细]
author-avatar
315空白_580
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有