配置 SunPlex Manager

SunPlex Manager 是一個可讓您用於管理與檢視法定裝置、IPMP 群組、互連元件以及全域裝置的所有方面狀態的 GUI。您可以此取代多項 Sun Cluster CLI 指令。

「Sun Cluster 軟體安裝指南（適用於 Solaris 作業系統）」中提供了有關在叢集上安裝 SunPlex Manager 的程序。SunPlex Manager 線上說明包含使用 GUI 完成各種作業的說明。

本節包含初始安裝後用來重新配置 SunPlex Manager 的以下程序。

• 設置 RBAC 角色

• 如何變更 SunPlex Manager 的伺服器位址

• 如何配置新的安全性認證

• 如何重新產生一般代理程式容器安全金鑰

設置 RBAC 角色

SunPlex Manager 使用 RBAC 確定有權管理叢集的人員。Sun Cluster 軟體中包含數個 RBAC 許可權設定檔。您可以將這些許可權設定檔指定給使用者或角色，以使他們對 Sun Cluster 具有不同層級的存取權限。如需有關如何為 Sun Cluster 設置和管理 RBAC 的更多資訊，請參閱「Sun Cluster 系統管理指南」中的 Sun Cluster 和 RBAC。

如何使用一般代理程式容器變更服務或管理代理程式的連接埠號

如果一般代理程式容器服務的預設連接埠號碼與其他正在執行的程序衝突，您可以使用 cacaoadm 指令在每個叢集節點上變更發生衝突的服務或管理代理程式的連接埠號碼。

步驟

1. 在所有叢集節點上，停止一般代理程式容器管理常駐程式。

   # /opt/SUNWcacao/bin/cacaoadm stop

2. 停止 Sun Java Web Console。

   # /usr/sbin/sunmcwebserver stop

3. 如果您不知道所要變更連接埠號碼的一般代理程式容器服務目前使用的連接埠號碼，請將 cacaoadm 指令與 get-param 子指令搭配使用，以擷取該連接埠號碼。

   # /opt/SUNWcacao/bin/cacaoadm get-param parameterName

   您可以使用 cacaoadm 指令為以下一般代理程式容器服務變更連接埠號。以下清單提供了一些可由一般代理程式容器管理的服務和代理程式範例，以及相應的參數名稱。

   JMX connector port

   jmxmp-connector-port

   SNMP port

   snmp-adaptor-port

   SNMP trap port

   snmp-adaptor-trap-port

   Command stream port

   commandstream-adaptor-port

4. 若要變更連接埠號，請使用 cacaoadm 指令與 setparam 子指令及參數名稱。

   # /opt/SUNWcacao/bin/cacaoadm set-param parameterName=parameterValue =parameterValue

5. 在每個叢集節點上重複執行步驟 4。

6. 重新啟動 Sun Java Web Console。

   # /usr/sbin/sunmcwebserver start

7. 在所有叢集節點上重新啟動一般代理程式容器管理常駐程式。

   # /opt/SUNWcacao/bin/cacaoadm start

如何變更 SunPlex Manager 的伺服器位址

如果您變更了叢集節點的主機名稱，則必須變更 SunPlex Manager 的執行位址。預設安全憑證在安裝 SunPlex Manager 時根據節點的主機名稱產生。若要重設節點的主機名稱，請刪除憑證檔案 keystore 並重新啟動 SunPlex Manager。SunPlex Manager 將自動以新主機名稱建立新的憑證檔案。您必須在每個已變更主機名稱的節點上完成此程序。

步驟

1. 移除位於 /etc/opt/webconsole 中的憑證檔案 keystore。

   # cd /etc/opt/webconsole # pkgrm keystore

2. 重新啟動 SunPlex Manager。

   # /usr/sbin/smcwebserver restart

如何配置新的安全性認證

您可以產生自己的安全性憑證以啟用您叢集的安全管理，然後將 SunPlex Manager 配置為使用該憑證，而不使用依預設產生的憑證。此程序是一個範例，顯示如何將 SunPlex Manager 配置為使用由某一特定安全性套裝軟體產生的安全性憑證。實際作業必須視您所使用的安全套件而定。

您必須產生一個未加密的憑證，以便讓伺服器能在開機時自行啟動。為叢集中的每個節點產生新憑證之後，即可將 SunPlex Manager 配置為使用這些憑證。每個節點都必須有自己的安全性認證。

步驟

1. 將適當的認證複製到節點上。

2. 開啟 /opt/SUNWscvw/conf/httpd.conf 配置檔，以進行編輯。

3. 編輯以下項目，以使 SunPlex Manager 使用新憑證。

   SSLCertificateFile <path to certificate file>

4. 如果伺服器專用鍵並未包含於認證中，請編輯 SSLCertificateKeyFile 項目。

   SSLCertificateKeyFile <path to server key>

5. 儲存檔案並離飭s輯器。

6. 重新啟動 SunPlex Manager。

   # /usr/sbin/smcwebserver restart

7. 在叢集的每一個節點上重複此程序。

範例 10–1 配置 SunPlex Manager 以使用新的安全憑證

以下範例顯示如何編輯 SunPlex Manager 配置檔案，以使用新的安全性憑證。

[將相應的安全憑證複製到每個節點。]
[編輯配置檔案。]
# vi /opt/SUNWscvw/conf/httpd.conf
[編輯相應的條目。]
SSLCertificateFile /opt/SUNWscvw/conf/ssl/phys-schost-1.crt
SSLCertificateKeyFile /opt/SUNWscvw/conf/ssl/phys-schost-1.key

[儲存檔案並結束編輯器。]
[重新啟動 SunPlex Manager。]
# /usr/sbin/smcwebserver restart

如何重新產生一般代理程式容器安全金鑰

SunPlex Manager 使用強大的加密技術確保 SunPlex Manager Web 伺服器與每個叢集節點之間的安全通訊。

SunPlex Manager 使用的金鑰儲存於每個節點的 /etc/opt/SUNWcacao/security 目錄中。它們在所有叢集節點上應都相同。

一般作業中，這些金鑰可以保留為預設配置。如果您變更了叢集節點的主機名稱，則必須重新產生一般代理程式容器安全金鑰。由於可能發生金鑰洩漏 (例如機器上的根洩漏)，您可能需要重新產生金鑰。若要重新產生安全金鑰，請使用以下程序。

步驟

1. 在所有叢集節點上，停止一般代理程式容器管理常駐程式。

   # /opt/SUNWcacao/bin/cacaoadm stop

2. 在叢集的一個節點上，重新產生安全金鑰。

   phys-schost-1# /opt/SUNWcacao/bin/cacaoadm create-keys --force

3. 在重新產生安全金鑰的節點上，重新啟動一般代理程式容器管理常駐程式。

   phys-schost-1# /opt/SUNWcacao/bin/cacaoadm start

4. 建立 /etc/opt/SUNWcacao/security 目錄的 tar 檔案。

   phys-schost-1# tar cf /tmp/SECURITY.tar security

5. 將 /tmp/Security.tar 檔案複製到每個叢集節點。

6. 在您將 /tmp/SECURITY.tar 檔案複製到的每個節點上擷取安全性檔案。

   /etc/opt/SUNWcacao/ 目錄中已存在的所有安全性檔案均會被覆寫。

   phys-schost-2# cd /etc/opt/SUNWcacao phys-schost-2# tar xf /tmp/SECURITY.tar

7. 從叢集的每個節點中刪除 /tmp/SECURITY.tar 檔案。

   您必須刪除 tar 檔案的每個副本，以避免安全性威脅。

   phys-schost-1# rm /tmp/SECURITY.tar phys-schost-2# rm /tmp/SECURITY.tar

8. 在所有節點上，重新啟動一般代理程式容器管理常駐程式。

   phys-schost-1# /opt/SUNWcacao/bin/cacaoadm start

9. 重新啟動 SunPlex Manager。

   # /usr/sbin/smcwebserver restart