Configuración de SunPlex Manager

SunPlex Manager es una GUI que se utiliza para administrar y ver el estado de algunos aspectos relacionados con los dispositivos del quórum, los grupos IPMP, los componentes de interconexiones y los dispositivos globales. Puede utilizarlo en lugar de muchos de los comandos de interfaz de la línea de comandos de Sun Cluster.

El procedimiento de instalación de SunPlex Manager en el clúster se detalla en Sun Cluster Software Installation Guide for Solaris OS. La ayuda en línea de SunPlex Manager contiene instrucciones para efectuar diversas tareas mediante la interfaz gráfica de usuario.

En esta sección se indican los siguientes procedimientos para reconfigurar SunPlex Manager después de la instalación inicial.

• Configuración de roles RBAC

• Cambio del número de puerto de SunPlex Manager

• Cambio de la dirección del servidor de SunPlex Manager

• Configuración de un nuevo certificado de seguridad

• Regeneración de las claves de seguridad del contenedor de agentes comunes

Configuración de roles RBAC

SPM usa RBAC para determinar quién tiene derechos para administrar el clúster. Sun Cluster incluye varios perfiles de derechos de RBAC que pueden asignarse a usuarios o roles para otorgar a éstos distintos niveles de acceso a Sun Cluster. Para obtener más información acerca de cómo configurar y administrar RBAC para Sun Cluster, consulte Sun Cluster y RBAC en Sun Cluster Systems Administration Guide.

Compatibilidad de SunPlex Manager con los conjuntos de caracteres

SunPlex Manager reconoce un conjunto de caracteres limitado para aumentar la seguridad. Los caracteres que no forman parte del conjunto se filtran sin ninguna indicación cuando los formularios en HTML se envían al servidor de SunPlex Manager. SunPlex Manager acepta los siguientes caracteres:

()+,-./0-9:=@A-Z^_a-z{|}~

Este filtro puede provocar problemas en las dos áreas siguientes:

• Entrada de contraseñas para Sun One. Si la contraseña contiene caracteres infrecuentes, éstos se suprimirán, lo que podría causar dos tipos de problemas. O bien la contraseña resultante tendrá menos de 8 caracteres y no será válida, o bien la aplicación quedará configurada con una contraseña distinta de la esperada por el usuario.

• Adaptación al entorno nacional. No se podrán utilizar juegos de caracteres alternativos (por ejemplo: caracteres acentuados o asiáticos).

Cambio del número de puerto de SunPlex Manager

Si el número de puerto predeterminado (6789) entra en conflicto con otro proceso en marcha, cambie el número de puerto de SunPlex Manager en todos los nodos del clúster.

El número de puerto debe ser el mismo en todos los nodos del clúster.

1. Abra el archivo de configuración /opt/SUNWscvw/conf/httpdconfiguración con un editor de texto.

2. Cambie la entrada Port number.

   La entrada Port está en la sección 2, 'Main' server configuration.

3. Edite la entrada VirtualHost para que refleje el nuevo número de puerto.

   La entrada <VirtualHost _default_:6789> está ubicada en la sección llamada “SSL Virtual Host Context”.

4. Guarde el archivo de configuración y salga del editor.

5. Reinicie SunPlex Manager.

   # /opt/SUNWscvw/bin/apachectl restart

6. Repita el procedimiento en todos los nodos del clúster.

Uso del contenedor de agentes comunes para cambiar los números de puerto de los servicios o los agentes de administración

Si los números de puerto predeterminados de los servicios del contenedor de agentes comunes está en conflicto con otros procesos que se estén ejecutando, podrá usar el comando cacaoadm para cambiar el número de puerto del servicio en conflicto o del agente de administración en cada nodo del clúster.

1. En todos los nodos del clúster, detenga el daemon de administración de contenedor de agentes comunes.

   # /opt/SUNWcacao/bin/cacaoadm stop

2. Si no conoce el número de puerto que usa actualmente el servicio de contenedor de agentes comunes cuyo número de puerto desea cambiar, use la orden cacaoadm con la suborden getparam para obtener el número de puerto.

   # /opt/SUNWcacao/bin/cacaoadm getparam nombre_parámetro

   Puede usar la orden cacaoadm para cambiar los números de puerto de los siguientes servicios de contenedor de agentes comunes. La lista siguiente proporciona algunos ejemplos de los servicios y los agentes que se pueden administrar mediante el contenedor de agentes comunes, junto con los nombres de parámetros correspondientes.

   Puerto del conector JMX

   jmxmp.connector.port

   Puerto SNMP

   snmp.adaptor.port

   Puerto de captura SNMP

   snmp.adaptor.trap.port

   Puerto de secuencia de comandos

   commandstream.adaptor.port

3. Para cambiar un número de puerto, use la orden cacaoadm con la suborden setparam y el nombre del parámetro.

   # /opt/SUNWcacao/bin/cacaoadm setparam nombre_parámetro=valor_parámetro

4. Repita Paso 3 en todos los nodos del clúster.

5. Reinicie el daemon de administración contenedor de agentes comunes en todos los nodos del clúster.

   # /opt/SUNWcacao/bin/cacaoadm start

Cambio de la dirección del servidor de SunPlex Manager

Si cambia el nombre de sistema de un nodo del clúster, deberá cambiar la dirección desde la que se ejecuta SunPlex Manager. El certificado de seguridad predeterminado se genera según el nombre de sistema del nodo en el momento de la instalación de SunPlex Manager, por lo que deberá eliminar uno de los paquetes de instalación de SunPlex Manager y reinstalarlo. Deberá efectuar este procedimiento en todos los nodos cuyo nombre se haya cambiado.

1. Ponga a disposición del nodo la imagen del CD-ROM de Sun Cluster.

2. Elimine el paquete SUNWscvw.

   # pkgrm SUNWscvw

3. Reinstale el paquete SUNWscvw.

   #cd<ruta_a_imagen_de_CD-ROM>/SunCluster_3_1_u1/Packages # pkgadd -d . SUNWscvw

Configuración de un nuevo certificado de seguridad

Puede generar su propio certificado de seguridad para habilitar la administración de seguridad del clúster y, a continuación, configurar SunPlex Manager para que utilice dicho certificado en lugar del que se genera de forma predeterminada. Este procedimiento es un ejemplo de configuración de SunPlex Manager para utilizar un certificado de seguridad generado por un paquete de seguridad específico. Las tareas que deben llevarse a cabo dependerán del paquete de seguridad utilizado.

Deberá generar un certificado no cifrado para permitir que el servidor se inicie por sí mismo durante el arranque. Una vez generado un nuevo certificado para cada uno de los nodos del clúster, configure SunPlex Manager para que utilice dichos certificados. Cada nodo deberá disponer de su propio certificado.

1. Copie en el nodo el certificado apropiado.

2. Abra el archivo de configuración /opt/SUNWscvw/conf/httpdconfiguración con un editor de texto.

3. Edite la entrada siguiente para habilitar SunPlex Manager para que utilice el nuevo certificado.

   SSLCertificateFile <ruta_al_archivo_de_certificado>

4. Si la clave privada del servidor no está combinada con el certificado, edite la entrada SSLCertificateKeyFile.

   SSLCertificateKeyFile <ruta_a_clave_del_certificado>

5. Guarde el archivo y salga del editor.

6. Reinicie SunPlex Manager.

   # /opt/SUNWscvw/bin/apachectl restart

7. Repita el procedimiento en todos los nodos del clúster.

Ejemplo: configurar SunPlex Manager para que utilice un nuevo certificado de seguridad

En el ejemplo siguiente se muestra cómo editar el archivo de configuración de SunPlex Manager para que utilice un nuevo certificado de seguridad.

[Copie los certificados de seguridad apropiados en cada nodo.]
[Edite el archivo de configuración.]
# vi /opt/SUNWscvw/conf/httpd.conf
[Edite las entradas apropiadas.]
SSLCertificateFile /opt/SUNWscvw/conf/ssl/phys-schost-1.crt
SSLCertificateKeyFile /opt/SUNWscvw/conf/ssl/phys-schost-1.key
[Guarde el archivo y salga del editor.]
[Reinicie SunPlex Manager.]
# /opt/SUNWscvw/bin/apachectl restart

Regeneración de las claves de seguridad del contenedor de agentes comunes

SunPlex Manager usa técnicas de cifrado más potentes para garantizar una comunicación segura entre el servidor web de SunPlex Manager y los nodos del clúster.

Las claves que usa SunPlex Manager se almacenan en el directorio /etc/opt/SUNWcacao/security de cada nodo. Deben ser idénticas en todos los nodos del clúster.

En condiciones normales de funcionamiento, estas claves se pueden dejar con su configuración normal. Si necesita regenerar las claves debido a un posible riesgo de la clave (por ejemplo, si la raíz está en riesgo) o a cualquier otra razón, puede regenerar las claves de seguridad usando el siguiente procedimiento.

1. En todos los nodos del clúster, detenga el daemon de administración de contenedor de agentes comunes.

   # /opt/SUNWcacao/bin/cacaoadm stop

2. En un nodo del clúster, regenere las claves de seguridad.

   phys-schost-1# /opt/SUNWcacao/bin/cacaoadm create --force

3. Reinicie el daemon de administración de contenedor de agentes comunes en el que desee regenerar las claves de seguridad.

   phys-schost-1# /opt/SUNWcacao/bin/cacaoadm start

4. Cree un archivo tar del directorio /etc/opt/SUNWcacao/security.

   phys-schost-1# tar cf /tmp/SECURITY.tar security

5. Copie el archivo /tmp/Security.tar en cada uno de los nodos del clúster.

6. En cada uno de los nodos en los que copió el archivo /tmp/SECURITY.tar, extraiga los archivos de seguridad.

   Todos los archivos de seguridad que haya en el directorio /etc/opt/SUNWcacao/ se sobrescribirán.

   phys-schost-2# cd /etc/opt/SUNWcacao phys-schost-2# tar xf /tmp/SECURITY.tar

7. Elimine el archivo /tmp/SECURITY.tar de todos los nodos del clúster.

   Debe eliminar todas las copias del archivo tar para evitar riesgos de seguridad.

   phys-schost-1# rm /tmp/SECURITY.tar phys-schost-2# rm /tmp/SECURITY.tar

8. En todos los nodos, reinicie el daemon de administración de contenedor de agentes comunes.

   phys-schost-1# /opt/SUNWcacao/bin/cacaoadm start

9. Reinicie SunPlex Manager.

   # /opt/SUNWscvw/bin/apachectl restart