Configuration de Gestionnaire SunPlex

Gestionnaire SunPlex est un une interface graphique qui permet d'administrer et visualiser le statut de tous les aspects des périphériques de quorum, des groupes IPMP, des composants d'interconnexion et des périphériques globaux. Vous pouvez l'utiliser en lieu et place de nombreuses commandes de l'interface de ligne de commande de Sun Cluster.

La procédure d'installation de Gestionnaire SunPlex sur votre cluster est décrite dans le document Guide d’installation du logiciel Sun Cluster pour SE Solaris. L'aide en ligne de Gestionnaire SunPlex explique comment effectuer diverses tâches au moyen de l'IUG.

Cette rubrique contient les procédures suivantes de reconfiguration de Gestionnaire SunPlex après l'installation initiale :

• Configuration des rôles RBAC

• Modification de l'adresse du serveur pour Gestionnaire SunPlex

• Configuration d'un nouveau certificat de sécurité

• Régénération des clés de sécurité du conteneur d'agents communs

Configuration des rôles RBAC

SunPlex Manager utilise RBAC pour identifier les personnes ayant le droit d'administrer le cluster. Le logiciel Sun Cluster comprend plusieurs profils d'autorisations d'accès RBAC. Vous pouvez assigner ces profils d'autorisations d'accès aux utilisateurs ou aux rôles pour affecter aux utilisateurs différents niveaux d'accès à Sun Cluster. Pour plus d'informations sur la configuration et la gestion de RBAC pour Sun Cluster, consultez les rubriques Sun Cluster et RBAC dans le Sun Cluster Systems Administration Guide.

Utilisation du conteneur d'agent commun pour modifier les numéros de port des services ou agents de gestion

Si les numéros de port par défaut de votre conteneur d'agent commun entrent en conflit avec d'autres processus en cours d'exécution, vous pouvez utiliser la commande cacaoadm pour modifier le numéro de port du service en conflit ou de l'agent de gestion sur chaque nœud du cluster.

Étapes

1. Sur tous les nœuds du cluster, arrêtez le démon de gestion conteneur d'agents communs.

   # /opt/SUNWcacao/bin/cacaoadm stop

2. Arrêtez la console Web Sun Java.

   # /usr/sbin/sunmcwebserver stop

3. Si vous ne connaissez pas le numéro de port à modifier, utilisez la commande cacaoadm avec la sous-commande get-param pour le récupérer.

   # /opt/SUNWcacao/bin/cacaoadm get-param parameterName

   Vous pouvez utiliser la commande cacaoadm pour modifier les numéros de port pour les services de conteneur d'agent commun suivants. La liste ci-après fournit quelques exemples de services et agents qui peuvent être gérés par le conteneur d'agent commun, avec les noms de paramètre correspondants.

   port connecteur JMX

   jmxmp-connector-port

   port SNMP

   snmp-adaptor-port

   port de déroutement SNMP

   snmp-adaptor-trap-port

   port de flux de commande

   commandstream-adaptor-port

4. Pour modifier un numéro de port, utilisez la commande cacaoadm avec la sous-commande setparam et le nom du paramètre.

   # /opt/SUNWcacao/bin/cacaoadm set-param parameterName=parameterValue =parameterValue

5. Répétez l'Étape 4 sur chaque nœud du cluster.

6. Redémarrez la console Web Sun Java.

   # /usr/sbin/sunmcwebserver start

7. Redémarrez le démon de gestion conteneur d'agents communs sur tous les nœuds du cluster.

   # /opt/SUNWcacao/bin/cacaoadm start

Modification de l'adresse du serveur pour Gestionnaire SunPlex

Si vous modifiez le nom d'hôte d'un nœud du cluster, vous devez changer l'adresse à partir de laquelle est exécuté Gestionnaire SunPlex. Le certificat de sécurité par défaut est généré en fonction du nom d'hôte du nœud au moment de l'installation de Gestionnaire SunPlex. Pour réinitialiser le nom d'hôte du nœud, supprimez le fichier de certificat keystore et redémarrez SunPlex Manager. SunPlex Manager crée automatiquement un nouveau fichier de certificat avec le nouveau nom d'hôte. Vous devez exécuter cette procédure sur chacun des nœuds dont le nom d'hôte a été modifié.

Étapes

1. Supprimez le fichier de certificat keystore situé dans /etc/opt/webconsole.

   # cd /etc/opt/webconsole # pkgrm keystore

2. Redémarrez SunPlex Manager.

   # /usr/sbin/smcwebserver restart

Configuration d'un nouveau certificat de sécurité

Vous pouvez générer votre propre certificat de sécurité pour permettre une administration sécurisée de votre cluster, puis configurer Gestionnaire SunPlex pour qu'il utilise ce certificat au lieu de celui qui est généré par défaut. La procédure qui suit illustre la configuration de Gestionnaire SunPlex pour que l'interface utilise un certificat de sécurité généré par un package de sécurité particulier. Les tâches à effectuer dans la réalité dépendent du package de sécurité utilisé.

vous devez générer un certificat non crypté pour que le serveur puisse démarrer de lui-même lors de l'initialisation. Une fois que vous avez généré un nouveau certificat pour chaque nœud du cluster, configurez Gestionnaire SunPlex de sorte qu'il utilise ces certificats. Chaque nœud doit avoir son propre certificat de sécurité.

Étapes

1. Copiez le certificat approprié sur le nœud.

2. Ouvrez le fichier de configuration /opt/SUNWscvw/conf/httpd.conf dans un éditeur de texte.

3. Éditez l'entrée suivante pour permettre à Gestionnaire SunPlex d'utiliser le nouveau certificat.

   SSLCertificateFile <path to certificate file>

4. Si la clé privée du serveur n'est pas associée au certificat, éditez l'entrée SSLCertificateKeyFile.

   SSLCertificateKeyFile <path to server key>

5. Enregistrez le fichier et quittez l'éditeur.

6. Redémarrez Gestionnaire SunPlex.

   # /usr/sbin/smcwebserver restart

7. Répétez cette procédure sur chaque nœud du cluster.

Exemple 10–1 Configuration de Gestionnaire SunPlex pour l'utilisation d'un nouveau certificat de sécurité

L'exemple suivant illustre l'édition du fichier de configuration de Gestionnaire SunPlex de manière à utiliser un nouveau certificat de sécurité.

[Copy the appropriate security certificates to each node.]
[Edit the configuration file.]
# vi /opt/SUNWscvw/conf/httpd.conf
[Edit the appropriate entries.]
SSLCertificateFile /opt/SUNWscvw/conf/ssl/phys-schost-1.crt
SSLCertificateKeyFile /opt/SUNWscvw/conf/ssl/phys-schost-1.key

[Save the file and exit the editor.]
[Restart SunPlex Manager.]
# /usr/sbin/smcwebserver restart

Régénération des clés de sécurité du conteneur d'agents communs

Gestionnaire SunPlex utilise des techniques de cryptage sophistiquées pour sécuriser les communications entre le serveur Web Gestionnaire SunPlex et chacun des nœuds du cluster.

Les clés utilisées par Gestionnaire SunPlex sont stockées dans le répertoire /etc/opt/SUNWcacao/security sur chaque nœud. Elles doivent être identiques sur tous les nœuds du cluster.

Pour un fonctionnement normal, vous pouvez laisser ces clés dans leur configuration par défaut. Si vous modifiez le nom d'hôte d'un nœud de cluster, vous devrez régénérer les clés de sécurité du conteneur d'agent commun. Vous aurez également peut-être besoin de régénérer les clés en raison d'un problème éventuel lié à la clé (par exemple, un problème de racine sur la machine). Pour régénérer les clés de sécurité, appliquez la procédure suivante.

Étapes

1. Sur tous les nœuds du cluster, arrêtez le démon de gestion conteneur d'agents communs.

   # /opt/SUNWcacao/bin/cacaoadm stop

2. Sur l'un des nœuds du cluster, régénérez les clés de sécurité.

   phys-schost-1# /opt/SUNWcacao/bin/cacaoadm create-keys --force

3. Redémarrez le démon de gestion conteneur d'agents communs sur le nœud sur lequel les clés de sécurité ont été régénérées.

   phys-schost-1# /opt/SUNWcacao/bin/cacaoadm start

4. Créez un fichier tar du répertoire /etc/opt/SUNWcacao/security.

   phys-schost-1# tar cf /tmp/SECURITY.tar security

5. Copiez le fichier /tmp/Security.tar sur chacun des nœuds du cluster.

6. Sur chacun des nœuds sur lesquels vous avez copié le fichier /tmp/SECURITY.tar, effectuez l'extraction des fichiers de sécurité.

   Tous les fichiers de sécurité qui existent déjà dans le répertoire /etc/opt/SUNWcacao/ sont écrasés.

   phys-schost-2# cd /etc/opt/SUNWcacao phys-schost-2# tar xf /tmp/SECURITY.tar

7. Supprimez le fichier /tmp/SECURITY.tar dans chaque nœud du cluster.

   Vous devez supprimer chaque copie du fichier tar afin de limiter les risques en matière de sécurité.

   phys-schost-1# rm /tmp/SECURITY.tar phys-schost-2# rm /tmp/SECURITY.tar

8. Sur tous les nœuds, redémarrez le démon de gestion conteneur d'agents communs.

   phys-schost-1# /opt/SUNWcacao/bin/cacaoadm start

9. Redémarrez Gestionnaire SunPlex.

   # /usr/sbin/smcwebserver restart