Discussion :

[Pico-----]

Bonjour,

Pour des nouveaux besoins projet, nous aurions besoin de pouvoir lancer des commandes sur un serveur Linux depuis z/Os (idéalement à la fin d'un traitement). Et ceci nécessite une connexion ssh entre les 2 mondes machines.
Après quelques recherche, je suis tombé sur l'utilitaire BPXBATCH qui permet de lancer une commande Unix depuis TSO.
Cependant, je n'ai pas vraiment trouver d'exemple de ce que je veux faire...

Je vais chercher et tenter des trucs la semaine prochaine, mais si certains ici ont déjà été confronté à la problématique, je suis ouvert à tout conseils et remarques.

Merci pour vos retours.

[Metalman]

J'ai voulu dans le passé "lancer" des commandes via ssh et depuis un script...
Première chose "évidente" (mais qui ne l'était pas pour moi à ce moment-là) : aucun mot de passe n'est possible à faire passer, il faut tout faire avec des clés ssh.
Je n'ai jamais réalisé ça personnellement, mais il doit pouvoir exister quelques exemples sur le net (après pour adapter les exemples fais sur le tas avec la PKI en place... c'est une autre histoire).

[bernard59139]

bonjour

La doc est complète: BPXBATCH.
Je te conseille de tout lire, certains "trucs" de base y sont très bien expliqué.

Souvent j'ai vu utilisé AOPBATCH à la place de BPXBATCH, c'est à peu près le même programme, mais pas strictement le même. En général, on ne voit pas de différence.

Si tu dois faire de la programmation depuis MVS, dans des rexx utilise l'interface BPXWUNIX.

Si des caractères bizarres (il y a en a bcp dans le monde unix) doivent être utilisés, bascule en code page 1140, au moins pendant la phase de mise au point des jobs.

[Pico-----]

Bonjour,

Merci pour ces conseils (rien que le coup du code page 1140 m'a sûrement épargner des heures de prise de tête).

Et en fait, le lancement de commande est relativement simple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
****** ***************************** Top of Data ******************************
000001 //TESTSSH    JOB TSO,CLASS=A,MSGCLASS=H,REGION=0M,NOTIFY=&SYSUID        
000002 //*                                                                     
000003 //BPXBATCH   EXEC PGM=BPXBATCH                                          
000004 //STDOUT     DD SYSOUT=*                                                
000005 //STDERR     DD SYSOUT=*                                                
000006 //STDPARM    DD *                                                       
000007 SH ssh user@host echo $PATH                         
000008 //*                                                                     
****** **************************** Bottom of Data ****************************

me permet déjà d'avoir :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
********************************* TOP OF DATA **********************************
FOTS1370 Host key verification failed.                                          
******************************** BOTTOM OF DATA ********************************

donc la commande s'éxecute bien, et surtout le lien réseau est bien établi.

Je me bats (à temps partiel malheureusement) depuis hier pour gérer l'échange de clé rsa. Les .ssh étant vérouillés dans tous les sens c'est plus de la bataille de bureau qu'un problème technique qui me bloque...

Mais ça me laisse le temps de réfléchir, et j'ai pensé que malgré :
- un user technique cible sans shell et confiner par SELinux
- un user technique sur le Z bien verrouiller aussi
- un firewall sur ip sur la machine cible
- un possible filtrage mac
- une encryption des données
et bien, il me semble que ssh va quand même toujours me demander le mdp du user cible, et ça... bah BPXBATCH ne me permets pas de le gérer... où du moins j'ai pas encore trouver comment.

Si vous avez une idée, je suis preneur.

Merci !

[Metalman]

C'est l'échange de clés qui suffira !

Le mot de passe n'est demandé QUE SI l'authentification ne se fait pas par clé ! (par défaut sur les Linux & BSD non configurés)

Votre première réponse est donc LA raison qui évitera le mot de passe !

La preuve en cherchant "ssh sans mot de passe" sur de google, 1er lien :
http://www.generation-linux.fr/index...e-mot-de-passe

Il s'agit bien d'un échange de clés.
Il faudra donc penser à qui/quoi fera quels échanges, etc...

EDIT : Au pire, il doit être possible de stocker la clé quelque part soi-même (mais c'est risqué) et de le fournir en paramètre !
Si c'est OpenSSH qui fournit le portage sur z/OS, voici la doc : OpenSSH ssh(1)
L'option -i renvoie vers le fichier à utiliser


EDIT2 : je viens de relire....
N'oubliez pas que SSH fait déjà du chiffrement ! :o
Par contre oui, si votre user distant n'a pas de shell et est bloqué, c'est foutu.
Secure SHell nécessite obligatoirement un utilisateur disponible et accessible

[Pico-----]

Alors, le thread linké est un peu vieux et je n'ai pas le temps de vérifié son contenu.
Mais à ma connaissance, même avec échange de clé, le mot de passe est toujours demandé et c'est ce qui se passe sur mes connexions entres machines Linux actuelle.
Pour moi (mais je ne suis pas un expert), le seul moyen de se passer du mot de passe en connexion ssh est l'utilisation de passphrase avec le ssh-agent qui tourne sur le client ce que je veux éviter.

De toute façon, j'ai eu une idée entre temps : le BPXBATCH peux m'exécuter un script sh local qui peut se charger de la connexion et tout ce qui va avec

[disedorgue]

Bonjour,

Coté ssh, c'est du coté serveur que l'on décide si l'on passe par un mot de passe pour l'authentification ou par une clé.

Ensuite, si le serveur accepte la connection par clé (ce qui semble être le cas puisque tu passe par un ssh-agent), alors ce n'est pas un mot de passe qui peut être demandé dans ce cas mais plutot ce que l'on appelle une passphrase et ceci uniquement si la clé public à été protégée (cryptée) par la dite passphrase, sinon il n'y aura pas de demande de mot de passe ou de passphrase en passant par une clé.

[Pico-----]

Bon en fait, c'est tout simple !

Le plus compliqué étant les échanges de clé pour la connexion ssh, mais sinon pour l'utilisation du BPXBATCH, le JCL déjà montré plus haut suffit.

JCL :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
****** ***************************** Top of Data ******************************
000100 //TESTSSH  JOB TSO,CLASS=A,MSGCLASS=H,REGION=0M,NOTIFY=&SYSUID,         
000200 //           USER=USSUP01                                               
000300 //BPXBATCH   EXEC PGM=BPXBATCH                                          
000400 //STDOUT     DD SYSOUT=*                                                
000500 //STDERR     DD SYSOUT=*                                                
000600 //STDPARM    DD *                                                       
000700 SH /dossierduscript/testssh.sh paramètres du script                                   
000800 //*                                                                     
****** **************************** Bottom of Data ****************************

Script :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
ssh -i /dossierdesclésrsa/id_rsa user@hoteDistante -oUserKnownHostsFile=/dossierdesclésrsa/known_hosts commande_distante

J'ai explicité les dossiers des clés RSA parce que le user que j'utilise n'a pas de home accessible cependant il est techniquement possible d'utiliser le ".ssh/" standard.

Le BPXBATCH ne permet l'exécution d'une seule commande unix par step, donc si on veut en lancer plusieur, il est nécessaire de faire un script mais dans le cas d'une commande unitaire, le script est optionnel et la commande peut être passée directement en SYSIN

PI : pour ne pas avoir la demande de mdp, il faut que la clé rsa publique locale soit dans le fichier authorized_keys du user accédé sur la machine distante.