セキュリティーの構成

パートナークラスタ間で安全な管理通信を行うためには、Sun Cluster Geographic Edition ソフトウェアを構成する必要があります。この構成は相互に行う必要があります。たとえば、クラスタ cluster-paris の各ノードがクラスタ cluster-newyork の各ノードを信頼するように構成する必要があります。

クラスタ構成の例については、『Sun Cluster Geographic Edition のシステム管理』の「クラスタ構成例」を参照してください。

クラスタのすべてのノードで、パートナーに関する信頼ベースのホスト証明書を構成する必要があります。これは、クラスタ内のノードはどれでも、クラスタ間通信のために Sun Cluster Geographic Edition インフラストラクチャーリソースグループと論理ホスト名をホストできるためです。

信頼ベースのホスト証明書を構成するには、/usr/j2se/bin/keytool コマンドを使用します。

パートナークラスタに証明書をインストールする

この手順では、クラスタ cluster-paris 上のノード phys-paris-1 および phys-paris-2 と、クラスタ cluster-newyork 上のノード phys-newyork-1 および phys-newyork-2 を使用します。

始める前に

次の Network Security Services ソフトウェアパッケージがインストールされていることを確認します。

• SUNWpr、バージョン 4.5.0

• SUNWprx

• SUNWtls、バージョン 3.9.4

• SUNWtlsu

手順

1. 各クラスタの 1 つのノード上、つまりクラスタ cluster-paris上の phys-paris-1 と、クラスタ cluster-newyork 上の phys-newyork-1 で、次の作業を行います。

   1. クラスタの 1 つのノードにルートとしてログインします。

   2. 共通エージェントキャリアを停止します。

      # /opt/SUNWcacao/bin/cacaoadm stop

   3. JSSE/NSS 鍵と証明書を再生成します。

      この手順により、/etc/opt/SUNWcacao/security/nss/localca/localca.cert という名前のファイルが作成されます。localca.cert ファイルは、鍵が読み込まれる間に一時的な保管場所として使用されます。

      # /opt/SUNWcacao/bin/cacaoadm create-keys

   ローカル truststore 内のその他の鍵をすべて削除するには、--force オプションを使用します。--force オプションを使用する場合、この手順を完了した後あとで、これらの鍵を再度追加する必要があります。

   鍵を上書きすることを避ける場合は、--directory オプションを使用すると、デフォルトのセキュリティーディレクトリとは異なるディレクトリにこのファイルを生成できます。ただし、共通エージェントキャリアはデフォルトディレクトリの鍵だけを使用するため、生成した鍵をあとでデフォルトディレクトリのファイルに追加する必要が生じます。

   クラスタがいったん構成されたあとは、create-keys - -force コマンドを実行するこの手順は繰り返さないでください。この手順を繰り返すと、以前に構成した証明書が失われます。

   共通エージェントキャリアの鍵と証明書の再生成については、『Sun Cluster のシステム管理 (Solaris OS 版)』の「新しいセキュリティ証明書を構成する」を参照してください。

2. ノード phys-paris-1 とノード phys-newyork-1 の間で、ローカル認証局を交換します。

   1. ノード phys-paris-1 上の証明書ディレクトリに移動します。

      phys-paris-1# cd /etc/opt/SUNWcacao/security/nss/localca

   2. ノード phys-paris-1 からノード phys-newyork-1 に、証明書ファイル localca.cert をコピーします。

      この手順では、ファイルのコピー元のクラスタを思い出せるように、localca.cert ファイルの名前を localca.cert.cluster-paris に変更します。

      phys-paris-1# rcp localca.cert \ phys-newyork-1:/etc/opt/SUNWcacao/security/jsse/localca.cert.cluster-paris

   3. ファイルをコピーした、ノード phys-newyork-1 上のディレクトリに移動します。

      phys-newyork-1# cd /etc/opt/SUNWcacao/security/jsse

   4. localca.cert.cluster-paris ファイルから、ノード phys-newyork-1 上のローカルキーストアに証明書をインポートします。

      この手順により、cluster-paris から、cluster-newyork の phys-newyork-1 ノードに、公開鍵が読み込まれます。

      ---

      注 –

      この手順は、/etc/opt/SUNWcacao/security/jsse ディレクトリから実行する必要があります。

      ---

      phys-newyork-1# keytool -import -v -alias cluster-paris -keystore truststore \ -file localca.cert.cluster-paris

      keytool コマンドの truststore パラメータには、ファイルをコピーしたディレクトリに入っているファイルを指定します。-alias オプションには、証明書が生成されたリモートクラスタのクラスタ名を指定します。

      キーストアパスワードを求められた場合は、trustpass と入力します。trustpass パスワードは、共通エージェントキャリアが提供する、秘密扱いではないパスワードです。truststore パラメータは、公開鍵と秘密鍵のペアの公開鍵を保持しているため、絶対的なセキュリティーは必要ありません。

      証明書を信頼するかどうかを尋ねるメッセージには、yes と入力します。

   5. 証明書が正しくキーストアに追加されたことを確認します。

      phys-newyork-1# keytool -list -v -keystore truststore

3. ノード phys-newyork-1 とノード phys-paris-1 の間で、ローカル認証局を交換します。

   1. ノード phys-newyork-1 上の証明書ディレクトリに移動します。

      phys-newyork-1# cd /etc/opt/SUNWcacao/security/nss/localca

      インポートされる証明書は、localca.cert というファイル内にあります。

   2. ノード phys-newyork-1 からノード phys-paris-1 に、証明書ファイルをコピーします。

      この手順では、ファイルのコピー元のクラスタを思い出せるように、localca.cert の名前を localca.cert.cluster-newyork に変更します。

      # rcp localca.cert \ phys-paris-1:/etc/opt/SUNWcacao/security/jsse/localca.cert.cluster-newyork

   3. ファイルをコピーした、ノード phys-paris-1 上のディレクトリに移動します。

      phys-paris-1# cd /etc/opt/SUNWcacao/security/jsse

   4. ノード phys-paris-1 上のローカルキーストアに証明書をインポートします。

      ---

      注 –

      この手順を実行するには、ユーザーは /etc/opt/SUNWcacao/security/jsse ディレクトリに存在する必要があります。

      ---

      phys-paris-1# keytool -import -v -alias cluster-newyork -keystore truststore \ -file localca.cert.cluster-newyork

      keytool コマンドの truststore パラメータは、ユーザーがファイルをコピーしたディレクトリ内に位置しています。-alias オプションは、証明書が生成されたリモートクラスタのクラスタ名を指定します。

      キーストアパスワード求められた場合は、trustpass と入力します。trustpass パスワードは、共通エージェントキャリアが提供する、秘密扱いではないパスワードです。truststore パラメータは、公開鍵と秘密鍵のペアの公開鍵を保持しているため、絶対的なセキュリティーは必要ありません。

      証明書を信頼するかどうかを尋ねるメッセージには、yes と入力します。

   5. 証明書が正しくキーストアに追加されたことを確認します。

      phys-paris-1# keytool -list -v -keystore truststore

4. ノード phys-paris-1 を除くクラスタ cluster-paris の各ノード上で、ノード phys-paris-1 から取得された /etc/opt/SUNWcacao/security/ ディレクトリとそのサブディレクトリのすべてを、/etc/opt/SUNWcacao/ ディレクトリにコピーします。

   phys-paris-2# cd /etc/opt/SUNWcacao phys-paris-2# rcp -r phys-paris-1:/etc/opt/SUNWcacao/security .

5. ノード phys-newyork-1 を除くクラスタ cluster-newyork の各ノード上で、ノード phys-newyork-1 から取得された /etc/opt/SUNWcacao/security ディレクトリとそのサブディレクトリのすべてを、/etc/opt/SUNWcacao/security にコピーします。

   phys-newyork-2# cd /etc/opt/SUNWcacao phys-newyork-2# rcp -r phys-newyork-1:/etc/opt/SUNWcacao/security .

6. 各クラスタの各ノードで、証明書が正しく追加されたことを確認します。

   ---

   注 –

   セキュリティーディレクトリをコピーしたあと、1 つクラスタの全ノードに対する keytool list コマンドの出力では、ローカルの鍵とリモートの鍵に関して同じ値が示されます。リモートクラスタの全ノードで同じ値が表示されますが、ローカルタグとリモートタグは交換されます。

   ---

   # cd /etc/opt/SUNWcacao/security/jsse # keytool -list -v -keystore truststore

7. 各クラスタの各ノード上で共通エージェントキャリアを再起動します。

   # /opt/SUNWcacao/bin/cacaoadm start