本章介绍如何进行访问管理和安全性管理。本章包含以下几节:
本节介绍了 Sun Cluster Geographic Edition 软件中基于角色的访问控制 (RBAC)。本章包含以下几节:
Sun Cluster Geographic Edition 软件的 RBAC 配置文件以 Sun Cluster 软件中使用的 RBAC 权限配置文件为基础。有关通过 Sun Cluster 软件设置并使用 RBAC 的一般信息,请参阅《Sun Cluster 系统管理指南(适用于 Solaris OS)》中的第 2 章 “Sun Cluster 和 RBAC”。
Sun Cluster Geographic Edition 软件会将以下新 RBAC 实体添加到 /etc/security 目录下的相应文件中:
auth_attr:RBAC 授权名称
prof_attr:RBAC 执行配置文件
exec_attr:RBAC 执行属性
auth_attr 和 prof_attr 数据库的默认搜索顺序为 files nis(这在 /etc/nsswitch.conf 文件中定义)。如果您已在自己的环境下自定义了搜索顺序,请确认搜索列表中存在 files。将 files 包含在搜索列表中可使您的系统找到 Sun Cluster Geographic Edition 所定义的 RBAC 条目。
Sun Cluster Geographic Edition 的 CLI 和 GUI 使用 RBAC 权限控制最终用户对操作的访问。表 4–1 介绍了关于这些权限的通用约定。
表 4–1 Sun Cluster Geographic Edition RBAC 权限配置文件
权限配置文件 |
包含的授权 |
角色标识权限 |
---|---|---|
Geo 管理 |
solaris.cluster.geo.read |
阅读有关 Sun Cluster Geographic Edition 实体的信息 |
solaris.cluster.geo.admin |
使用 Sun Cluster Geographic Edition 软件执行管理任务 |
|
solaris.cluster.geo.modify |
修改 Sun Cluster Geographic Edition 软件的配置 |
|
基本 Solaris 用户 |
Solaris 授权 |
执行基本 Solaris 用户角色标识可以执行的相同操作 |
solaris.cluster.geo.read |
阅读有关 Sun Cluster Geographic Edition 实体的信息 |
要修改用户的 RBAC 权限,您必须以超级用户身份登录,或使用一个分配有主管理员权限配置文件的角色。
例如,您可以使用如下方法为用户 admin 指定 Geo 管理 RBAC 配置文件:
# usermod -P "Geo Management" admin # profiles admin Geo Management Basic Solaris User # |
有关如何修改用户的 RBAC 属性的更多信息,请参阅《Sun Cluster 系统管理指南(适用于 Solaris OS)》中的第 2 章 “Sun Cluster 和 RBAC”。
必须对 Sun Cluster Geographic Edition 软件进行配置以便在伙伴群集之间进行安全通信。这种配置必须是彼此照应的。因此,必须将群集 cluster-paris 配置为信任其伙伴群集 cluster-newyork,同时将群集 cluster-newyork 配置为信任其伙伴群集 cluster-paris。
如果要使用 GUI 管理 Sun Cluster Geographic Edition 软件,则两个伙伴群集的所有节点上的超级用户密码都必须相同。
有关为伙伴群集设置安全证书的信息,请参见在伙伴群集之间配置信任。
有关群集配置示例,请参见Sun Cluster Geographic Edition 群集配置示例。
您可以使用 IP 安全性体系结构 (IPsec) 来配置伙伴群集之间的安全通信。IPsec 允许您使用 IP 在相互通信的计算机之间设置安全策略(即允许或要求进行安全数据报验证,或进行实际数据加密,或两者均进行)。对于以下群集通信,请考虑使用 IPsec:
安全的 Sun StorageTek Availability Suite 通信(如果使用 Sun StorageTek Availability Suite 软件进行数据复制)
安全的 TCP/UDP 心跳通信
Sun Cluster 软件和 Sun Cluster Geographic Edition 软件仅使用手动密钥来支持 IPsec。必须在群集节点上为服务器和客户机 IP 地址的每种组合手动存储密钥。还必须在每个客户机上手动存储这些密钥。
有关 IPsec 配置参数的完整描述,请参阅《System Administration Guide: IP Services》。
在 Sun Cluster Geographic Edition 基础结构中,逻辑主机的主机名与群集名称完全一样。逻辑主机名是一种特殊的 HA 资源。根据群集配置情况,您必须为 Sun Cluster Geographic Edition 的各种组件设置多个不同的 IP 地址。
在每个伙伴群集上,必须配置加密和授权,以便在物理节点和逻辑主机名地址之间交换传入和外发包。 在伙伴群集之间,这些地址上的 IPsec 配置参数值必须保持一致。
IPsec 使用两个配置文件:
IPsec 策略文件,/etc/inet/ipsecinit.conf。包含了用于支持授权和加密心跳的指导性规则。 在具有伙伴关系的两个群集上,该文件的内容是不同的。
IPsec 密钥文件,/etc/init/secret/ipseckeys。包含了特定授权和加密算法的密钥文件。在具有伙伴关系的两个群集上,该文件的内容是完全相同的。
以下过程将配置群集 cluster-paris 与另一个群集 cluster-newyork 进行 IPsec 安全通信。两个群集均运行 Solaris OS 版本 9。该过程假定 cluster-paris 上的本地逻辑主机名为 lh-paris-1,远程逻辑主机名为 lh-newyork-1。传入的消息将被发送至 lh-paris-1,传出的消息将被发送至 lh-newyork-1。
在 cluster-paris 的每个节点上执行以下过程。
作为超级用户登录至主群集的第一个节点 phys-paris-1。
有关哪个节点是 phys-paris-1 的提示信息,请参见Sun Cluster Geographic Edition 群集配置示例。
在 IPsec 策略文件中为本地地址和远程地址设置一个条目。
策略文件位于 /etc/inet/ipsecinit.conf。此文件的权限应为 644。有关此文件的更多信息,请参阅 ipsecconf(1M) 手册页。
有关 Sun Cluster Geographic Edition 软件支持的名称和值的信息,请参见附录 B,Sun Cluster Geographic Edition 实体合法的名称和值。
配置通信策略。
tcp_udp 插件的默认端口为 2084。您可以在 etc/cacao/instances/default/modules/com.sun.cluster.geocontrol.xml 文件中指定此值。
以下命令配置了一个没有设置任何授权或加密算法首选项的策略:
# {raddr lh-newyork-1 rport 2084} ipsec {auth_algs any encr_algs any \ sa shared} {laddr lh-paris-1 lport 2084} ipsec {auth_algs any encr_algs \ any sa shared} |
当您在辅助群集 cluster-newyork 上配置通信策略时,必须使用相反的策略。
# {laddr lh-newyork-1 lport 2084} ipsec {auth_algs any encr_algs \ any sa shared} {raddr lh-paris-1 rport 2084} ipsec {auth_algs any encr_algs \ any sa shared} |
通过重新引导节点或运行以下命令的方式添加策略。
# ipsecconf -a /etc/inet/ipsecinit.conf |
设置传入和外发通信的加密和授权密钥。
通信文件位于 /etc/init/secret/ipseckeys。此文件的权限应为 600。
添加密钥:
# ipseckey -f /etc/init/secret/ipseckeys |
密钥条目具有以下常规格式:
# inbound to cluster-paris add esp spi paris-encr-spi dst lh-paris-1 encr_alg paris-encr-algorithm \ encrkey paris-encrkey-value add ah spi newyork-auth-spi dst lh-paris-1 auth_alg paris-auth-algorithm \ authkey paris-authkey-value # outbound to cluster-newyork add esp spi newyork-encr-spi dst lh-newyork-1 encr_alg newyork-encr-algorithm \ encrkey newyork-encrkey-value add ah spi newyork-auth-spi dst lh-newyork-1 auth_alg newyork-auth-algorithm \ authkey newyork-authkey-value |
有关通信文件的更多信息,请参阅 ipsecconf(1M) 手册页。