test

Sun Management Center 3.5 설치 및 구성 설명서

3장 구성 고려 사항

이 장에서는 Sun Management Center의 설치 또는 업그레이드에 영향을 미칠 수 있는 항목에 대해 설명합니다. 이 장은 다음 내용으로 구성되어 있습니다.

보안 권장 사항

이 장에서는 Sun Management Center 액세스, 서버와 에이전트 구성 요소 및 보안 키에 대한 권장 사항에 대하여 설명합니다.

사용자, 그룹 및 역할 개요

Sun Management Center 사용자 및 사용자 그룹을 설정하려면 가능한 관리 작업을 적당한 사용자 클래스에 지정할 수 있도록 관리 작업의 유형에 대하여 알고 있어야 합니다. 사용자 그룹 및 역할을 신중하게 계획하면 적합한 구성 관리, 관리 정보 및 시스템 자원의 데이터 무결성과 보안이 보장됩니다.

먼저 마스터 액세스 파일 /var/opt/SUNWsymon/cfg/esusers에서 사용자가 명시적으로 식별되지 않는 경우 사용자는 Sun Management Center에 대한 액세스 권한을 얻을 수 없습니다. Sun Management Center에 대한 액세스 권한을 부여하려면 /var/opt/SUNWsymon/cfg/esusers에 UNIX 사용자 이름을 추가해야 합니다. 그런 다음 표준 UNIX 사용자 이름 및 암호를 사용하여 Sun Management Center에 로그인할 수 있습니다.

사용자가 로그인하면 Sun Management Center는 액세스를 제어하고 다음 기능 역할을 기반으로 하여 사용자 권한을 정합니다.

대규모 조직에서는 Sun Management Center의 보안 역할을 기존 시스템 관리 및 지원 기능에 직접 매핑할 수 있습니다. 소규모 조직의 경우에는 회사 기능과 제품 역할 간의 매핑이 그다지 분명하지 않기 때문에 해당 프로세스가 더 복잡할 수 있습니다. 경우에 따라 모든 논리 역할이 단일 사용자에게 지정될 수도 있습니다.

주 –

권한 지정에는 유연성이 있어 4가지 Sun Management Center 보안 역할에 제한될 필요가 없습니다.

Sun Management Center 권한은 도메인, 토폴로지 컨테이너, 에이전트 및 모듈 수준에서 명시적으로 지정할 수 있습니다. 권한 지정 시 임의의 UNIX 사용자 또는 그룹을 참조할 수 있으며 위에서 지정한 그룹은 관례적으로 많이 사용하는 그룹일 뿐입니다. Sun Management Center 권한 그룹을 사용하면 기능 역할을 지정할 때 기존 계정 구성을 사용할 수 있습니다. 권한을 지정할 때 사용자를 명시적으로 지정하는 것은 권장되지 않지만 UNIX 그룹이 이미 구축되어 있는 환경에서는 해당 UNIX 그룹을 사용하는 것이 편리할 수 있습니다.

보안 역할, 그룹 및 사용자에 대한 자세한 내용은 사용자 설정“Sun Management Center 보안” in Sun Management Center 3.5 사용자 설명서을 참조하십시오.

Sun Management Center 내부 보안

이 절에서는 Sun Management Center 구성 요소 간에 사용되는 보안 프로세스에 대하여 설명합니다.

서버와 에이전트 간 보안

Sun Management Center 서버 및 관리 대상 노드 간 통신은 주로 산업 표준 Simple Network Management Protocol 버전 2를 사용하여 수행되며 사용자 보안 모델 SNMP v2usec를 사용합니다. SNMPv2 메커니즘은 서버 계층의 사용자 자격 증명을 에이전트 쪽 작업에 매핑하는 데 편리하게 사용할 수 있습니다. SNMPv2는 액세스 제어 정책을 피할 수 없게 하는 기본 메커니즘입니다.

Sun Management Center는 커뮤니티 기반 보안의 SNMP v1 및 v2를 지원합니다. SNMP v1 및 v2 지원은 보안의 관점에서는 견고하지는 않지만 기타 장치 및 관리 플랫폼과의 통합에 중요한 역할을 합니다. 이와 같은 메커니즘을 사용하는 것이 바람직하지 않은 환경에서는 액세스 제어 지정 메커니즘을 사용하여 SNMP v1 및 v2 프로토콜을 사용하는 프로세스에 대한 액세스를 제한하거나 금지할 수 있습니다.

데이터 스트리밍이 필요할 수 있는 사용자 정의 작업의 경우 검사 메커니즘도 사용됩니다. SNMP 작업에서 검사 메커니즘을 시작합니다. 검사 작업이 시작되면 스트리밍 TCP 연결을 사용하여 관리 대상 노드에서 잠재적인 대화형의 양방향 서비스(예: 로그 파일 보기)가 구현됩니다. 검사 메커니즘이 SNMP 통신을 사용하므로 패킷 페이로드의 암호화는 수행되지 않습니다.

서버 컨텍스트 간 보안

Sun Management Center에서 로컬 서버 컨텍스트 외부의 관리 대상 노드와 통신하는 경우, 보안 모델은 작업이 일반 espublic SNMPv2 usec 사용자로서 수행되는지 확인합니다. espublic을 사용하면 권한이 상당히 제한되어 사용자는 관리 데이터를 읽을 수 있는 권한만 갖게 됩니다.

클리이언트와 서버 간 보안

Sun Management Center 서버 계층과 클라이언트(예: 콘솔 및 명령줄 인터페이스) 간 통신은 포괄적 제품별 보안 모델과 함께 Java 기술인 원격 메서드 호출(RMI)을 사용하여 수행됩니다. 보안 모델을 사용하여 클라이언트는 낮음, 중간 또는 높음 등의 보안 모드에서 작업할 수 있습니다. 보안 모델은 수행되는 메시지 인증 수준에 영향을 줍니다.

보안 수준이 높은 경우 성능에 잠재적인 영향을 주게 되므로 메시지 인증 요구 사항을 신중하게 고려해야 합니다.

보안 키 및 SNMP 커뮤니티 문자열

개별 시스템에 Sun Management Center 에이전트를 설치 및 설정하면 에이전트에 대한 보안 키를 생성하는 데 사용되는 암호를 입력하라는 메시지가 표시됩니다. Sun Management Center 서버를 설정하는 동안 지정한 암호와 같은 암호를 입력해야 합니다. Sun Management Center 서버 및 에이전트에 서로 다른 보안 키가 있는 경우 해당 서버와 에이전트는 서로 통신할 수 없습니다. 보안 키를 다시 생성하는 방법에 대한 자세한 내용은 보안 키 재생성를 참조하십시오.

설정 중에 기본 SNMP 커뮤니티 문자열(공용)을 수락할 것인지 개인 커뮤니티 문자열을 지정할 것인지를 묻는 메시지도 표시됩니다. 본질적으로 SNMP 커뮤니티 문자열은 권한 있는 내부 계정용 암호입니다. 따라서 일반 SNMPv2 usec 도구를 사용하는 경우 해당 문자열을 사용하여 서버 계층을 흉내낼 수 있습니다. 그러므로 기본 커뮤니티 문자열을 사용하지 마십시오. 서버 컨텍스트마다 개별적이고 개인적인 커뮤니티 문자열을 지정하십시오.

수퍼유저 암호와 마찬가지로 보안 암호와 SNMP 커뮤니티 문자열도 중요하게 생각해야 합니다.

관리 전략

이 절에서는 Sun Management Center 관리 방법에 대해 개괄적으로 설명합니다. 관리 중인 시스템 및 시스템 구현에 대한 이해는 Sun Management Center를 성공적으로 배포하고 사용할 수 있도록 도와 줍니다.

서버 컨텍스트

관리 정보 조직에 대한 최상위 빌딩 블록은 서버 컨텍스트입니다. 각 Sun Management Center 서버에서는 서버 컨텍스트를 하나씩 제공합니다. 각 서버 컨텍스트에는 서버 컨텍스트에 보고하는 하나 이상의 관리 대상 시스템이 있습니다. 관리 대상 시스템은 하나의 서버 컨텍스트에만 보고할 수 있습니다.

일반적으로 서버 컨텍스트 간 통신은 제한되므로 관리 이벤트가 서버 간에 전달되지 않습니다. 서버 컨텍스트 사용은 Sun Management Center를 사용하는 조직 내 그룹의 구조와 같은 수준이여야 합니다. 또한 서버 컨텍스트는 시스템 관리 측면에서 해당 그룹의 책임과도 같은 수준이어야 합니다. 서버를 갖고 있는 관리 그룹은 서버 내 관리 데이터도 갖고 있습니다. 해당 그룹은 Sun Management Center 서버에서 관리하는 모든 시스템 및 네트워크 자원에 대한 모든 액세스 권한을 제어합니다.

도메인 전략

도메인은 서버 컨텍스트 내에서 최상위 수준의 구조입니다. 도메인은 사용자 정의 토폴로지 구성을 생성할 수 있는 개별 환경을 제공합니다. 도메인은 매우 일반적입니다. 도메인을 만들어 사용자, 환경 또는 기타 논리 부분별 정보를 표시할 수 있습니다. 관리 대상 시스템은 두 개 이상의 도메인에 나타날 수 있으며 여러 도메인이 겹쳐서 존재하게 합니다. 그러므로 같은 관리 정보 및 시스템 자원을 여러 가지 방법으로 표시할 수 있습니다.

일반적으로 도메인에는 관리 대상 시스템, Sun Management Center 관리 모듈 또는 관리 대상 개체 집합을 집계하는 데 사용할 수 있는 Sun Management Center의 계층적 컬렉션이 포함되어 있습니다. 이 계층은 사용자 인터페이스에서 가시적인 정보 분석을 정의하고 관리 상태를 집계하여 해당 상태를 고급 개요에 제공하기 위한 규칙을 정의합니다. 이 기능과 유연성으로 인해 도메인과 도메인 내의 컨테이너는 특정 환경의 논리 관리 모델을 구성하는 강력한 도구가 됩니다.

조직 전략

Sun Management Center에는 강력한 검색 관리자가 있어 자동 및 정기적으로 로컬 환경을 검사하여 모든 관리 대상 노드를 식별할 수 있습니다. 검색 관리자는 Sun Management Center의 구성에 도움이 되며 관리 정보를 네트워크 기반의 물리적 선을 따라 구성합니다.

관리 정보를 보고 상태 정보를 집계하는 데 있어서 사용자 환경의 특성에 따라 검색 관리자를 사용하는 방법보다 더 유용한 다른 방법이 있을 수 있습니다. 이와 반대로 검색 관리자를 사용하는 것이 Sun Management Center 조직을 구성하기 전에 모든 관리 대상 시스템을 식별하는 데 매우 유용합니다. 검색 관리자에 대한 자세한 내용은 “검색 관리자를 사용하여 토폴로지 데이터베이스에 개체 추가” in Sun Management Center 3.5 사용자 설명서를 참조하십시오.

Sun Management Center 환경을 조직하는 다른 방법으로는 다음과 같은 방법이 있습니다.

각각의 Sun Management Center 제품 환경에서 완전성에 역점을 두어야 합니다. 적용 범위는 시스템 문제를 미리 식별하거나 적어도 즉각적으로 식별할 수 있을 정도로 충분해야 합니다. 환경에는 중요하지만 Sun Management Center에서 모니터되지 않는 장치, 호스트, 서비스 또는 프로세스에 오류가 발생하면 적용 범위에 차이가 발생하여 구현의 전체 효율성이 영향을 받을 수 있습니다. 이 문제를 해결하려면 Sun Management Center 관리 환경을 구축할 때 사용자 정의 모듈, 프록시 솔루션 및 다른 서버 컨텍스트에서 받은 정보에 대해서도 고려해야 합니다.

물리적 조직

관리 대상 시스템의 물리적 위치는 시스템이 속해 있는 네트워크에 해당하지 않을 수 있습니다. 이 경우 Sun Management Center 그룹이 물리적 선에 구성된 새 도메인을 만들 수 있습니다. 시, 사이트, 건물, 층계, 서버 룸 및 장치 랙도 쉽게 표시할 수 있습니다. 검색 관리자를 사용하여 이러한 위치의 시스템을 검색한 도메인에서 복사하고 붙여넣을 수 있습니다.

물리적 선을 따라 Sun Management Center 환경을 구성하려면 시스템의 실제 위치를 알고 있어야 합니다. 이런 조직은 쉽게 액세스할 수 있는 유용한 참조가 됩니다. 물리적 조직은 문제를 물리적 선에서 분리하여 일반 모드 오류를 식별하는 데 도움을 주는 상태 롤업 경로를 정의합니다. 예를 들어, 지역적인 전원 중단은 일부 네트워크가 있는 시스템에 영향을 주지만 한 지역에서만 나타납니다.

주의 – 주의 –

항상 최신 정보를 보유해야 합니다. 검색을 수행하면 최신 정보가 자동으로 업데이트됩니다. 검색 프로세스는 물리적으로 다시 배포되는 자산을 자동으로 추적하지 않습니다.

환경 전략

조직에는 위치와 자원은 겹치지만 논리 기능은 뚜렷이 구분되는 여러 논리 환경이 있을 수 있습니다. 논리 환경에는 영업 대 엔지니어링과 같은 사내 그룹, 소매 대 협회와 같은 기능 그룹 및 사용자 허용 대 제품과 같은 논리 소프트웨어 환경 등이 있습니다.

이러한 모든 경우에 각 그룹 요소를 격리하는 개별 Sun Management Center 토폴로지 그룹을 만드는 것을 고려하십시오. 개별 토폴로지 그룹은 한 그룹에서 발생한 문제가 다른 그룹에 경보를 발생하지 않게 합니다. 여러 도메인 서버를 포함하는 시스템에 대한 Sun Management Center 환경을 구성할 때 이와 같이 격리를 하는 것은 매우 중요합니다. 서로 다른 도메인은 완전히 서로 다른 그룹이나 환경으로 작동할 수 있습니다. 단일 토폴로지 그룹에 서로 다른 도메인을 포함하면 잘못된 정보와 경보 알림이 발생할 수 있습니다.

응용 프로그램 조직

시스템 관리에서 응용 프로그램은 복잡한 엔티티입니다. 관리 측면에서 응용 프로그램의 구성 요소를 결정하는 것은 매우 어렵습니다. 응용 프로그램들이 분산되어 있고 적절하게 작동하려면 많은 외부 서비스에 의존해야 하는 경우 특히 어렵습니다. 이러한 이유로 Sun Management Center를 설치하기 전에 응용 프로그램을 조직해야 합니다. 문제가 실제로 발생하기 전에 인과 관계에 대한 고려를 해야 합니다. 초기 분석은 응용 프로그램 수준의 문제 해결에 대한 효율성을 늘릴 수 있습니다.

응용 프로그램 지향 Sun Management Center 환경을 구성할 때 토폴로지 컨테이너에서는 일반적으로 호스트, 모듈 및 특정 개체의 혼합을 포함합니다. 일부 호스트는 해당 응용 프로그램의 실행을 전적으로 담당할 수 있는 반면에, 일부 호스트는 응용 프로그램이 제대로 작동하는 데 부분적으로만 관여할 수 있습니다. 예를 들어, 회사 디렉토리 서비스를 사용하는 응용 프로그램의 경우 디렉토리 서비스의 상태는 응용 프로그램의 작동에 중요하지만, 서버의 다른 서비스 상태는 응용 프로그램에 중요하지 않거나 필요하지 않습니다.

서비스 책임

일부 환경에서 그룹이나 관리자는 기본 자원을 제외한 특정 서비스를 관리합니다. 예를 들어, 데이터베이스 관리자는 데이터베이스 서비스 가용성 및 데이터 무결성을 관리하지만 하드웨어 및 운영 체제는 관리하지 않을 수 있습니다. 데이터베이스 서비스용으로 특별히 만든 Sun Management Center 도메인은 데이터베이스 관리자가 필요한 태스크를 수행할 수 있도록 지원할 수 있습니다. General User 역할 권한은 일반 시스템 및 네트워크 상태에 대한 액세스 권한을 제공하여 관리자를 지원할 수 있습니다.

대기업 관리

Sun Management Center에 있는 일부 기능을 사용하여 대기업 관리를 단순화할 수 있습니다. 이러한 기능 중 하나는 참조 도메인으로 이를 사용하여 그룹에서 서버 컨텍스트 전반에 걸쳐 관리 정보를 공유할 수 있습니다. 또 다른 기능으로 작업 그룹화 시스템이 있으며, 이는 고도로 분산된 대량 관리 작업 수행을 용이하게 합니다.

그룹화 시스템을 사용하여 데이터 등록 정보 값을 설정하고 데이터 등록 정보 속성을 수정할 수 있습니다. 또한 Sun Management Center 서버 환경에서 모듈을 로드, 언로드, 활성화 및 비활성화할 수도 있습니다. 이 모든 작업은 관리 대상 시스템 및 노드로 구성된 큰 그룹에 적용할 수 있습니다. 기존 토폴로지 구조나 유연성 있는 검색 스타일 필터를 사용하여 이러한 그룹을 정의할 수 있습니다. 그룹화 작업은 여러 번 저장하고 수행할 수 있습니다. 스케줄러는 그룹화 작업을 자동화하는 데 사용할 수 있습니다. 그룹화 작업에는 또한 MCP (모듈 구성 전파)도 있는데 이는 참조 노드의 전체 구성을 서버의 모든 유사한 노드로 가져와 복제할 수 있는 기능입니다.

참조 도메인에 대한 자세한 내용은 “원격 관리 도메인 모니터링” in Sun Management Center 3.5 사용자 설명서을 참조하십시오. 그룹 작업에 대한 자세한 내용은 “그룹 관련 작업 관리” in Sun Management Center 3.5 사용자 설명서를 참조하십시오.