IBM Cloud Docs
Connexion à des instances de serveur virtuel z/OS

Connexion à des instances de serveur virtuel z/OS

Une instance de serveur virtuel z/OS est généralement un composant d'infrastructure de back end privé qui ne doit jamais être directement accessible à partir du monde extérieur. Même les environnements utilisés pour le développement, les tests ou la démonstration doivent suivre les bonnes pratiques d'isolement logique.

Pour apprendre à utiliser des sous-réseaux afin d'isoler et de contrôler en toute sécurité le trafic vers l'infrastructure de back end, telle qu'une instance de serveur virtuel z/OS, vous pouvez vous référer aux tutoriels suivants:

Une fois que vous êtes connecté au réseau VPC à l'aide du serveur VPN client-site, vous pouvez accéder à l'instance de serveur virtuel z/OS à l'aide de l'adresse IP privée.

Avant de commencer

Veillez à localiser l'adresse IP privée avant de vous connecter aux instances z/OS. Les adresses IP privées sont des adresses IP fournies par le système et accessibles uniquement au sein du réseau VPC. Vous trouverez l'adresse IP privée de votre instance de serveur virtuel z/OS dans la colonne Adresse IP réservée de la console une fois l'instance créée.

Si votre instance de serveur virtuel z/OS est créée à l'aide de l'image de stock de développement et de test z/OS, vous pouvez vous reporter au tableau Configurations réservées pour ajouter des ports supplémentaires au groupe de sécurité de votre instance.

Étape 1. Configuration du mot de passe

Avant de vous connecter à une instance de serveur virtuel z/OS, vous devez modifier le mot de passe de l'ID utilisateur par défaut ibmuser.

Si vous utilisez vos images personnalisées z/OS Wazi aaS, vous n'avez pas besoin de configurer le mot de passe. Vous pouvez ignorer cette étape en toute sécurité, puis vous connecter à l'instance de serveur virtuel z/OS à la place.

  1. Connectez-vous à l'environnement shell z/OS UNIX en utilisant votre clé privée SSH et l'ID utilisateur par défaut. Les vsi ip address dans les fragments de code suivants représentent l'adresse IP privée de votre instance de serveur virtuel z/OS.

    ssh -i <path to your private key file> ibmuser@<vsi ip address>
    

    Vous recevez une réponse similaire à l'exemple suivant. Lorsque vous êtes invité à continuer la connexion, entrez yes.

    The authenticity of host 'xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx)' can't be established.
    ECDSA key fingerprint is SHA256:xxxxxxxxxxxxxxxxxxxxxx.
    Are you sure you want to continue connecting (yes/no)? yes
    Warning: Permanently added 'xxx.xxx.xxx.xxx' (ECDSA) to the list of known hosts.
    
  2. La commande tsocmd permet de configurer des phrases de mot de passe pour l'instance z/OS. Remplacez YOUR PASSWORD PHRASE par votre propre chaîne de mot de passe.

    tsocmd "ALTUSER IBMUSER PHRASE('YOUR PASSWORD PHRASE') NOEXPIRE RESUME"
    

    Vous devez respecter les règles de syntaxe pour les phrases de mot de passe répertoriées dans Affectation de phrases de mot de passe.

    Pour plus d'informations sur les commandes, voir tsocmd-Exécution d'une commande TSO/E à partir du shell(y compris les commandes autorisées) et ALTUSER(modification du profil utilisateur).

Étape 2. Connexion

Vous pouvez interagir avec votre instance de serveur virtuel z/OS avec les approches suivantes.

Utilisation de l'émulateur de terminal TN3270

Vous pouvez utiliser l'émulateur de terminal TN3270 pour vous connecter à l'option / aux extensions de partage de temps (TSO/E). Le port par défaut du serveur TN3270 sécurisé est 992 et vous devez fournir un certificat d'autorité de certification (CA) autosigné en tant que paramètre pour avoir une connexion sécurisée au programme d'émulation 3270. Votre certificat d'autorité de certification autosigné se trouve dans un fichier appelé common_cacert dans le répertoire de base de l'ID utilisateur IBMUSER dans z/OS UNIX System Services.

  • Pour les systèmes macOS, Linux et Windows où le client Secure Copy Protocol (SCP) est installé, vous devez transférer le fichier common_cacert avant de vous connecter au port telnet sécurisé et d'exécuter les commandes suivantes :

    scp ibmuser@<vsi ip address>:/u/ibmuser/common_cacert <my local dir>/common_cacert
    c3270 -cafile <my local dir>/common_cacert -port 992 <vsi ip address>
    

    Si le fichier n'est pas au format correct, vous devez le convertir au format ASCII.

  • Pour Windows, vous devez d'abord importer le certificat d'autorité de certification autosigné dans Windows, puis créer IBM Personal Communications (PCOMM) pour lire le certificat d'autorité de certification à partir du magasin de clés de confiance sous Windows. Procédez comme suit :

    1. Transférez le fichier common_cacert du système z/OS vers votre poste de travail.

    2. Ouvrez Options Internet sur votre poste de travail.

    3. Sous Contenu, sélectionnez Certificats.

    4. Sélectionnez Importer pour ouvrir la page de l'assistant d'importation de certificat et cliquez sur Suivant.

    5. Cliquez sur Parcourir pour sélectionner le fichier common_cacert et cliquez sur Suivant.

    6. Dans la page Magasin de certificats, sélectionnez Placer tous les certificats dans le magasin suivant et cliquez sur Parcourir pour sélectionner les autorités de certification racines de confiance, puis cliquez sur Suivant.

    7. Sur la page Exécution de l'assistant d'importation de certificat, cliquez sur Terminer.

    8. Une fois que vous avez correctement transféré le certificat de l'autorité de certification dans le magasin de clés de confiance, vous devez créer une session sécurisée dans PCOMM. Sous l'onglet Définition de l'hôte de la configuration Paramètres de liaison, entrez l'adresse IP ou le nom d'hôte de votre instance de serveur virtuel z/OS avec le port 992.

    9. Sous l'onglet Configuration de la sécurité de la configuration Paramètres de liaison, cochez la case Activer la sécurité.

    L'ID utilisateur par défaut est IBMUSER et le mot de passe est celui que vous avez configuré à l'étape précédente. Ensuite, vous pouvez interagir avec z/OS dans le mode natif de TSO, en utilisant Interactive System Productivity Facility ( ISPF ), ou en utilisant le shell et les utilitaires z/OS UNIX. Pour plus d'informations, voir Interagir avec les interfaces z/OS: TSO, ISPF et z/OS UNIX.

    Le port non sécurisé 23 pour la connexion 3270 est fermé. Vous devez utiliser le port sécurisé 992.

    • Le certificat du serveur VSI contient uniquement les informations d'adresse IP privée de l'instance de serveur virtuel z/OS.
    • Vous pouvez éventuellement utiliser l'adresse IP de l'instance de serveur virtuel dans le cadre de l'argument accepthostname lors de la connexion via une adresse IP flottante. Exemple :
      c3270 -cafile <my local dir>/common_cacert -port 992 -accepthostname <vsi ip address>  <floating ip>
      

Utilisation d' IBM Host On-Demand

Si vous souhaitez importer le certificat de l'autorité de certification à l'aide d' IBM Host On-Demand, exécutez les commandes suivantes:

  1. Téléchargez le fichier certificat à partir du système z/OS.

    scp ibmuser@<vsi ip address>:/u/ibmuser/common_cacert ./Downloads/common_cacert
    
  2. Importez le certificat téléchargé. Utilisez un alias reconnaissable.

    keytool -importcert -alias <alias> -file ./Downloads/common_cacert -keystore /Applications/HostOnDemand/lib/CustomizedCAs.jks -storepass hodpwd
    
  3. Vérifiez quels certificats ont été importés.

    keytool -list -keystore /Applications/HostOnDemand/lib/CustomizedCAs.jks -storepass hodpwd
    

Utilisation du navigateur Web pour accéder à z/OSMF

Vous pouvez utiliser le navigateur Web pour accéder à IBM z/OS Management Facility (z/OSMF). Par exemple, accédez à l'URL https://<vsi ip address>:10443/zosmf/LogOnPanel.jsp.

Pour plus d'informations sur z/OSMF, voir IBM z/OS Management Facility.

Lorsque vous lancez z/OSMF, des avertissements de sécurité du navigateur s'affichent car des instances de serveur virtuel z/OS sont créées avec des certificats TLS signés par un certificat racine autosigné interne.

Utilisation de la console série à partir de l'interface utilisateur IBM Cloud

Vous pouvez utiliser IBM Cloud pour vous connecter à une console en série et surveiller la progression de l'IPL dans la console.

Pour vous connecter à la console série, vous devez vous voir attribuer les rôles Operator (ou supérieur) et Console Administrator pour l'instance de serveur virtuel dans IBM Cloud® Identity and Access Management (IAM). Sinon, la console série est désactivée.

Procédez comme suit pour vous connecter à une console à l'aide de l'interface utilisateur IBM Cloud.

  1. Dans la console IBM Cloud console, allez dans Menu de navigation icône menu icône > Infrastructure Icône VPC > Compute > Instance de serveur virtuel.

  2. Dans la liste des instances de serveurs virtuels pour VPC, cliquez sur le bouton de débordement de l'instance à laquelle vous devez accéder, puis cliquez sur Open Serial Console. Sinon, sur la page des détails de l'instance, cliquez sur Action en haut à droite, puis sur Open Serial Console.

  3. Si la console série est utilisée, vous serez invité à confirmer si vous souhaitez forcer l'ouverture d'une session. Cela déconnecte la session de l'autre utilisateur.

  4. Entrez les données d'identification qui suivent les invites pour vous connecter à vos instances.

  5. Utilisez la combinaison de touches Ctrl + L pour ouvrir une nouvelle console maître z/OS, dans laquelle vous pouvez exécuter quatre commandes start, stop, ipl et oprmsg pour les opérations d'instance de serveur virtuel z/OS.

Pour plus d'informations, voir Accès aux instances de serveur virtuel à l'aide d'une console VNC ou en série. La console VNC n'est pas prise en charge sur les instances de serveur virtuel z/OS.

Utilisation d'une clé privée SSH via une adresse IP flottante

Vous pouvez utiliser la clé privée SSH via une adresse IP flottante pour vous connecter à l'environnement shell z/OS UNIX.

Toutefois, vous souhaiterez peut-être annuler la liaison de votre adresse IP flottante à votre instance de serveur virtuel z/OS pour des raisons de sécurité et utiliser un hôte bastion ou un serveur VPN client-to-site pour toutes les connexions. Le port sécurisé par défaut est 22. Pour plus d'informations sur l'adresse IP flottante, voir Réservage d'une adresse IP flottante

Si vous souhaitez accéder à une autre instance de serveur virtuel z/OS créée à l'aide d'une clé SSH différente, vous devez demander au propriétaire de l'instance d'ajouter votre clé publique SSH dans le fichier authorized_keys sur cette instance de serveur virtuel z/OS. Pour plus d'informations sur le fichier authorized_keys, voir Format du fichier authorized_keys et Configuration de nouveaux utilisateurs pour accéder à votre instance de serveur virtuel z/OS.

Étape 3. Configuration de nouveaux utilisateurs pour accéder à votre instance de serveur virtuel z/OS

Pour permettre à d'autres utilisateurs d'accéder à votre instance de serveur virtuel z/OS en utilisant leurs propres ID utilisateur z/OS et leurs propres clés SSH après la création de l'instance, vous devez créer chaque profil utilisateur et ajouter chaque clé publique SSH dans le fichier authorized_keys sur l'instance de serveur virtuel z/OS.

  1. Vous pouvez utiliser l'une des méthodes suivantes pour créer un ID utilisateur z/OS dans la fonction RACF (fonction de contrôle d'accès aux données):

    • Emission de la commande ADDUSER.
    • Inscription de l'utilisateur via les panneaux ICF (TSO/E Information Center Facility). Pour plus d'informations sur l'administration de la fonction de centre de documentation, voir Administration dez/OS TSO/E.

    Voici un exemple d'utilisation de la commande ADDUSER pour créer un profil utilisateur. Supposons que vous souhaitiez créer un profil utilisateur pour l'utilisateur Steve H., membre du département A. Vous souhaitez affecter les valeurs suivantes:

    • STEVEH pour l'identifiant de l'utilisateur
    • DEPTA pour le groupe de connexion par défaut
    • DEPTA pour le propriétaire du profil utilisateur STEVEH
    • R3I5VQX pour le mot de passe initial
    • Steve H. pour le nom de l'utilisateur

    Steve H. ne requiert aucun des segments de profil utilisateur à l'exception de TSO. Les valeurs de segment TSO que vous souhaitez définir pour commencer sont 123456 pour le numéro de compte et PROC01 pour la procédure de connexion.

    Pour créer un profil utilisateur avec ces valeurs, vous pouvez exécuter les commandes suivantes:

    ADDUSER STEVEH DFLTGRP(DEPTA) OWNER(DEPTA) NAME('Steve H.')
        PASSWORD(R315VQX) TSO(ACCTNUM(123456) PROC(PROC01))
    
  2. Vous pouvez ensuite utiliser l'une des options suivantes pour ajouter de nouvelles clés publiques SSH dans le fichier authorized_keys.

    • Utilisez la commande linux telle que ssh-copy-id -i <new-ssh-public-key-file> ibmuser@<vsi ip address> pour télécharger de nouvelles clés publiques SSH sur votre système de fichiers local dans l'instance de serveur virtuel z/OS. Pour plus d'informations, voir ssh-copy-id for copying SSH keys to servers.

    • Connectez-vous à l'instance de serveur virtuel z/OS, utilisez la commande shell z/OS Unix System telle que cat <new-ssh-public-key-file> >> ~/.ssh/authorized_keys pour concaténer la nouvelle clé publique SSH dans le fichier authorized_keys. Pour plus d'informations, voir cat-Concatenate or display files.

    • Utilisez l'interface de ligne de commande Zowe pour vous connecter à l'instance de serveur virtuel z/OS, puis créez un profil d'interface de ligne de commande et ajoutez de nouvelles clés publiques SSH dans le fichier authorized_keys. Pour plus d'informations sur les profils d'interface de ligne de commande Zowe, voir Création de profils d'interface de ligne de commande Zowe.

Pour plus d'informations sur le fichier authorized_keys et les profils utilisateur z/OS, voir Format du fichier authorized_keys et Récapitulatif des étapes de définition des utilisateurs.

Etapes suivantes

Une fois que vous êtes connecté à votre instance de serveur virtuel, vous pouvez gérer votre instance.

Pour obtenir des instructions sur la gestion des instances de serveur virtuel z/OS, voir Configuration et gestion des instances de serveur virtuel z/OS.