投稿

4月, 2017の投稿を表示しています

PowerCLIで資格情報を保存して、接続時に再利用して安全かつ簡単に接続する方法

PowerCLIではvCenterへ接続してvSphere Management API経由で情報を取得します。初めの接続にはConnect-VIServerコマンドレットを利用しますが、スクリプトに資格情報をハードコードしたり資格情報の要求ウィンドウへ毎回入力したりしている方が多いのではないでしょうか。
PowerCLIでは上記よりもセキュリティ上安全で利便性の高い方法として、Credential Storeが提供されています。
Credential Storeを利用しない場合 以下のようにConnect-VIServerしていると思います。

Connect-VIServer <vCenter Address> –User <User> –Password <Password> 上記で明示的にPasswordを指定しない場合には資格情報の要求ウィンドウが表示されます。パスワードがハードコードされているとコードを共有するのが難しくなり、毎回入力するとなると手間がかかるようになります。

 Credential Storeを利用する場合 初めにNew-VICredentialStoreItemコマンドレットで資格情報を保存します。
New-VICredentialStoreItem -Host <vCenter Address> -User <User> -Password <Password> 上記の手順を1回実行した以降はConnect-VIServerを実行するたびに資格情報を入力する必要がなくなります。つまり今後はvCenterのアドレスだけで接続できるようになります。
Connect-VIServer <vCenter Address> すでに保存されている資格情報を表示するにはGet-VICredentialStoreItemコマンドレットを利用します。
保存した資格情報を削除するにはRemove-VICredentialStoreItemコマンドレットを利用します。

上記であれば資格情報はPowerCLIで管理されるため、より簡単で安全に接続処理を記述することができます。

VMware PowerCLIがPowerShell Galleryからダウンロードできるようになりました!

イメージ
PowerCLI 6.5.1がリリースされ、PowerShell Gallery経由でインストールできるようになりました。
以前のバージョンではMSI形式のインストーラーが配布されていましたが、今回からInstall-Moduleコマンドレットを利用するだけで簡単にインストールすることができるようになりました。

すでにPowerShell Galleryからモジュールをインストールしたことがある方は以下のコマンドだけで簡単にインストールできます。
PS C:\> Install-Module -Name VMware.PowerCLI –Scope CurrentUser MSFCのGet-ClusterやHyper-VのExport-VMなど同じコマンドがインストールされている場合には追加のパラメータとして「-AllowClobber」が必要になる点に注意しましょう。

PowerShell Galleryを使ったことがない方やオフラインインストールなどその他の詳細な手順は以下のBlog記事 (英語)を参照してください。
Welcome PowerCLI to the PowerShell Gallery – Install Process Updates https://blogs.vmware.com/PowerCLI/2017/04/powercli-install-process-powershell-gallery.html

PowerCLIをインストールして接続してVMの一覧を表示するまで3行です。
Install-Module -Name VMware.PowerCLI –Scope CurrentUser$vis = Connect-VIServer -Server VC -User administrator@vsphere.localGet-VM -Server $vis

ASRock C2750D4I Java 1.8.0 131へ更新後にIPMIのコンソールの起動に失敗する

事象 C2750D4IのIPMIで提供されるリモートコンソールにおいて、Java 1.8.0 131へ更新後に「このアプリケーションを起動できません。」のエラーと共に起動に失敗します。

推定要因 Java 1.8.0 131ではセキュリティポリシーが変更となりJARファイルに対するMD5の署名は有効ではありません。このため未署名なアプリケーションとして扱われ、システムへのアクセスをリクエストするとみなされて起動に失敗します。

回避策セキュリティ上の考慮点:この方法は強度が十分でなく脆弱であるため無効化されたMD5による署名を有効化してアプリケーションを起動します。有効化による問題を認識した上で手順を実施してください。

java.securityファイルにおけるjdk.jar.disabledAlgorithmsからMD5を除外します。この変更によりJARファイルにおける無効化されたMD5が有効化されます。 例 変更後 jdk.jar.disabledAlgorithms=MD2, RSA keySize < 1024
変更前 jdk.jar.disabledAlgorithms=MD2, MD5, RSA keySize < 1024

java.securityは64bitのWindowsであれば以下に配置されています。 C:\Program Files (x86)\Java\jre1.8.0_131\lib\security
参考情報MD5 added to jdk.jar.disabledAlgorithms Security property This JDK release introduces a new restriction on how MD5 signed JAR files are verified. If the signed JAR file uses MD5, signature verification operations will ignore the signature and treat the JAR as if it were unsigned. This can potentially occur in the following types of applications that use signed JAR…