test

Sun Cluster Geographic Edition 系统管理指南

第 4 章 管理访问和安全性

本节介绍如何管理访问和安全性。本节包含以下主题:

Sun Cluster Geographic Edition 软件和 RBAC

本节介绍了 Sun Cluster Geographic Edition 软件中基于角色的访问控制 (RBAC)。包含以下主题:

设置和使用 RBAC

Sun Cluster Geographic Edition 软件的 RBAC 配置文件以 Sun Cluster 软件中使用的 RBAC 权限配置文件为基础。有关在 Sun Cluster 中设置和使用 RBAC 的一般信息,请参阅《Sun Cluster System Administration Guide for Solaris OS》中的第 2  章 “Sun Cluster and RBAC”

Sun Cluster Geographic Edition 软件将以下新的 RBAC 实体添加到 /etc/security 目录下的相应文件中:

注 –

auth_attrprof_attr 数据库的默认搜索顺序为 files nis(在 /etc/nsswitch.conf 文件中进行定义)。如果您已在环境中自定义了搜索顺序,请确认在搜索列表中存在 filesfiles 使系统可以查找 Sun Cluster Geographic Edition 定义的 RBAC 条目。

RBAC 权限配置文件

Sun Cluster Geographic Edition 的 CLI 和 GUI 使用 RBAC 权限控制最终用户对操作的访问。下表介绍了这些权限的一般约定。

表 4–1 Sun Cluster Geographic Edition RBAC 权限配置文件

权限配置文件 

包含的授权 

角色标识权限 

Geo 管理 

solaris.cluster.geo.read

阅读有关 Sun Cluster Geographic Edition 实体的信息 

solaris.cluster.geo.admin

使用 Sun Cluster Geographic Edition 软件执行管理任务 

solaris.cluster.geo.modify

修改 Sun Cluster Geographic Edition 软件的配置 

基本 Solaris 用户 

Solaris 授权 

执行基本 Solaris 用户角色标识可以执行的相同操作 

solaris.cluster.geo.read

阅读有关 Sun Cluster Geographic Edition 实体的信息 

修改用户的 RBAC 特性

要修改用户的 RBAC 权限,您必须作为 root 登录,或具有指定了主管理员权限配置文件的角色。

例如,您可以使用如下方法为用户 admin 指定 Geo 管理 RBAC 配置文件:


# usermod -P "Geo Management" admin
# profiles admin
Geo Management
Basic Solaris User
#

有关修改用户 RBAC 属性的更多信息,请参阅《Sun Cluster System Administration Guide for Solaris OS》中的第 2  章 “Sun Cluster and RBAC”

使用安全性证书配置安全群集通信

必须对 Sun Cluster Geographic Edition 软件进行配置以便在伙伴群集之间进行安全通信。配置必须是相互的,即必须将伙伴群集 cluster-paris 配置为信任 cluster-newyork,将伙伴群集 cluster-newyork 配置为信任 cluster-paris

如果要使用 GUI 管理 Sun Cluster Geographic Edition 软件,则两个伙伴群集的所有节点上的超级用户密码都必须相同。

有关为伙伴群集设置安全性证书的信息,请参见《Sun Cluster Geographic Edition 安装指南》中的“配置安全性”

有关群集配置示例的信息,请参见图 2–1

使用 IPsec 配置安全群集通信

您可以使用 IP 安全性体系结构 (IPsec) 来配置伙伴群集之间的安全通信。IPsec 允许您使用 IP 在相互通信的计算机之间设置安全策略(即允许或要求进行安全数据报验证,或进行实际数据加密,或两者均进行)。对于以下群集通信,请考虑使用 IPsec:

Sun Cluster 软件和 Sun Cluster Geographic Edition 软件仅使用手动密钥来支持 IPsec。必须在群集节点上为服务器和客户机 IP 地址的每种组合手动存储密钥。还必须在每个客户机上手动存储这些密钥。

有关 IPsec 配置参数的完整描述,请参阅《System Administration Guide: IP Services》

Procedure如何为安全群集通信配置 IPsec

在 Sun Cluster Geographic Edition 基础结构中,逻辑主机的主机名与群集名称完全一样。逻辑主机名是一种特殊的高可用性 (HA) 资源。根据群集配置情况,您必须为 Sun Cluster Geographic Edition 的各种组件设置多个不同的 IP 地址。

在每个伙伴群集上,必须配置加密和授权,以便在物理节点和逻辑主机名地址之间交换传入和外发包。 在伙伴群集之间,这些地址上的 IPsec 配置参数值必须保持一致。

IPsec 使用两个配置文件:

以下过程配置了一个示例群集 cluster-paris,它与另一个示例群集 cluster-newyork 进行 IPsec 安全通信。两个群集均运行 Solaris OS 版本 9。该过程假定 cluster-paris 上的本地逻辑主机名为 lh-paris-1,远程逻辑主机名为 lh-newyork-1。传入的消息被发送至 lh-paris-1,外发的消息被发送至 lh-newyork-1

cluster-paris 的每个节点上执行以下过程。

步骤

  1. 作为超级用户登录至主群集的第一个节点 phys-paris-1

    有关哪一个节点是 phys-paris-1 的提示信息,请参见Sun Cluster Geographic Edition 群集配置示例

  2. 在 IPsec 策略文件中为本地地址和远程地址设置一个条目。

    策略文件位于 /etc/inet/ipsecinit.conf。此文件的权限应为 644。有关此文件的更多信息,请参阅 ipsecconf(1M) 手册页。

    有关 Sun Cluster Geographic Edition 软件支持的名称和值的信息,请参见附录 B,Sun Cluster Geographic Edition 实体合法的名称和值

    1. 配置通信策略。

      tcp_udp 插件的默认端口是 2084。这是在 /etc/opt/SUNWcacao/modules/com.sun.cluster.agent.geocontrol.xml 文件中指定的。

      以下命令配置了一种没有设置授权或加密算法首选项的策略:


      # {raddr lh-newyork-1 rport 2084} ipsec {auth_algs any encr_algs any \
sa shared} {laddr lh-paris-1 lport 2084} ipsec {auth_algs any encr_algs \
any sa shared}

      在辅助群集 cluster-newyork 上配置通信策略时,策略应该相反:


      # {laddr lh-newyork-1 lport 2084} ipsec {auth_algs any encr_algs \
any sa shared} {raddr lh-paris-1 rport 2084} ipsec {auth_algs any encr_algs \
any sa shared}

    2. 通过重新引导节点或运行以下命令的方式添加策略。


      # ipsecconf -a /etc/inet/ipsecinit.conf

  3. 设置传入和外发通信的加密和授权密钥。

    通信文件位于 /etc/init/secret/ipseckeys。此文件上的权限应为 600

    通过运行以下命令添加密钥:


    # ipseckey -f /etc/init/secret/ipseckeys

    密钥条目具有以下常规格式:


    # inbound to cluster-paris
add esp spi <paris-encr-spi> dst lh-paris-1 encr_alg <paris-encr-algorithm> \
encrkey <paris-encrkey-value>
add ah spi <newyork-auth-spi> dst lh-paris-1 auth_alg <paris-auth-algorith> \
authkey <paris-authkey-value>

# outbound to cluster-newyork
add esp spi <newyork-encr-spi> dst lh-newyork-1 encr_alg \
<newyork-encr-algorithm> encrkey <newyork-encrkey-value>
add ah spi <newyork-auth-spi> dst lh-newyork-1 auth_alg \
<newyork-auth-algorithm> authkey <newyork-authkey-value>

    有关通信文件的更多信息,请参阅 ipsecconf(1M) 手册页。