Sun Cluster Geographic Edition 系统管理指南

第 4 章访问管理和安全性管理

本章介绍如何进行访问管理和安全性管理。本章包含以下几节：

Sun Cluster Geographic Edition 软件和 RBAC

本节介绍了 Sun Cluster Geographic Edition 软件中基于角色的访问控制 (RBAC)。本章包含以下几节：

设置和使用 RBAC

Sun Cluster Geographic Edition 软件的 RBAC 配置文件以 Sun Cluster 软件中使用的 RBAC 权限配置文件为基础。有关通过 Sun Cluster 软件设置并使用 RBAC 的一般信息，请参阅《Sun Cluster 系统管理指南（适用于 Solaris OS）》中的第 2 章 “Sun Cluster 和 RBAC”。

Sun Cluster Geographic Edition 软件会将以下新 RBAC 实体添加到 /etc/security 目录下的相应文件中：

auth_attr：RBAC 授权名称
prof_attr：RBAC 执行配置文件
exec_attr：RBAC 执行属性

注 –

auth_attr 和 prof_attr 数据库的默认搜索顺序为 files nis（这在 /etc/nsswitch.conf 文件中定义）。如果您已在自己的环境下自定义了搜索顺序，请确认搜索列表中存在 files。将 files 包含在搜索列表中可使您的系统找到 Sun Cluster Geographic Edition 所定义的 RBAC 条目。

RBAC 权限配置文件

Sun Cluster Geographic Edition 的 CLI 和 GUI 使用 RBAC 权限控制最终用户对操作的访问。表 4–1 介绍了关于这些权限的通用约定。

表 4–1 Sun Cluster Geographic Edition RBAC 权限配置文件


权限配置文件	包含的授权	角色标识权限
Geo 管理	`solaris.cluster.geo.read`	阅读有关 Sun Cluster Geographic Edition 实体的信息
	`solaris.cluster.geo.admin`	使用 Sun Cluster Geographic Edition 软件执行管理任务
	`solaris.cluster.geo.modify`	修改 Sun Cluster Geographic Edition 软件的配置
基本 Solaris 用户	Solaris 授权	执行基本 Solaris 用户角色标识可以执行的相同操作
基本 Solaris 用户	`solaris.cluster.geo.read`	阅读有关 Sun Cluster Geographic Edition 实体的信息

修改用户的 RBAC 属性

要修改用户的 RBAC 权限，您必须以超级用户身份登录，或使用一个分配有主管理员权限配置文件的角色。

例如，您可以使用如下方法为用户 admin 指定 Geo 管理 RBAC 配置文件：

# usermod -P "Geo Management" admin
# profiles admin
Geo Management
Basic Solaris User
#

有关如何修改用户的 RBAC 属性的更多信息，请参阅《Sun Cluster 系统管理指南（适用于 Solaris OS）》中的第 2 章 “Sun Cluster 和 RBAC”。

使用安全性证书配置安全群集通信

必须对 Sun Cluster Geographic Edition 软件进行配置以便在伙伴群集之间进行安全通信。这种配置必须是彼此照应的。因此，必须将群集 cluster-paris 配置为信任其伙伴群集 cluster-newyork，同时将群集 cluster-newyork 配置为信任其伙伴群集 cluster-paris。

如果要使用 GUI 管理 Sun Cluster Geographic Edition 软件，则两个伙伴群集的所有节点上的超级用户密码都必须相同。

有关为伙伴群集设置安全证书的信息，请参见在伙伴群集之间配置信任。

有关群集配置示例，请参见Sun Cluster Geographic Edition 群集配置示例。

使用 IPsec 配置安全群集通信

您可以使用 IP 安全性体系结构 (IPsec) 来配置伙伴群集之间的安全通信。IPsec 允许您使用 IP 在相互通信的计算机之间设置安全策略（即允许或要求进行安全数据报验证，或进行实际数据加密，或两者均进行）。对于以下群集通信，请考虑使用 IPsec：

安全的 Sun StorageTek Availability Suite 通信（如果使用 Sun StorageTek Availability Suite 软件进行数据复制）
安全的 TCP/UDP 心跳通信

Sun Cluster 软件和 Sun Cluster Geographic Edition 软件仅使用手动密钥来支持 IPsec。必须在群集节点上为服务器和客户机 IP 地址的每种组合手动存储密钥。还必须在每个客户机上手动存储这些密钥。

有关 IPsec 配置参数的完整描述，请参阅《System Administration Guide: IP Services》。

如何为安全群集通信配置 IPsec

在 Sun Cluster Geographic Edition 基础结构中，逻辑主机的主机名与群集名称完全一样。逻辑主机名是一种特殊的 HA 资源。根据群集配置情况，您必须为 Sun Cluster Geographic Edition 的各种组件设置多个不同的 IP 地址。

在每个伙伴群集上，必须配置加密和授权，以便在物理节点和逻辑主机名地址之间交换传入和外发包。在伙伴群集之间，这些地址上的 IPsec 配置参数值必须保持一致。

IPsec 使用两个配置文件：

IPsec 策略文件，/etc/inet/ipsecinit.conf。包含了用于支持授权和加密心跳的指导性规则。在具有伙伴关系的两个群集上，该文件的内容是不同的。
IPsec 密钥文件，/etc/init/secret/ipseckeys。包含了特定授权和加密算法的密钥文件。在具有伙伴关系的两个群集上，该文件的内容是完全相同的。

以下过程将配置群集 cluster-paris 与另一个群集 cluster-newyork 进行 IPsec 安全通信。两个群集均运行 Solaris OS 版本 9。该过程假定 cluster-paris 上的本地逻辑主机名为 lh-paris-1，远程逻辑主机名为 lh-newyork-1。传入的消息将被发送至 lh-paris-1，传出的消息将被发送至 lh-newyork-1。

在 cluster-paris 的每个节点上执行以下过程。

作为超级用户登录至主群集的第一个节点 phys-paris-1。

有关哪个节点是 phys-paris-1 的提示信息，请参见Sun Cluster Geographic Edition 群集配置示例。

在 IPsec 策略文件中为本地地址和远程地址设置一个条目。

策略文件位于 /etc/inet/ipsecinit.conf。此文件的权限应为 644。有关此文件的更多信息，请参阅 ipsecconf(1M) 手册页。

有关 Sun Cluster Geographic Edition 软件支持的名称和值的信息，请参见附录 B，Sun Cluster Geographic Edition 实体合法的名称和值。
1. 配置通信策略。
  
  tcp_udp 插件的默认端口为 2084。您可以在 etc/cacao/instances/default/modules/com.sun.cluster.geocontrol.xml 文件中指定此值。
  
  以下命令配置了一个没有设置任何授权或加密算法首选项的策略：
  # {raddr lh-newyork-1 rport 2084} ipsec {auth_algs any encr_algs any \ sa shared} {laddr lh-paris-1 lport 2084} ipsec {auth_algs any encr_algs \ any sa shared}
  当您在辅助群集 cluster-newyork 上配置通信策略时，必须使用相反的策略。
  # {laddr lh-newyork-1 lport 2084} ipsec {auth_algs any encr_algs \ any sa shared} {raddr lh-paris-1 rport 2084} ipsec {auth_algs any encr_algs \ any sa shared}
2. 通过重新引导节点或运行以下命令的方式添加策略。
  # ipsecconf -a /etc/inet/ipsecinit.conf

设置传入和外发通信的加密和授权密钥。

通信文件位于 /etc/init/secret/ipseckeys。此文件的权限应为 600。

添加密钥：

# ipseckey -f /etc/init/secret/ipseckeys

密钥条目具有以下常规格式：

# inbound to cluster-paris
add esp spi paris-encr-spi dst lh-paris-1 encr_alg paris-encr-algorithm \
encrkey paris-encrkey-value
add ah spi newyork-auth-spi dst lh-paris-1 auth_alg paris-auth-algorithm \
authkey paris-authkey-value

# outbound to cluster-newyork
add esp spi newyork-encr-spi dst lh-newyork-1 encr_alg newyork-encr-algorithm \
encrkey newyork-encrkey-value
add ah spi newyork-auth-spi dst lh-newyork-1 auth_alg newyork-auth-algorithm \
authkey newyork-authkey-value

有关通信文件的更多信息，请参阅 ipsecconf(1M) 手册页。

第 4 章 访问管理和安全性管理