Configuration de SunPlex Manager

SunPlex Manager est un outil GUI qui permet d'administrer et de visualiser le statut de certains aspects des périphériques de quorum, groupes IPMP, composants d'interconnexion et périphériques globaux. Vous pouvez l'utiliser en lieu et place de nombreuses commandes de l'interface de ligne de commande de Sun Cluster.

La procédure d'installation de SunPlex Manager sur votre cluster se trouve dans le Sun Cluster Software Installation Guide for Solaris OS. L'aide en ligne de SunPlex Manager explique comment effectuer diverses tâches au moyen de l'IUG.

Cette rubrique contient les procédures suivantes de reconfiguration de SunPlex Manager après l'installation initiale :

• Configuration des rôles RBAC

• Modification du numéro de port pour SunPlex Manager

• Modification de l'adresse du serveur pour SunPlex Manager

• Configuration d'un nouveau certificat de sécurité

• Régénération des clés de sécurité du conteneur d'agent commun

Configuration des rôles RBAC

Le SPM utilise RBAC pour spécifier les utilisateurs disposant de droits d'administration sur le cluster. Le logiciel Sun Cluster comprend plusieurs profils d'autorisations d'accès RBAC. Vous pouvez assigner ces profils d'autorisations d'accès aux utilisateurs ou aux rôles pour affecter aux utilisateurs différents niveaux d'accès à Sun Cluster. Pour plus d'informations sur la configuration et la gestion de RBAC pour Sun Cluster, consultez les rubriques Sun Cluster et RBAC dans le Sun Cluster Systems Administration Guide.

Prise en charge du jeu de caractères par SunPlex Manager

Pour des raisons de sécurité, SunPlex Manager ne reconnaît qu'un jeu de caractères limité. Les caractères n'appartenant pas au jeu sont éliminés par filtrage sans avertissement lorsque les formulaires HTML sont soumis au serveur SunPlex Manager. Voici les caractères acceptés par SunPlex Manager :

()+,-./0-9:=@A-Z^_a-z{|}~

Ce filtre peut engendrer des problèmes dans deux domaines :

• Entrée du mot de passe pour les services Sun Java System : si le mot de passe contient des caractères inhabituels, ils seront éliminés, ce qui entraîne deux problèmes. Soit le mot de passe résultant contient moins de 8 caractères et est refusé, soit l'application est configurée avec un mot de passe différent de celui prévu par l'utilisateur.

• Localisation : les autres jeux de caractères ( caractères accentués ou asiatiques, par exemple) ne sont pas pris en charge.

Modification du numéro de port pour SunPlex Manager

Si le numéro de port par défaut (6789) entre en conflit avec un autre processus en cours, changez le numéro de port de SunPlex Manager sur chaque nœud du cluster.

le numéro de port doit être identique sur tous les nœuds du cluster.

1. Ouvrez le fichier de configuration /opt/SUNWscvw/conf/httpd.conf dans un éditeur de texte.

2. Changez l'entrée définissant le numéro de port.

   L'entrée Port figure à la section 2, 'Main' server configuration.

3. Éditez l'entrée VirtualHost en fonction du nouveau numéro de port.

   L'entrée <VirtualHost _default_:6789> se trouve dans la section intitulée “SSL Virtual Host Context”.

4. Enregistrez le fichier de configuration et quittez l'éditeur.

5. Redémarrez SunPlex Manager.

   # /opt/SUNWscvw/bin/apachectl restart

6. Répétez cette procédure sur chaque nœud du cluster.

Utilisation du conteneur d'agent commun pour modifier les numéros de port des services ou agents de gestion

Si les numéros de port par défaut de vos services de conteneur d'agent commun sont en conflit avec d'autres processus en cours d'exécution, vous pouvez utiliser la commande cacaoadm pour modifier le numéro de port du service ou de l'agent de gestion en conflit sur chaque nœud du cluster.

1. Sur tous les nœuds du cluster, arrêtez le démon de gestion conteneur d'agent commun.

   # /opt/SUNWcacao/bin/cacaoadm stop

2. Si vous ne connaissez pas le numéro de port actuellement utilisé par le service du conteneur d'agent commun à modifier, utilisez la commande cacaoadm avec la sous-commande getparam pour extraire le numéro de port.

   # /opt/SUNWcacao/bin/cacaoadm getparam NomParamètre

   Vous pouvez utiliser la commande cacaoadm pour modifier les numéros de port pour les services de conteneur d'agent commun suivants. La liste ci-après fournit quelques exemples de services et agents qui peuvent être gérés par le conteneur d'agent commun, avec les noms de paramètre correspondants.

   port connecteur JMX

   jmxmp.connector.port

   port SNMP

   snmp.adaptor.port

   port de déroutement SNMP

   snmp.adaptor.trap.port

   port de flux de commande

   commandstream.adaptor.port

3. Pour modifier un numéro de port, utilisez la commande cacaoadm avec la sous-commande setparam et le nom du paramètre.

   # /opt/SUNWcacao/bin/cacaoadm setparam parameterName=parameterValue

4. Répétez Étape 3 pour chaque nœud du cluster.

5. Redémarrez le démon de gestion conteneur d'agent commun sur tous les nœuds du cluster.

   # /opt/SUNWcacao/bin/cacaoadm start

Modification de l'adresse du serveur pour SunPlex Manager

Si vous modifiez le nom d'hôte d'un nœud du cluster, vous devez changer l'adresse à partir de laquelle est exécuté SunPlex Manager. Étant donné que le certificat de sécurité par défaut est généré d'après le nom d'hôte du nœud au moment où SunPlex Manager est installé, vous devez supprimer un des packages d'installation de SunPlex Manager et le réinstaller. Vous devez effectuer cette procédure sur chaque nœud dont le nom d'hôte a été modifié.

1. Mettez l'image du CD de Sun Cluster à la disposition du nœud.

2. Supprimez le package SUNWscvw.

   # pkgrm SUNWscvw

3. Réinstallez le package SUNWscvw.

   # cd <path to CD-ROM image>/SunCluster_3_1_u1/Packages # pkgadd -d . SUNWscvw

Configuration d'un nouveau certificat de sécurité

Vous pouvez générer votre propre certificat de sécurité pour permettre une administration sécurisée de votre cluster, puis configurer SunPlex Manager pour qu'il utilise ce certificat au lieu de celui qui est généré par défaut. La procédure qui suit illustre la configuration de SunPlex Manager pour que l'interface utilise un certificat de sécurité généré par un package de sécurité particulier. Les tâches à effectuer dans la réalité dépendent du package de sécurité utilisé.

vous devez générer un certificat non crypté pour que le serveur puisse démarrer de lui-même lors de l'initialisation. Une fois que vous avez généré un nouveau certificat pour chaque nœud du cluster, configurez SunPlex Manager de sorte qu'il utilise ces certificats. Chaque nœud doit avoir son propre certificat de sécurité.

1. Copiez le certificat approprié sur le nœud.

2. Ouvrez le fichier de configuration /opt/SUNWscvw/conf/httpd.conf dans un éditeur de texte.

3. Éditez l'entrée suivante pour permettre à SunPlex Manager d'utiliser le nouveau certificat.

   SSLCertificateFile <path to certificate file>

4. Si la clé privée du serveur n'est pas associée au certificat, éditez l'entrée SSLCertificateKeyFile.

   SSLCertificateKeyFile <path to server key>

5. Enregistrez le fichier et quittez l'éditeur.

6. Redémarrez SunPlex Manager.

   # /opt/SUNWscvw/bin/apachectl restart

7. Répétez cette procédure sur chaque nœud du cluster.

Exemple de configuration de SunPlex Manager pour l'utilisation d'un nouveau certificat de sécurité

L'exemple suivant illustre l'édition du fichier de configuration de SunPlex Manager de manière à utiliser un nouveau certificat de sécurité.

[Copiez les certificats de sécurité appropriés sur chaque nœud.]
[Modifiez le fichier de configuration.]
# vi /opt/SUNWscvw/conf/httpd.conf
[Modifiez les entrées appropriées.]
SSLCertificateFile /opt/SUNWscvw/conf/ssl/phys-schost-1.crt
SSLCertificateKeyFile /opt/SUNWscvw/conf/ssl/phys-schost-1.key
[Sauvegardez le fichier et fermez l'éditeur.]
[Redémarrez SunPlex Manager.]
# /opt/SUNWscvw/bin/apachectl restart

Régénération des clés de sécurité du conteneur d'agent commun

SunPlex Manager utilise des techniques de cryptage sophistiquées pour sécuriser les communications entre le serveur Web SunPlex Manager et chacun des nœuds du cluster.

Les clés utilisées par SunPlex Manager sont stockées dans le répertoire /etc/opt/SUNWcacao/security sur chaque nœud. Elles doivent être identiques sur tous les nœuds du cluster.

En fonctionnement normal, ces clés peuvent conserver leur configuration par défaut. Si vous êtes amené à régénérer ces clés en raison d'un problème de clé (par exemple, problème de racine sur une machine) ou pour une autre raison, vous pouvez procédez comme suit.

1. Sur tous les nœuds du cluster, arrêtez le démon de gestion conteneur d'agent commun.

   # /opt/SUNWcacao/bin/cacaoadm stop

2. Sur l'un des nœuds du cluster, régénérez les clés de sécurité.

   phys-schost-1# /opt/SUNWcacao/bin/cacaoadm create --force

3. Redémarrez le démon de gestion conteneur d'agent commun sur le nœud sur lequel les clés de sécurité ont été régénérées.

   phys-schost-1# /opt/SUNWcacao/bin/cacaoadm start

4. Créez un fichier tar du répertoire /etc/opt/SUNWcacao/security.

   phys-schost-1# tar cf /tmp/SECURITY.tar security

5. Copiez le fichier /tmp/Security.tar sur chacun des nœuds du cluster.

6. Sur chaque nœud sur lequel vous avez copié le fichier /tmp/SECURITY.tar, extrayez les fichiers de sécurité.

   Tout fichier de sécurité présent dans le répertoire /etc/opt/SUNWcacao/ sera écrasé.

   phys-schost-2# cd /etc/opt/SUNWcacao phys-schost-2# tar xf /tmp/SECURITY.tar

7. Supprimez le fichier /tmp/SECURITY.tar de chaque nœud du cluster.

   Vous devez supprimer chaque copie du fichier tar afin de limiter les risques en matière de sécurité.

   phys-schost-1# rm /tmp/SECURITY.tar phys-schost-2# rm /tmp/SECURITY.tar

8. Sur tous les nœuds, redémarrez le démon de gestion conteneur d'agent commun.

   phys-schost-1# /opt/SUNWcacao/bin/cacaoadm start

9. Redémarrez SunPlex Manager.

   # /opt/SUNWscvw/bin/apachectl restart