Das Kommando dpasswd

Under Construction

Arbeiten mit AIX > Network Installation Manager > Distributed Systems Management (DSM)

Bei der Betrachtung der Node Identifkations-Informationen hatten wir den Benutzer und das Passwort für den Zugriff auf die HMC im Klartext angegeben (sowohl auf der Kommandozeile, als auch in der Konfigurationsdatei /etc/ibm/sysmgt/dsm/nodeinfo). Das ist im Hinblick auf System Sicherheit nicht sehr günstig. Das Kommando dpasswd aus dem Fileset dsm.core erlaubt es diese Daten in verschlüsselter Form abzuspeichern. Anstelle den Benutzer und das Passwort dann direkt anzugeben, erlauben die DSM Kommandos eine Pfadangabe zu einer Datei mit dem verschlüsselten Passwort.

Das Kommando dpasswd kann nur von root auferufen werden und unterstützt die folgenden Optionen:

# dpasswd -h
Usage:  dpasswd [-h] [-v] -f password_file [-o] -U user_id [-P password]

       -f  password_file
           Name of the file to write the encrypted password to.
       -h  Prints this usage.
       -o  Overwrite an existing password file.
       -P  password
           Password to encrypt and write to the password file.  If not
           specified, the command will prompt the user to enter a password.
       -U  User ID to be written to the password file (must not
           contain spaces).
       -v  verbose output
#

Es muss mindestens die Option „-f“ mit einem Dateinamen und die Option „-U“ mit einem Benutzernamen angegeben werden. Wir erzeugen für den im letzten Kapitel verwendeten Benutzer user01 mit Passwort „Passw0rd“ für die HMC hmc02 eine Datei mit den verschlüsselten Daten:

# dpasswd -f hmc02 -U user01
Password file is /etc/ibm/sysmgt/dsm/config/hmc02
Warning! Password will be echoed to the screen as it is typed.
Password:Passw0rd
Re-enter password:Passw0rd
Password file created.
#

Eine kurze Überprüfung des Inhalts der erzeugten Passwort-Datei /etc/ibm/sysmgt/dsm/config/hmc02 zeigt, das das Passwort tatsächlich verschlüsselt ist:

# od -a /etc/ibm/sysmgt/dsm/config/hmc02
0000000    u   s   e   r   0   1  sp   h   C   @   H   ]   3   _   }   :
0000020   sp  bs   -   N   R del   M
0000027
#

Standardmäßig werden die von dpasswd erzeugten Passwort-Dateien unter /etc/ibm/sysmgt/dsm/config abgelegt. Pro Datei kann nur ein Benutzer/Passwort Paar abgespeichert werden. Es können aber beliebig viele solcher Dateien angelegt werden. Das Standard-Verzeichnis hat den Vorteil nur für root zugreifbar zu sein:

$ ls -ld /etc/ibm/sysmgt/dsm/config
dr--------    2 root     system          256 Feb 28 19:35 /etc/ibm/sysmgt/dsm/config/
$

Eine Passwort-Datei kann aber an beliebiger Stelle generiert werden, es muss dann aber ein absoluter Pfad bei der Option „-f“ verwendet werden, z.B.:

# dpasswd -f /tmp/hmc02 -U user02
Password file is /tmp/hmc02
Warning! Password will be echoed to the screen as it is typed.
Password:XXXXXXXX
Re-enter password:XXXXXXXX
Password file created.
#

Hat sich das Passwort eines Benutzers geändert, muss es natürlich auch in der Passwort-Datei geändert werden:

# dpasswd -f hmc02 -U user01
Password file is /etc/ibm/sysmgt/dsm/config/hmc02
2760-151 [dpasswd] The password file already exists.  Use the "-o" flag to overwrite it.
#

Damit eine Passwort-Datei nicht versehentlich überschrieben werden kann, ist ein Überschreiben aber nur mit Hilfe der zusätzlichen Option „-o“ (override) möglich. Die Fehlermeldung bei einem Versuch das Passwort ohne diese Option zu überschreiben, weist auch eindeutig daraufhin.

Wir versuchen es erneut, dieses Mal mit der Option „-o“:

# dpasswd -f hmc02 -U user01 -o
Password file is /etc/ibm/sysmgt/dsm/config/hmc02
Warning! Password will be echoed to the screen as it is typed.
Password:XXXXXXXX
Re-enter password:XXXXXXXX
Password file overwritten.
#

In allen Beispielen wurde das Passwort immer interaktiv abgefragt. Man kann das Passwort aber auch mit Hilfe der Option „-P“ beim Aurfuf des Kommandos angeben. Das kann nützlich bei Verwendung in Skripten sein, hat aber den Nachteil das das Passwort als Argument eines Kommandos in der Prozeßliste des Systems auftaucht und damit für andere lesbar ist.

# dpasswd -f hmc03 -U user03 -P not_secret
Password file is /etc/ibm/sysmgt/dsm/config/hmc03
Password file created.
#

Nachdem wir nun die Passwort-Datei /etc/ibm/sysmgt/dsm/config/hmc02 für den Benutzer user01 und das Passwort „Passw0rd“ erzeugt haben, ändern wir die Datei /etc/ibm/sysmgt/dsm/nodeinfo ab und tauschen dort in der letzten Spalte „user01:Passw0rd“ gegen den absoluten Pfad der Passwort-Datei aus:

# cat /etc/ibm/sysmgt/dsm/nodeinfo
aix01|hmc|hmc02|TargetHWTypeModel=9105-22A:TargetHWSerialNum=89C1A01:TargetLPARID=19|/etc/ibm/sysmgt/dsm/config/hmc02
#

Der Zugriff auf die Konsole von aix01 funktioniert ohne Probleme auch mit der Passwort-Datei:

# dconsole -t -n aix01
Starting console daemon
[read-write session]
mkvterm -m 9105-22A*89C1A01 -p aix01

Open in progress 

 Open Completed.

…

AIX Version 7
Copyright IBM Corporation, 1982, 2023.
Console login:

Die Verwendung von Passwort-Dateien für den HMC Zugriff ist Voraussetzung für die Verwendung von DSM durch NIM!