SunPlex Manager の構成

SunPlex Manager は、定足数デバイス、IPMP グループ、インターコネクト、広域デバイスなどの状態を管理および表示できる GUI です。SunPlex Manager は、多くの Sun Cluster CLI コマンドの代わりに使用できます。

SunPlex Manager を各自のクラスタにインストールする手順については、『Sun Cluster ソフトウェアのインストール (Solaris OS 版)』を参照してください。GUI を使用してさまざまな作業を行う方法については、SunPlex Manager のオンラインヘルプを参照してください。

この節では、初期インストール後、SunPlex Manager を再構成するための次のような手順について説明します。

• 「RBAC の役割の設定」

• 「SunPlex Manager のポート番号の変更方法」

• 「SunPlex Manager のサーバーアドレスを変更する」

• 「新しいセキュリティ証明書を構成する」

• 「共通エージェントコンテナのセキュリティ鍵を再生成する」

RBAC の役割の設定

SPM は、RBAC を使用して、誰がクラスタを管理する権限を持っているかを判別します。Sun Cluster ソフトウェアには、いくつかの RBAC 権限プロファイルが含まれています。これらの権限プロファイルをユーザーまたは役割に割り当てることで、Sun Cluster に対するさまざまなレベルのアクセス権をユーザーに与えることができます。Sun Cluster の RBAC のインストールと管理の方法については、『Sun Cluster のシステム管理』の 「Sun Cluster と RBAC」を参照してください。

SunPlex Manager 文字セットのサポート

セキュリティを高めるために、SunPlex Manager は制限された文字セットを認識します。この文字セットに属していない文字は、HTML フォームが SunPlex Manager サーバーに送信されたときに無視されます。SunPlex Manager では、次の文字を使用できます。

()+,-./0-9:=@A-Z^_a-z{|}~

このフィルタ機能によって、以下の問題が生じる可能性があります。

• Sun Java System サービスに対するパスワード入力。パスワードに無効な文字が含まれていると、このような文字は取り除かれます。そのため、パスワードが 8 文字未満になり、拒否されるか、ユーザーの意図とは異なるパスワードがアプリケーションに設定されます。

• 地域化。 代替文字セットを入力できなくなります(例: アクセント文字やアジア各国の文字など) が入力に使用できない。

SunPlex Manager のポート番号の変更方法

デフォルトのポート番号 (6789) が別の実行中のプロセスと衝突する場合、クラスタ内の各ノード上で、SunPlex Manager のポート番号を変更します。

ポート番号はクラスタ内の各ノード上で同じである必要があります。

1. /opt/SUNWscvw/conf/httpd.conf 構成ファイルをテキストエディタで開きます。

2. Port (ポート番号) エントリを変更します。

   エントリは、「Section 2, 'Main' server configuration」の下にあります。

3. VirtualHost エントリを編集して、新しいポート番号を反映します。

   <VirtualHost _default_:6789> エントリは、“SSL Virtual Host Context” のセクションにあります。

4. 構成ファイルを保存して、エディタを終了します。

5. SunPlex Manager を再起動します。

   # /opt/SUNWscvw/bin/apachectl restart

6. この手順をクラスタ内の各ノード上で繰り返します。

共通エージェントコンテナを使用して、サービスまたは管理エージェントのポート番号を変更する

共通エージェントコンテナサービス用のデフォルトのポート番号が他の実行中のプロセスと衝突する場合、cacaoadm コマンドを使用して、クラスタの各ノード上で衝突するサービスまたは管理エージェントのポート番号を変更できます。

1. すべてのクラスタ上で 共通エージェントコンテナ 管理デーモンを停止します。

   # /opt/SUNWcacao/bin/cacaoadm stop

2. ポート番号を変更する共通エージェントコンテナサービスで現在使用されているポート番号がわからない場合は、cacaoadm コマンドと getparam サブコマンドを使用して、ポート番号を取得します。

   # /opt/SUNWcacao/bin/cacaoadm getparam parameterName

   cacaoadm コマンドを使用して、以下の共通エージェントコンテナサービスのポート番号を変更できます。次のリストは、共通エージェントコンテナで管理できるサービスとエージェント、および対応するパラメータ名の例を示しています。

   JMX コネクタポート

   jmxmp.connector.port

   SNMP ポート

   snmp.adaptor.port

   SNMP トラップポート

   snmp.adaptor.trap.port

   コマンドストリームポート

   commandstream.adaptor.port

3. ポート番号を変更するには、cacaoadm コマンドと setparam サブコマンドおよびパラメータ名を使用します。

   # /opt/SUNWcacao/bin/cacaoadm setparam parameterName=parameterValue

4. クラスタの各ノード上で手順 3 を繰り返します。

5. すべてのクラスタノード上で 共通エージェントコンテナ 管理デーモンを再起動します。

   # /opt/SUNWcacao/bin/cacaoadm start

SunPlex Manager のサーバーアドレスを変更する

クラスタノードのホスト名を変更する場合、SunPlex Manager を実行するアドレスを変更する必要があります。デフォルトのセキュリティ証明書は、SunPlex Manager がインストールされたときのノードのホスト名に基づいて生成されるため、SunPlex Manager インストールパッケージを削除して、再インストールする必要があります。この手順は、ホスト名を変更したすべてのノード上で行う必要があります。

1. Sun Cluster の CD-ROM イメージをノードで利用できるようにします。

2. SUNWscvw パッケージを削除します。

   # pkgrm SUNWscvw

3. SUNWscvw パッケージを再インストールします。

   # cd <CD-ROM イメージのパス>/SunCluster_3_1_u1/Packages # pkgadd -d . SUNWscvw

新しいセキュリティ証明書を構成する

独自のセキュリティ証明書を生成することによって、クラスタの管理を安全にし、デフォルト以外で生成された証明書を SunPlex Manager が使用するように構成できます。ここで説明する手順は、SunPlex Manager が特定のセキュリティパッケージで生成されたセキュリティ証明書を使用するように構成する例です。したがって、実際に行う作業は使用するセキュリティパッケージによって異なります。

サーバーが独自の証明書を使用して起動できるように、暗号化されていない証明書を生成する必要があります。クラスタ内の各ノード用に新しい証明書を生成した後は、SunPlex Manager がそれらの証明書を使用するように構成します。独自のセキュリティ証明書は、各ノードで持つ必要があります。

1. 証明書をノードへコピーします。

2. /opt/SUNWscvw/conf/httpd.conf 構成ファイルをテキストエディタで開きます。

3. 次のエントリを編集して、SunPlex Manager が新しい証明書を使用できるようにします。

   SSLCertificateFile <path to certificate file>

4. サーバーの非公開鍵が証明書と関連付けられていない場合、SSLCertificateKeyFile エントリを編集します。

   SSLCertificateKeyFile <path to server key>

5. ファイルを保存し、エディタを終了します。

6. SunPlex Manager を再起動します。

   # /opt/SUNWscvw/bin/apachectl restart

7. この手順をクラスタ内の各ノード上で繰り返します。

例 — 新しいセキュリティ証明書を使用するための SunPlex Manager の構成

次に、新しいセキュリティ証明書を使用するように SunPlex Manager の構成ファイルを編集する例を示します。

[適切なセキュリティ証明書を各ノードにコピーします]
[構成ファイルを編集します]
# vi /opt/SUNWscvw/conf/httpd.conf
[適切なエントリーを編集します]
SSLCertificateFile /opt/SUNWscvw/conf/ssl/phys-schost-1.crt
SSLCertificateKeyFile /opt/SUNWscvw/conf/ssl/phys-schost-1.key
[ファイルを保存して、エディタを終了します]
[SunPlex Manager を再起動します]
# /opt/SUNWscvw/bin/apachectl restart

共通エージェントコンテナのセキュリティ鍵を再生成する

SunPlex Manager は、強力な暗号化技術を使用して、SunPlex Manager web サーバーと各クラスタノード間の安全な通信を確保しています。

SunPlex Manager で使用される鍵は、各ノードの /etc/opt/SUNWcacao/security ディレクトリに格納されています。これらの鍵は、すべてのクラスタノードで同一でなければなりません。

通常の動作では、これらのキーはデフォルトの構成のままとなります。鍵が危険にさらされる恐れがあったり (マシン上のルートが危険にさらされるなど)、 その他の理由により鍵を再生成しなければならない場合、以下の手順でセキュリティ鍵を再生成できます。

1. すべてのクラスタ上で 共通エージェントコンテナ 管理デーモンを停止します。

   # /opt/SUNWcacao/bin/cacaoadm stop

2. クラスタの 1 つのノード上で、セキュリティ鍵を再生成します。

   phys-schost-1# /opt/SUNWcacao/bin/cacaoadm create --force

3. セキュリティ鍵を再生成したノード上で 共通エージェントコンテナ 管理デーモンを再起動します。

   phys-schost-1# /opt/SUNWcacao/bin/cacaoadm start

4. /etc/opt/SUNWcacao/security ディレクトリの tarfile を作成します。

   phys-schost-1# tar cf /tmp/SECURITY.tar security

5. /tmp/Security.tar ファイルを各クラスタノードにコピーします。

6. /tmp/SECURITY.tar ファイルをコピーした各ノード上で、セキュリティファイルを解凍します。

   /etc/opt/SUNWcacao/ ディレクトリに既にセキュリティファイルがある場合は、すべて上書きされます。

   phys-schost-2# cd /etc/opt/SUNWcacao phys-schost-2# tar xf /tmp/SECURITY.tar

7. クラスタ内の各ノードから /tmp/SECURITY.tar ファイルを削除します。

   セキュリティのリスクを避けるために tarfile の各コピーを削除する必要があります。

   phys-schost-1# rm /tmp/SECURITY.tar phys-schost-2# rm /tmp/SECURITY.tar

8. すべてのノード上で 共通エージェントコンテナ 管理デーモンを再起動します。

   phys-schost-1# /opt/SUNWcacao/bin/cacaoadm start

9. SunPlex Manager を再起動します。

   # /opt/SUNWscvw/bin/apachectl restart