Wer mit dem “VMWare Virtual Infrastructure Client” in Verbindung mit VMWare’s ESXi arbeitet, wird eine Funktion vergeblich suchen: das Uebertragen von Maschinen auf andere ESXi-Host, genauso wie das Duplizieren von virtuellen Maschinen. Wer sich nicht vor einer SSH-Session fuerchtet, dem sei geholfen.
Hinweis: der nachfolgende Weg ist absolut unsupported (weder von VMWare noch von mir oder sonst irgendjemandem) und sollte nur dann gewaehlt werden wenn man an einem potentiellem Desaster schuld sein moechte. Ich hab Euch gewarnt!
Als ersten Schritt muessen wir dem ESXi einen SSH-Zugang beibringen. Dazu bitte ins Rechenzentrum fahren oder in den Server-Raum gehen und lokal an die Maschine setzen. Was huepsche gelb/schwarz eines VMWare-Hosts kann durch CTRL-ALT-F1 in eine Linux-Konsole verwandelt werden (naja, fast zumindest). Was man jetzt nicht sieht, ist der Login-Dialog. Bitte blind unsupported eintippen, gefolgt vom gewaehlten root-Passwort, sobald der ESXi dazu auffordert. Falls es nicht sofort klappt, einfach ein paar mal die Enter-Taste druecken und von vorne anfangen.
In der Datei /etc/inetd.conf das “#”-Zeichen vor dem SSH-Eintrag entfernen und speichern. Jetzt kommt Murphy in’s Spiel. Bei einigen meiner ESXi’s hat es gereicht die relevanten Dienste mittels /sbin/services.sh restart neu zu starten um den SSHd zu aktivieren, andere ESXi’s wollten komplett gebootet werden. Versucht einfach schlimmstenfalls beides.
Naechster Schritt: man nehme einen SSH-Client (schlimmstenfalls PuTTY) und versuche einen Connect als “root” auf Port 22 der Management-IP.
Im Verzeichnis /vmfs/volumes/datastore findet man nun das VMFS der virtuellen Maschinen, und kann sie per SCP auf andere ESX- und ESXi-Hosts uebertragen.
Interessant sind die VMDK-Files, denn hier sind die Konfigurationen sowie die virtuellen Platten versteckt. Die VMDK-Files einfach auf einen anderen Host kopieren und notfalls in der Maschinenname.VMDK die Pfade anpassen. Die restlichen Dateien sind fuer das Clonen nicht relevant und koennen getrost ignoriert werden. Sie werden bei Import der virtuellen Festplatte im Infrastructure Client neu angelegt.
That’s it.
SSH
Für € 3,99 bietet Zwingersoft im iTunes-Store einen SSH-Client für das iPhone an.
Der Funktionsumfang kann sich durchaus sehen lassen, und die Bedienung ist denkbar einfach.
- Portrait and landscape mode
- 53×24 in portait mode, 80×24 in landscape mode
- Scroll-back buffer (by swiping in right 1/3rd of screen)
- Arrow keys (by swiping in left 2/3rd of screen).
- Ctrl, tab, shift, and Fn keys, all in combination.
- Store any number of connections and configurations
- Command execution on connection
- Can dismiss keyboard by tapping keyboard icon
- Via EDGE, WiFi or 3G
- Key generation storage and exchange
- Additional keys in landscape mode, specifically “ESC” and “Alt”
- Multiple concurrent connections
- Active connection list
- Option to store password and server port
Für den Preis absolut empfehlenswert – außerdem verleiht man dem iPhone damit endlich eine Funktionalität, die mein 9500er schon vor Jahren hatte.
iPhone, SSH
Das Nachfolgende funktioniert auf Debian-Systemen. Es läßt sich aber recht leicht auf andere Betriebssysteme “portieren”, da es keine Debian-Spezifische Funktionalität ist.
SSH Public-Keys sind toll. Kerberos ist besser! 
Kerberos-Tickets kann man für SSH-Verbindungen nutzen, in etwa bildet man damit das Verhalten von SSH Public-Keys nach. Es kann allerdings mehr.
Was braucht man?
Einen Kerberos-Principal für den Benutzer und einen Principal für den Host. Den Key für den Host legt man mit einem random-Passwort an und exportiert ihn anschließend noch.
kadmin: ank user
kadmin: ank -randkey host/maschine
kadmin: ktadd -k /tmp/maschine.keytab host/maschine
Auf einem sicheren Weg nun die exportierte Datei auf den SSH-Server in /etc/krb5.keytab kopieren oder besser gleich verschieben.
Änderung am SSHd
Endweder man verwendet direkt das Paket ssh-krb5 oder man passt en existierenden SSHd etwas an.
/etc/ssh/sshd_config:
# Kerberos options
KerberosAuthentication yes
KerberosOrLocalPasswd yes
KerberosTicketCleanup yes
# GSSAPI options
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
Kerberos Client auf dem Server
Das Paket krb5-user muß installiert sein.
/etc/krb5.conf:
[libdefaults]
default_realm = REALM
[realms]
REALM = {
kdc = kdc-master:88
kdc = kdc-slave:88
admin_server = kdc-master:749
default_domain = domain
}
[domain_realm]
.domain = REALM
domain = REALM
Das war’s fast schon.
Der User
Im Home-Verzeichnis des Users die .k5login erzeugen und mit den Principals die sich anmelden dürfen füllen.
user@REALM
nocheinuser@REALM
Pro Zeile einen Principal.
That’s it.
Kerberos, Linux, SSH
