Konfigurieren von SunPlex Manager

SunPlex Manager ist eine grafische Benutzeroberfläche, die Sie zur Verwaltung und Anzeige des Status einiger Aspekte von Quorum-Geräten, IPMP-Gruppen, Interconnect-Komponenten und globalen Geräten verwenden können. Sie können dieses Tool anstelle zahlreicher Sun Cluster-Befehle für die Befehlszeilenschnittstelle verwenden.

Das Verfahren zur Installation von SunPlex Manager auf Ihrem Cluster wird im Sun Cluster Software-Installationshandbuch für Solaris OS beschrieben. Die Online-Hilfe zu SunPlex Manager enthält Anweisungen zur Ausführung verschiedener Aufgaben mit der grafischen Benutzeroberfläche.

Dieser Abschnitt enthält die folgenden Verfahren zur Rekonfigurierung von SunPlex Manager nach der ersten Installation.

• Einrichten von RBAC-Rollen

• So ändern Sie die Port-Nummer für SunPlex Manager

• So ändern Sie die Serveradresse für SunPlex Manager

• So konfigurieren Sie ein neues Sicherheitszertifikat

• So generieren Sie die Sicherheitsschlüssel für den allgemeinen Agentencontainer neu

Einrichten von RBAC-Rollen

Die SPM-Software verwendet RBAC, um zu ermitteln, wer über die Verwaltungsrechte für den Cluster verfügt. Die Sun Cluster-Software enthält mehrere RBAC-Rechteprofile. Sie können diese Rechteprofile Benutzern oder Rollen zuweisen und den Benutzern so auf verschiedenen Ebenen Zugriff auf Sun Cluster gewähren. Weitere Informationen zur Einrichtung und Verwaltung von RBAC für Sun Cluster, erhalten Sie im Abschnitt zu Sun Cluster und RBAC in Sun Cluster Handbuch Systemverwaltung für Solaris OS.

Zeichensatz-Unterstützung bei SunPlex Manager

Die SunPlex Manager-Software verwendet einen eingeschränkten Zeichensatz, um die Sicherheit zu erhöhen. Zeichen, die nicht im Satz enthalten sind, werden stillschweigend herausgefiltert, wenn HTML-Formulare an den SunPlex Manager-Server gesendet werden. Folgende Zeichen werden von SunPlex Manager unterstützt:

()+,-./0-9:=@A-Z^_a-z{|}~

Dieser Filter kann in folgenden beiden Bereichen ggf. zu Problemen führen:

• Passworteingabe fur Sun Java System-Dienste. Wenn das Passwort ungewöhnliche Zeichen enthält, werden diese entfernt; dadurch entstehen zwei Probleme. Entweder hat das Passwort anschließend weniger als 8 Zeichen und wird zurückgewiesen, oder die Anwendung wird mit einem anderen als dem vom Benutzer vorgesehenen Passwort konfiguriert.

• Lokalisierung. Alternative Zeichensätze (zum Beispiel Zeichen mit Akzent oder asiatische Zeichen) werden bei der Eingabe nicht unterstützt.

So ändern Sie die Port-Nummer für SunPlex Manager

Wenn die Standard-Port-Nummer (6789) zu einem Konflikt mit anderen ausgeführten Prozessen führt, ändern Sie die Port-Nummer für SunPlex Manager auf jedem Knoten des Clusters.

Die Port-Nummer muss auf allen Knoten im Cluster identisch sein.

1. Öffnen Sie die /opt/SUNWscvw/conf/httpd.conf-Konfigurationsdatei mit einem Text-Editor.

2. Ändern Sie den Eintrag für die Port-Nummer.

   Der Port-Eintrag befindet sich in Abschnitt 2, 'Main' server configuration.

3. Bearbeiten Sie den Eintrag VirtualHost, um die neue Port-Nummer wiederzugeben.

   Der Eintrag <VirtualHost _default_:6789> befindet sich im Abschnitt “SSL Virtual Host Context”.

4. Speichern Sie die Konfiguration, und beenden Sie den Editor.

5. Starten Sie SunPlex Manager neu.

   # /opt/SUNWscvw/bin/apachectl restart

6. Wiederholen Sie dieses Verfahren auf jedem Knoten des Clusters.

So verwenden Sie den allgemeinen Agentencontainer, um die Port-Nummern für Dienste oder Verwaltungsagenten zu ändern

Falls die standardmäßigen Port-Nummern für die Dienste Ihres allgemeinen Agentenconainers einen Konflikt mit anderen laufenden Prozessen hervorrufen, ändern Sie mithilfe des Befehls cacaoadm die Port-Nummer des Dienstes, durch den der Konflikt auftritt, oder des Verwaltungsagenten auf jedem Knoten des Clusters.

1. Halten Sie auf sämtlichen Cluster-Knoten den Common Agent Container-Verwaltungs-Dämon.

   # /opt/SUNWcacao/bin/cacaoadm stop

2. Falls Sie nicht wissen, welche Port-Nummer derzeit von dem allgemeinen Agentencontainer-Dienst verwendet wird, dessen Port-Nummer sie ändern möchten, verwenden Sie den Befehl cacaoadm mit dem Unterbefehl getparam, um die Port-Nummer abzurufen.

   # /opt/SUNWcacao/bin/cacaoadm getparam Parametername

   Sie können mithilfe des Befehls cacaoadm die Port-Nummern der folgenden allgemeinen Agentencontainer-Dienste ändern. In der folgenden Liste werden einige Beispiele für Dienste und Agenten, die vom allgemeinen Agenten-Container verwaltet werden können, sowie deren zugehörige Parameternamen aufgeführt.

   JMX-Connector-Port

   jmxmp.connector.port

   SNMP-Port

   snmp.adaptor.port

   SNMP-Trap-Port

   snmp.adaptor.trap.port

   Befehlsfolgen-Port

   commandstream.adaptor.port

3. Verwenden Sie zum Ändern einer Port-Nummer den Befehl cacaoadm in Verbindung mit dem Unterbefehl setparam und dem Parameternamen.

   # /opt/SUNWcacao/bin/cacaoadm setparam Parametername=Parameterwert

4. Wiederholen Sie Schritt 3 auf jedem Knoten des Clusters.

5. Starten Sie den Common Agent Container-Verwaltungs-Dämon auf allen Cluster-Knoten neu.

   # /opt/SUNWcacao/bin/cacaoadm start

So ändern Sie die Serveradresse für SunPlex Manager

Wenn Sie den Hostnamen eines Cluster-Knotens ändern, müssen Sie auch die Adresse ändern, von der aus SunPlex Manager ausgeführt wird. Das Standard-Sicherheitszertifikat wird bei der Installation von SunPlex Manager auf der Grundlage des Hostnamens des Knotens generiert; deswegen müssen Sie eines der Installationspakete von SunPlex Manager entfernen und neu installieren. Sie müssen diesen Vorgang auf allen Knoten durchführen, deren Hostname geändert wurde.

1. Machen Sie das CD-ROM-Abbild von Sun Cluster für den Knoten verfügbar.

2. Entfernen Sie das SUNWscvw-Paket.

   # pkgrm SUNWscvw

3. Installieren Sie das SUNWscvw-Paket neu.

   # cd <Pfad zum CD-ROM-Abbild>/SunCluster_3_1_u1/Packages # pkgadd -d . SUNWscvw

So konfigurieren Sie ein neues Sicherheitszertifikat

Sie können Ihr eigenes Sicherheitszertifikat für eine sichere Verwaltung Ihres Clusters generieren und SunPlex Manager so konfigurieren, dass dieses anstelle des standardmäßig generierten Zertifikats verwendet wird. Dieses Verfahren ist ein Beispiel für die Konfiguration von SunPlex Manager, um ein von einem bestimmten Sicherheitspaket generiertes Sicherheitszertifikat zu verwenden. Die tatsächlich auszuführenden Aufgaben hängen von dem Sicherheitspaket ab, das Sie verwenden.

Sie müssen ein unverschlüsseltes Zertifikat generieren, damit der Server beim Booten selbstständig starten kann. Sobald Sie für jeden Knoten Ihres Clusters ein neues Zertifikat generiert haben, konfigurieren Sie SunPlex Manager zur Verwendung dieser Zertifikate. Jeder Knoten muss ein eigenes Sicherheitszertifikat besitzen.

1. Kopieren Sie das entsprechende Zertifikat auf den Knoten.

2. Öffnen Sie die /opt/SUNWscvw/conf/httpd.conf-Konfigurationsdatei, um sie zu bearbeiten.

3. Bearbeiten Sie folgenden Eintrag, damit SunPlex Manager das neue Zertifikat verwenden kann.

   SSLCertificateFile <Pfad zur Zertifikatsdatei>

4. Wenn der private Schlüssel des Servers nicht mit dem Zertifikat verknüpft ist, bearbeiten Sie den SSLCertificateKeyFile-Eintrag.

   SSLCertificateKeyFile <Pfad zum Serverschlüssel>

5. Speichern Sie die Datei, und beenden Sie den Text-Editor.

6. Starten Sie SunPlex Manager neu.

   # /opt/SUNWscvw/bin/apachectl restart

7. Wiederholen Sie dieses Verfahren für jeden Knoten des Clusters.

Beispiel – Konfigurieren von SunPlex Manager zur Verwendung eines neuen Sicherheitszertifikats

Das nachstehende Beispiel zeigt das Bearbeiten der Konfigurationsdatei für SunPlex Manager, um ein neues Sicherheitszertifikat zu verwenden.

[Kopieren Sie das entsprechende Sicherheitszertifikat auf jeden Knoten.]
[Bearbeiten Sie die Konfigurationsdatei.]
# vi /opt/SUNWscvw/conf/httpd.conf
[Bearbeiten Sie die entsprechenden Einträge.]
SSLCertificateFile /opt/SUNWscvw/conf/ssl/phys-schost-1.crt
SSLCertificateKeyFile /opt/SUNWscvw/conf/ssl/phys-schost-1.key
[Speichern Sie die Datei und beenden Sie den Editor.]
[Starten Sie SunPlex-Manager neu.]
# /opt/SUNWscvw/bin/apachectl restart

So generieren Sie die Sicherheitsschlüssel für den allgemeinen Agentencontainer neu

SunPlex Manager verwendet starke Verschlüsselungstechniken, um die sichere Datenübertragung zwischen dem SunPlex Manager-Webserver und allen Cluster-Knoten zu gewährleisten.

Die von SunPlex Manager verwendeten Schlüssel sind auf jedem Knoten im Verzeichnis /etc/opt/SUNWcacao/security gespeichert. Sie sollten auf allen Cluster-Knoten identisch sein.

Während des normalen Betriebs können diese Schlüssel ihre Standardkonfiguration beibehalten. Wenn Sie die Schlüssel aufgrund eines möglichen Schlüsselkompromisses (z. B. ein Schlüsselkompromiss auf dem Computer) oder aus einem anderen Grund neu generieren müssen, können Sie die Sicherheitsschlüssel durch das folgende Verfahren neu generieren.

1. Halten Sie auf sämtlichen Cluster-Knoten den Common Agent Container-Verwaltungs-Dämon.

   # /opt/SUNWcacao/bin/cacaoadm stop

2. Generieren Sie die Sicherheitsschlüssel auf einem Knoten des Clusters neu.

   phys-schost-1# /opt/SUNWcacao/bin/cacaoadm create --force

3. Starten Sie den Common Agent Container-Verwaltungs-Dämon auf dem Knoten neu, auf dem Sie die Sicherheitsschlüssel neu generiert haben.

   phys-schost-1# /opt/SUNWcacao/bin/cacaoadm start

4. Erstellen Sie eine tar-Datei im Verzeichnis /etc/opt/SUNWcacao/security.

   phys-schost-1# tar cf /tmp/SECURITY.tar security

5. Kopieren Sie die Datei /tmp/Security.tar auf jeden vorhandenen Cluster-Knoten.

6. Extrahieren Sie die Sicherheitsdateien auf allen Knoten, auf die Sie die Datei /tmp/SECURITY.tar kopiert haben.

   Sämtliche im Verzeichnis/etc/opt/SUNWcacao/ bereits vorhandenen Sicherheitsdateien werden überschrieben.

   phys-schost-2# cd /etc/opt/SUNWcacao phys-schost-2# tar xf /tmp/SECURITY.tar

7. Löschen Sie die Datei /tmp/SECURITY.tar aus allen Knoten des Clusters.

   Sie müssen sämtliche Kopien der tar-Datei löschen, um Sicherheitsrisiken zu vermeiden.

   phys-schost-1# rm /tmp/SECURITY.tar phys-schost-2# rm /tmp/SECURITY.tar

8. Starten Sie auf sämtlichen Knoten den Common Agent Container-Verwaltungs-Dämon neu.

   phys-schost-1# /opt/SUNWcacao/bin/cacaoadm start

9. Starten Sie SunPlex Manager neu.

   # /opt/SUNWscvw/bin/apachectl restart