C H A P I T R E 4 |
SMS 1.4 Instructions supplémentaires |
Ce chapitre contient des informations sur la sécurisation du logiciel System Management Services (SMS) 1.4 sous l'environnement d'exploitation Solaris. Ces instructions s'appliquent aux systèmes serveurs haut de gamme Sun Fire.
Ce chapitre fournit les instructions suivantes :
Ajout d'utilisateurs dans les groupes SMS et configuration de l'accès aux répertoires
Partage des packages SMS entre le SC de réserve et le SC principal
Dans le logiciel SMS, la sécurité est basée sur des groupes qui donnent accès à certaines tâches de gestion. Le niveau et le type de tâches de gestion du système auquel un utilisateur a accès dépendent du groupe d'appartenance de cet utilisateur. Pour de plus amples informations, reportez-vous au chapitre « SMS Security » du System Management Services (SMS) 1.4 Administrator Guide.
Remarque - L'ajout d'utilisateurs à l'aide de smsconfig doit être effectué sur les deux SC (principal et de réserve) après avoir terminé l'installation du logiciel et la configuration du réseau. |
Les ID des groupes d'utilisateurs SMS sont créés pendant l'installation initiale. Le tableau ci-dessous contient la liste des groupes d'utilisateurs automatiquement créés :
Ajout d'utilisateurs dans les groupes SMS et configuration de l'accès aux répertoires |
SMS permet d'ajouter des utilisateurs aux groupes SMS et de redéfinir l'accès des utilisateurs aux répertoires sur le système(s) haut de gamme Sun Fire. Cette fonctionnalité protège l'intégrité des domaines et sécurise le système.
1. Connectez-vous en tant que super-utilisateur.
2. Pour configurer les groupes SMS et les privilèges administratifs, vous devez utiliser la commande ci-dessous pour chaque utilisateur que vous souhaitez ajouter.
nomutilisateur est le nom d'un compte d'utilisateur sur le système.
nomgroupe est l'une des désignations de groupe valides suivantes : admn, rcfg, oper ou svc.
id_domaine est l'ID d'un domaine. Les id_domaine valides sont les lettres de A à R (pas de différences Maj./min.)
Par exemple, pour ajouter un utilisateur au groupe dmnaadmn qui dispose de droits d'accès aux répertoires du domaine a, tapez :
sc0: # /opt/SUNWSMS/bin/smsconfig -a -u sdupont -G admn a fdupont a été ajouté au groupe dmnaadmn Tous les privilèges relatifs au domaine a ont été appliqués. |
Remarque - N'ajoutez pas ni ne supprimez manuellement des utilisateurs des groupes SMS dans le fichier /etc/group. Cette opération peut limiter ou empêcher l'accès des utilisateurs. |
3. Pour lister les groupes SMS et les privilèges administratifs, utilisez la commande suivante.
Par exemple, pour afficher tous les utilisateurs avec des privilèges de plate-forme, tapez :
4. Pour configurer les groupes SMS et les privilèges administratifs, vous devez utiliser la commande ci-dessous pour chaque utilisateur que vous souhaitez supprimer.
Par exemple, pour supprimer sdupont du groupe dmnbadmn, tapez :
sc0: # /opt/SUNWSMS/bin/smsconfig -r -u sdupont -G admn B sdupont a été supprimé du groupe dmnaadmn L'accès au domaine B est maintenant refusé. |
nomutilisateur est le nom d'un compte d'utilisateur valide sur le système.
nomgroupe est l'une des désignations de groupe valides suivantes : admn, rcfg, oper ou svc.
id_domaine est l'ID d'un domaine. Les id_domaine valides sont les lettres de A à R (pas de différences Maj./min.)
Remarque - N'ajoutez pas ni ne supprimez manuellement des utilisateurs des groupes SMS dans le fichier /etc/group. Cette opération peut limiter ou empêcher l'accès des utilisateurs. |
5. Les groupes d'utilisateurs SMS sont maintenant configurés. Retournez aux instructions d'installation.
Les patchs SMS sont disponibles sur : http://sunsolve.sun.com
Prenez les précautions suivantes et informez les administrateurs concernés :
Le système doit être stable.
Aucune opération DR ne doit être en cours.
Aucun démarrage ou arrêt de domaine ne doit être en cours.
Aucune opération datasync ou cmdsync lancée par l'utilisateur ne doit être en cours.
Terminez tous les changements impliquant les domaines, les cartes ou la configuration avant de commencer à installer les patchs.
Lisez attentivement toutes les instructions des patchs avant de commencer l'installation. Les instructions d'un patch peuvent remplacer ces instructions.
On assume dans cet exemple que, au départ, le SC principal est sc0 et le SC de réserve sc1.
1. Connectez-vous au SC principal avec des privilèges d'administrateur de plate-forme.
2. Désactivez la reprise. Tapez :
3. Connectez-vous au SC principal en tant que super-utilisateur.
4. Sauvegardez la configuration de votre système sur le SC principal :
Une fois tous les patchs installés avec succès, supprimez ce fichier de sauvegarde.
5. Connectez-vous au SC de réserve en tant que super-utilisateur.
6. Appliquez les patchs au SC de réserve en suivant les instructions des patchs.
Vous pouvez, à ce stade, installer plusieurs patchs si les instructions de ces patchs ne l'interdisent pas.
7. Connectez-vous au SC principal avec des privilèges d'administrateur de plate-forme.
8. Réactivez la reprise sur le SC principal et vérifiez qu'elle soit activée :
Activer la reprise peut prendre une à deux minutes.
9. Effectuez la reprise sur le SC de réserve :
Le SC principal va se réinitialiser et devenir l'ancien SC principal.
1. Connectez-vous au SC de réserve en tant que super-utilisateur.
2. Appliquez les patchs à l'ancien SC principal en suivant les instructions des patchs.
Vous pouvez, à ce stade, installer plusieurs patchs si les instructions de ces patchs ne l'interdisent pas.
3. Connectez-vous au nouveau SC de réserve avec des privilèges d'administrateur de plate-forme.
4. Réactivez la reprise sur le SC principal et vérifiez qu'elle est activée :
Activer la reprise peut prendre une à deux minutes.
5. Vous avez terminé le processus d'application des patchs pour les SC principal et de réserve. Si vous voulez rétablir les rôles d'origine, allez à Rétablissement des rôles des SC.
A ce stade, le SC de réserve d'origine tourne en tant que SC principal et le SC principal d'origine en tant que SC de réserve. Vous pouvez si vous le désirez ramener les SC à leur rôle d'origine en procédant comme suit :
1. Connectez-vous au nouveau SC de réserve avec des privilèges d'administrateur de plate-forme.
2. Effectuez la reprise sur le SC de réserve :
Le nouveau SC principal se réinitialise et devient le SC de réserve. Le SC principal d'origine redevient SC principal.
3. Connectez-vous au SC principal avec des privilèges d'administrateur de plate-forme.
4. Réactivez la reprise sur le SC principal et vérifiez qu'elle soit activée :
Activer la reprise peut prendre une à deux minutes.
Les packages supplémentaires se trouvent sur un support séparé. Installez-les un par un à partir du support correspondant au domaine.
L'ordre d'installation des packages est indifférent. Voici la liste des packages supplémentaires que vous pouvez installer :
Sun Remote Services (SRS) ;
Veritas Volume Manager (VM) ,
Load Sharing Facility (LSF) 3.2.3 ;
Workshop 7 ;
ClusterTools 3.1 ;
le langage de programmation C et son compilateur ;
le langage de programmation Fortran 77 et son compilateur ;
le logiciel de la base de données Oracle.
1. Connectez-vous au SC en tant que super-utilisateur.
2. Insérez le CD d'installation dans le lecteur de CD-ROM du SC.
3. Utilisez la commande share(1M) pour partager le CD à travers le réseau.
a. Vérifiez si le serveur nfsd est en cours d'exécution. Tapez :
b. Ajoutez une entrée de CDROM au fichier /etc/dfs/dfstab :
c. Pour propager l'image du CDROM à NFS, tapez :
4. Connectez-vous au domaine en tant que super-utilisateur.
5. Créez et montez le répertoire /cdrom pour le domaine.
SC-I1: est le nom d'hôte spécifié pour le réseau SC I1 à l'Etape 5 de Configuration de Management Network (MAN) en utilisant la commande smsconfig(1M).
6. Ajoutez le package supplémentaire.
nom_disque_installation est le nom du disque d'installation depuis lequel vous effectuez l'installation.
nom_package_logiciel est le nom du package logiciel que vous ajoutez.
La commande pkgadd(1M) peut afficher plusieurs messages et vous inviter à répondre à plusieurs questions pour chaque package ; certains de ces messages sont relatifs à l'espace, d'autres vous demandent confirmation avant de continuer. Après avoir répondu à ces questions, entrez y (oui) pour continuer.
8. Déconnectez-vous du domaine et connectez-vous au SC en tant que super-utilisateur.
9. Ejectez le CD d'installation de l'unité CD-ROM sur le SC.
Pour assurer l'exactitude de l'heure sur les systèmes haut de gamme Sun Fire qui exécutent SMS 1.2 ou une version ultérieure, configurez les deux contrôleurs système et chaque domaine initialisable de la plate-forme en clients NTP des mêmes serveurs NTP.
Avant d'aller plus loin, assurez-vous que la plate-forme dispose des patchs les plus récents et que le dernier cluster de patchs recommandé est installé sur les domaines et les contrôleurs système.
Si les contrôleurs système exécutent l'environnement d'exploitation Solaris 8, assurez-vous que le niveau du patch de mise à jour du noyau est KU-24 ou un niveau ultérieur. Pour les dernières révisions des patchs KU, contrôlez le site web de SunSolveSM (http://sunsolve.sun.com).
Le fichier de configuration NTP par défaut est /etc/inet/ntp.conf. Il doit contenir un minimum de trois serveurs horaires NTP ayant des sources de temps indépendantes (pour la liste des serveurs horaires NTP, consultez http://www.ntp.org.)
1. Insérez les noms de trois serveurs NTP dans le fichier de configuration NTP de chaque SC et domaine initialisable.
Insérez les lignes suivantes, en remplaçant serveur_ntp par le nom courant du serveur NTP :
Le nom du serveur suivi de l'argument prefer sera le serveur NTP principal.
2. Ajoutez le nom au fichier de déviation ou driftfile.
Le fichier de déviation enregistre le décalage de fréquence de l'oscillateur de l'horloge locale. Il est lu au démarrage pour fixer le décalage de fréquence initial. Utilisez l'argument driftfile, suivi du nom du fichier :
3. Ajoutez les instructions relatives à la génération de statistiques.
Ces instructions consistent en une ligne comportant le chemin des statistiques suivi d'une ligne pour chaque type statistique recueilli :
statsdir /var/ntp/ntpstats filegen peerstats file peerstats type day enable filegen loopstats file loopstats type day enable filegen clockstats file clockstats type day enable |
La première ligne indique le chemin dans lequel les fichiers de statistiques seront enregistrés. Chacune des lignes qui suivent indique un type de statistique (peer statistics, loop filter statistics et clock driver statistics).
Pour de plus amples informations sur les options disponibles, consultez la page de manuel xntp(1M).
Vous pouvez être amené à arrêter et redémarrer SMS à des fins de diagnostic ou de maintenance. Les instructions ci-dessous expliquent comment effectuer manuellement ces opérations.
1. Connectez-vous au SC en tant qu'utilisateur avec les privilèges d'administrateur de plate-forme.
Les privilèges d'administrateur de plate-forme sont nécessaires pour exécuter la commande setfailover.
3. Déconnectez-vous en tant qu'administrateur de plate-forme.
4. Connectez-vous au SC en tant qu'utilisateur avec les privilèges de superuser.
Les privilèges de super-utilisateur sont nécessaires pour effectuer les tâches suivantes.
5. Utilisez le script /etc/init.d/sms pour arrêter SMS.
6. Utilisez le script /etc/init.d/sms pour redémarrer SMS.
Remarque - On assume dans cette procédure que smsconfig -m a déjà été exécuté. Si smsconfig -m n'a pas été exécuté, vous recevrez l'erreur suivante et SMS se fermera. |
7. Déconnectez-vous en tant que super-utilisateur.
8. Connectez-vous au SC en tant qu'utilisateur avec les privilèges d'administrateur de plate-forme.
11. Attendez jusqu'à ce que showenvironment finisse d'afficher le statut de toutes les cartes.
Vous pourrez ensuite vous déconnecter et commencer à utiliser les programmes SMS.
Partage des packages SMS entre le SC de réserve et le SC principal |
1. Connectez-vous au SC principal en tant que super-utilisateur.
2. Insérez le CD-ROM Software Supplement for the 12/03 Operating Environment dans le lecteur de CD-ROM.
3. Utilisez la commande share(1M) pour partager le CD à travers le réseau.
a. Vérifiez si le serveur nfsd est en cours d'exécution. Tapez :
b. Ajoutez une entrée de CDROM au fichier /etc/dfs/dfstab :
c. Pour propager l'image du CDROM à NFS, tapez :
4. Connectez-vous au SC de réserve en tant que super-utilisateur.
5. Créez et montez le répertoire /cdrom pour le SC de réserve.
SC-I1: est le nom d'hôte spécifié pour le réseau SC I1 à l'Etape 5 de Configuration de Management Network (MAN) en utilisant la commande smsconfig(1M).
6. Passez au répertoire d'installation Product :
Copyright © 2003, Sun Microsystems, Inc. Tous droits réservés.