SFTP auf der Iseries

[prsbrc]

Um eine Verbindung mit einem sFTP-Server herstellen zu können muss dieser den Fingerprint in der Datei known_hosts des Benutzers eintragen welcher dann die Verbindung aufbaut.
Ich mache das immer folgendermaßen:
Steige mit dem i-Benutzer ein und öffne über die QP2TERM und ssh eine Verbindung zum sftp-Server.
Damit erstelle ich den Fingerprint im known_hosts.
Ab diesem Zeitpunkt funktioniert bei mir auch immer der sFTP damit.

[Andreas_Prouza]

Es geht ja auch um FTPS (glaube ich). Der Port hatte mir noch gefehlt, da Filezilla das automatisch macht und im Wiki hatte ich das nicht gefunden.

Im Titel und auch im ersten Post steht SFTP :-)

[cicero22]

Ja es geht um SFTP - nicht um FTPS :-(
Danke Euch soweit.... bin noch am testen - bislang leider noch ohne Erfolg....

[cicero22]

Ja es geht ganz klar um SFTP (nicht FTPs).
Natürlich könnte ich noch gut damit leben, einmalig einen Fingerprint zu akzeptieren.
Mit ssh -l sftpuser sftp.xxx.com kam die Aufforderung diesen zu speichern tatsächlich.


Warning: Permanently added 'sftp.xxx.com,193.xx.xx.xx' (RSA) to the list of known hosts.
sftpuser@sftp.kiongroup.com's password: tcgetattr: Invalid argument
This service allows sftp connections only.
Connection to sftp.xxx.com closed.


Nach Eingabe des (richtigen) Passworts habe ich oben genannte Fehlermeldung (tcgetattr: Invalid argument ) bekommen. Scheinbar bin ich aber nun einen Schritt weiter.... Danke Euch.

[cicero22]

Ja der Wahnsinn ;-)
Auf einem anderen SFTP Server funktioniert es mit
ssh -l sftpuser sftp.yyy.com

(nachdem ich den Fingerprint akzeptiert habe). Für mich ein großer Schritt! Danke bisher....

Nun noch eine bescheidene Frage....
Rufe ich das ganze auf einer anderen AS/400 auf (auch gleicher Releasestand V7R3M0) tut sich überhaupt nichts. Es kommt gar keine Antwort im QSH darauf (übrigens auch nicht mit sftp sftpuser@yyy.com )

[Fuerchau]

Soweit ich mich erinnere funktioniert dies nur mit QP2TERM und nicht mit QSH, daher schwierig zu scripten.

[cicero22]

Oje Baldur - wenn Du schon sagst schwierig zu scripten :-(
Also wenn jemand noch was beitragen kann - Gerne! ;-)

Danke Euch!

[Andreas_Prouza]

Hast du das mit sshpass (wie von mir beschrieben) schon probiert?

[cicero22]

Hast du das mit sshpass (wie von mir beschrieben) schon probiert?

Hallo Andreas. Wo gebe ich das ein? bei QSH oder bei call q2pterm? Ich bin da leider nicht so firm...
Allerdings nachdem ich diese Lösung dann auf einigen Maschinen verwenden möchte wären "Boardmittel" aus meiner Sicht besser... aber zum testen wäre ich nicht abgeneigt! DANKE!

[Andreas_Prouza]

Ok, wenn du es auf verschiedenen Maschinen brauchst, kann das schon etwas zu Aufwendig sein.
Es muss das Open Source Packet installiert sein und ich habe immer wieder ferstgestellt, dass dies oft nicht der fall ist.
Ist aber alles kein großes Problem. Kann man auch offline machen, wenn das Internet vor der IBM i geschützt wird.

Wenn YUM drauf ist kannst du dies einfach via QSH machen.

[schatte]

Hier mal ein Beispiel.

Installation sshpass:

1. yum-Paketmanager installieren: https://ibmi-oss-docs.readthedocs.io...um/README.html
2. CALL QP2TERM
3. Code:

   export PATH=/QOpenSys/pkgs/bin:$PATH
   yum install sshpass

Der ausführende User sollte ein Home-Verzeichnis besitzen (z.B. /home/abc), da hier nach Ausführung des sftp-Befehls der Ordner .ssh mit Datei known_hosts abgelegt wird.

Shell Script (Datei im IFS) mit dem sshpass und sftp-Befehl. Die Datei muss mit einer ASCII CCSID z.B. 819 erstellt werden sowie LF als Umbruch haben.

Code:

#! /usr/bin/sh
export PATH=/QOpenSys/pkgs/bin:$PATH
export SSHPASS='ganzGeheimesPasswort'
sshpass -e sftp -o "StrictHostKeyChecking no" -oBatchMode=no -b - remoteUser@sftp_server << !
        cd /zielverzeichnis
        put dateien*
        quit
!
retval="$?"
if [ $retval -ne 0 ]
then
   echo "Transfer failed! Status:" $retval
   exit $retval
else
   echo "Transfer successful"
fi

• Man kann sshpass auch mit Parameter -p "ganzGeheimesPasswort" aufrufen, allerdings kommt es dann zum Problem, wenn das Passwort spezielle Sonderzeichen enthält. Daher besser mit der Umgebungsvariable arbeiten.
• Der Parameter StrictHostKeyChecking bestätigt automatisch die Fingerprint Meldung.

Das Script dann im CL-Programm wie folgt aufrufen:

Code:

PGM
DCL        VAR(&ERROR)     TYPE(*INT)  LEN(4)

ADDENVVAR  ENVVAR(QIBM_QSH_CMD_ESCAPE_MSG) VALUE('Y') 
MONMSG     MSGID(CPFA980) EXEC(+                      
           CHGENVVAR ENVVAR(QIBM_QSH_CMD_ESCAPE_MSG) +
                     VALUE('Y'))                      

CHGVAR     VAR(&ERROR) VALUE(0)                     
QSH        CMD('/QOpenSys/usr/bin/sh -c +           
             "sftp_script.sh" > sftp_log.log 2>&1')
MONMSG     MSGID(QSH0000) EXEC(+                    
           CHGVAR VAR(&ERROR) VALUE(1))

Durch die Umgebungsvariable QIBM_QSH_CMD_ESCAPE_MSG greift das MONMSG im Fehlerfall, sodass man auch mit bekommt, ob der SFTP-Befehl fehlgeschlagen ist.

Ich hoffe das hilft weiter.

[Fuerchau]

Für mich wäre da mal eher interssant, wie beim STRFTP eine SECCNN(...) eingerichtet wird.
Der Vorteil ist die einfachere Scriptfähigkeit durch OVRDBF STDIN/STDOUT.
Da ich das noch nicht gebraucht habe aber die Kunden verstärkt danach fragen, sollte man das doch ohne Zusatzsoftware können:
https://www.ibm.com/docs/en/i/7.3?topic=ssw_ibm_i_73/cl/ftp.htm

Bei dem sftp der p2term hatte ich früher mal vergeblich versucht, eine Eingabeumleitung zu erreichen, da sftp nicht von STDIN liest.
Aber da die IBM i dies ja nun native können soll, wäre es auch schön das mal nutzen zu können.