2015 Co:Z SFTP SFTP mit z/os Zusammen mit IBM Ported Tools for z/os: OpenSSH Gerhard Weißhaar gweisshaar@atics.de 1
Was ist SFTP? 2015 Secure File Transfer Protocol Auch: SSH File Transfer Protocol SFTP funktioniert nur in Verbindung mit SSH Subsystem von Secure Shell (SSH) SSH wurde Mitte der 90er Jahre als sichere Alternative zu rsh (Remote Shell), rcp (Remote Copy), rlogin (Remote Login) entwickelt und stand zunächst als Freeware zur Verfügung Nachdem der ursprüngliche Entwickler seine Idee in eine eigene Firma einbrachte, entstand ein Nachbau auf Grundlage der letzten frei verfügbaren Version im Rahmen des OPENSSH-Projekts 2
Wer nutzt SSH / SFTP? 2015 SSH ist Bestandteil praktisch jedes UNIX und LINUX Innerhalb dieser Plattformen sehr beliebt Putty ist ein Client der u.a. SSH unterstützt Putty steht auch unter Windows zur Verfügung z/os Unix System Services (USS) bietet standardmäßig kein SSH Seit z/os 1.6 IBM Ported Tools for z/os: OpenSSH Product number 5655-M23 Unpriced Erfordert separate Installation Redbook SG24-6448 stellt in Kapitel 10 die wesentlichen Eigenschaften vor 3
Abgrenzung von FTP 2015 SSH / SFTP immer mit sicherer Verbindung Verbindungsaufbau praktisch wie mit TLS / SSL Asymmetrische Schlüsselpaare erforderlich (RSA, DSA, ) Übertragung mit FTP unsicher UserId und Passwort bei der Anmeldung unverschlüsselt Alle weiteren übertragenen Informationen ebenfalls unverschlüsselt FTP nur sicher in Kombination mit TLS / SSL (FTPS) SSH (FTP over SSH) FTP und SFTP sind nicht kompatibel Unterschiedliche Subcommands 4
Einschränkung von SFTP 2015 SFTP bietet standardmäßig keine Unterstützung für die Ansprache von z/os Dateien Lediglich Support für POSIX Files Übertragung von Inhalten von z/os Dateien dennoch möglich Inhalt einer z/os Datei muss vor / nach der Übertragung von oder nach einem POSIX File kopiert werden Kein Interface zu ICF Katalogen Kein Interface zu JES 5
Ansatz von Dovetailed Technologies 2015 IBM Ported Tools for z/os: OpenSSH sieht die Möglichkeit eines Austauschs des Subsystems SFTP vor Co:Z Co-Processing Toolkit for z/os bietet unter anderem ein alternatives Subsystem für SFTP mit Support für POSIX Files z/os Dateien Members von PDS / PDSE ICF Kataloge Spool Files (JES) Kostenloses Produkt Serviceangebote verfügbar 6
Installation OpenSSH auf z/os 2015 Siehe Redbook SG24-6448 Kapitel 10.5 Alternativ zu der dort dargestellten Generierung von (RSA oder DSA) Schlüsselpaaren mit Hilfe des Programms ssh-keygen kann auch ein Zertifikat benutzt werden: 7
Installation OpenSSH auf z/os (2) 2015 Das Zertifikat wird dann über einen Keyring für die weitere Verwendung vorbereitet: /etc/ssh/zos_sshd_config: HostKeyRingLabel= SSHDAEM/SSHDAEM-RING S0W1- SSH-RSA 8
Installation Co:Z Toolkit auf z/os 2015 Herunterladen des Co:Z z/os installer file von dovetail.com Hochladen dieses Files auf z/os in ein USS File Ausführen des Files unter USS: 9
Installation Co:Z Toolkit auf z/os (2) 2015 Anpassung des Config Files /etc/ssh/sshd_config Auskommentieren der Zeile: #Subsystem sftp /usr/lib/ssh/sftp-server Neue Zeile: Subsystem sftp /usr/local/coz/sftp-server.sh Dieses Script bringt den original sftp-server der IBM zur Ausführung, außer der ausführende Benutzer hat im Pfad $HOME/.ssh/ ein File sftp-server.rc: 10
Installation Co:Z Toolkit auf z/os (3) 2015 Anpassung des site sftp-server.rc file (optional) /etc/ssh/sftp-server.rc Damit kann die Nutzung von Co:Z SFTP Server zum Default für alle Nutzer erklärt werden Das gilt auch wenn $HOME/.ssh/sftp-server.rc nicht existiert Einfügen der Zeile USE_COZ_SFTP=true Zur Nutzung der Vorteile des Co:Z SFTP Servers auf z/os ist keine weitere Installation von Code auf Client-Systemen erforderlich! 11
Nutzung Co:Z SFTP Server 2015 Nun haben wir einen funktionsfähigen Co:Z SFTP Server mit dem wir uns von einem Client aus verbinden können Start einer lokalen SSH Session auf Windows mit PUTTY Voraussetzung:SSHD muss auf diesem System laufen) 12
Nutzung Co:Z SFTP Server (2) 2015 Beim ersten Verbindungsversuch mit einem SFTP Server wird der key fingerprint angezeigt. Bei Bestätigung wird der Public Key und die IP-Adresse in die Liste der Known Hosts eingetragen 13
Nutzung Co:Z SFTP Server (3) 2015 Nach erfolgreichem Login mit dem Windows Account wird eine SFTP Session mit einem z/os gestartet Login auf dem Zielsystem mit einem z/os Account 14
Nutzung Co:Z SFTP Server (4) 2015 Der Co:Z SFTP Server ist aktiv, denn die typische Navigation ist möglich: 15
Navigation in Co:Z SFTP Server 2015 Cd //GWEIS wechselt die Working Directory auf katalogisierte Dateien mit HLQ GWEIS Erneuter cd cmd wechselt auf GWEIS.CMD 16
Zugriff auf JES Spool in Co:Z SFTP Server 2015 Cd //-jes wechselt die Working Directory auf JES Spool ls zeigt die Liste der Jobs gemäß Filterkriterien (aktuell: Owner=GWEIS) 17
Zugriff auf JES Spool in Co:Z SFTP Server (2) 2015 Cd job00328 wechselt auf den Output von J00328 ls al zeigt die Liste der JES Data Sets dieses Jobs Mit get können nun alle diese JES Data Sets oder einzelne unter Ansprache der DSID übertragen werden 18
Verwendung eines geeigneten GUI Client 2015 19
Co:Z SFTP Client auf z/os 2015 Der Co:Z SFTP Client auf z/os hat die selben guten Eigenschaften wie der Co:Z SFTP Server auf z/os POSIX Files Support von z/os Dateien Unterstützt ICF Kataloge Zugriff auf Members von PDS und PDS/E Verarbeitung aller Members einer GDG mit einem put Zur Navigation innerhalb des Raums von Dateien werden jetzt analoge Kommandos benutzt: lcd lpwd lls Start des Client mit cozsftp user@host 20
Co:Z SFTP Client auf z/os im Batch 2015 Utility COZBATCH ist ebenfalls Bestandteil des Co:Z for z/os Toolkit Passwort für Remote Login kann über eine Datei bereitgestellt werden Remote Login kann alternativ auch ohne Passwort erfolgen. Dafür wird dann die Public Key Authentication (StandardEinrichtung in SSH) genutzt. Der Public Key des Users wird auf dem Zielsystem vorab im Authorized Key File registriert Der Private Key des Users wird automatisch über den saf-ssh-agent während des Verbindungsaufbaus bereitgestellt Die Keys werden über ein Zertifikat im lokalen z/os vorgehalten 21
Co:Z SFTP Client auf z/os im Batch (2) 2015 22
Fazit 2015 SFTP bietet sich als sichere Alternative zu FTP beim Austausch von Files mit UNIX / LINUX Servern an Der Einsatz des Co:Z Toolkit for z/os ermöglicht problemlos den Zugriff auf Sequentielle z/os Dateien Members von PDS / PDSE Generation Data Sets JES Spool Dateien Darüber hinaus bietet das Co:Z Toolkit for z/os auch glänzende Voraussetzungen für den regelmäßigen Austausch von Datei-Inhalten im Batch 23
Vielen Dank für Ihre Aufmerksamkeit! 2015 24
2015 Vielen Dank für Ihre Aufmerksamkeit 25