Oracle Solaris Cluster Manager の構成

Oracle Solaris Cluster Manager は、定足数デバイス、IPMP グループ、インターコネクトコンポーネント、グローバルデバイスなどのあらゆる局面のステータスを管理、表示できる GUI です。この GUI は、多くの Oracle Solaris Cluster CLI コマンドの代わりに使用できます。

Oracle Solaris Cluster Manager をクラスタにインストールする手順については、『Oracle Solaris Cluster ソフトウェアのインストール』を参照してください。GUI を使用してさまざまなタスクを行う方法については、Oracle Solaris Cluster Manager のオンラインヘルプを参照してください。

このセクションでは、初期インストール後、Oracle Solaris Cluster Manager を再構成するための次のような手順について説明します。

• 「RBAC の役割の設定」

• 「Oracle Solaris Cluster Manager のサーバーアドレスを変更する方法」

• 「共通エージェントコンテナのセキュリティー鍵を再生成する方法」

RBAC の役割の設定

Oracle Solaris Cluster Manager では、RBAC を使用してクラスタを管理する権限を持つユーザーが決定されます。 Oracle Solaris Cluster ソフトウェアには、いくつかの RBAC 権利プロファイルが含まれています。これらの権利プロファイルをユーザーまたは役割に割り当てることで、 Oracle Solaris Cluster に対するさまざまなレベルのアクセス権をユーザーに与えることができます。Oracle Solaris Cluster ソフトウェアの RBAC を設定および管理する方法については、第 2 章Oracle Solaris Cluster と RBACを参照してください。

共通エージェントコンテナを使用して、サービスまたは管理エージェントのポート番号を変更する

共通エージェントコンテナサービスのデフォルトのポート番号が実行中の別のプロセスと競合する場合、cacaoadm コマンドを使用し、クラスタの各ノード上で、競合しているサービスまたは管理エージェントのポート番号を変更できます。

1. すべてのクラスタ上で 共通エージェントコンテナ 管理デーモンを停止します。

   # /opt/bin/cacaoadm stop

2. Sun Java Web コンソールを停止します。

   # /usr/sbin/smcwebserver stop

3. get-param サブコマンドを使用して、共通エージェントコンテナサービスによって現在使用されているポート番号を取得します。

   # /opt/bin/cacaoadm get-param parameterName

   cacaoadm コマンドを使用して、次の共通エージェントコンテナサービスのポート番号を変更できます。次のリストは、共通エージェントコンテナで管理できるサービスとエージェント、および対応するパラメータ名の例を示しています。

   JMX コネクタポート

   jmxmp-connector-port

   SNMP ポート

   snmp-adapter-port

   SNMP トラップポート

   snmp-adapter-trap-port

   コマンドストリームポート

   commandstream-adapter-port

4. ポート番号を変更します。

   # /opt/bin/cacaoadm set-param parameterName=parameterValue

5. クラスタの各ノードで、手順 4 を繰り返します。
6. Sun Java Web コンソールを再起動します。

   # /usr/sbin/smcwebserver start

7. すべてのクラスタノードで 共通エージェントコンテナ 管理デーモンを再起動します。

   # /opt/bin/cacaoadm start

Oracle Solaris Cluster Manager のサーバーアドレスを変更する方法

クラスタノードのホスト名を変更する場合は、Oracle Solaris Cluster Manager が実行されるアドレスを変更する必要があります。デフォルトのセキュリティー証明書は、Oracle Solaris Cluster Manager がインストールされる時点でノードのホスト名に基づいて生成されます。ノードのホスト名をリセットするには、証明書ファイル keystore を削除し、Oracle Solaris Cluster Manager を再起動します。Oracle Solaris Cluster Manager は、新しいホスト名を使用して新しい証明書ファイルを自動的に作成します。この手順は、ホスト名を変更したすべてのノード上で行う必要があります。

1. /etc/opt/webconsole にある証明書ファイル keystore を削除します。

   # cd /etc/opt/webconsole
   # pkgrm keystore

2. Oracle Solaris Cluster Manager を再起動します。

   # /usr/sbin/smcwebserver restart

共通エージェントコンテナのセキュリティー鍵を再生成する方法

Oracle Solaris Cluster Manager は、強力な暗号化技術を使用して、Oracle Solaris Cluster Manager Web サーバーと各クラスタノード間の安全な通信を確保しています。

Oracle Solaris Cluster Manager が使用する鍵は、各ノードの /etc/opt/SUNWcacao/security ディレクトリに格納されています。これらの鍵は、すべてのクラスタノードで同一でなければなりません。

通常の動作では、これらのキーはデフォルトの構成のままとなります。クラスタノードのホスト名を変更する場合は、共通エージェントコンテナのセキュリティー鍵を再生成する必要があります。また、鍵が攻撃の対象となる恐れがある場合 (マシンのルート侵入など) にも鍵の再生成が必要となります。セキュリティー鍵を再生成するには、次の手順を実行します。

1. すべてのクラスタ上で 共通エージェントコンテナ 管理デーモンを停止します。

   # /opt/bin/cacaoadm stop

2. クラスタの 1 つのノード上で、セキュリティー鍵を再生成します。

   phys-schost-1# /opt/bin/cacaoadm create-keys --force

3. セキュリティー鍵を再生成したノード上で 共通エージェントコンテナ 管理デーモンを再起動します。

   phys-schost-1# /opt/bin/cacaoadm start

4. /etc/cacao/instances/default ディレクトリの tar ファイルを作成します。

   phys-schost-1# cd /etc/cacao/instances/default
   phys-schost-1# tar cf /tmp/SECURITY.tar security

5. /tmp/Security.tar ファイルを各クラスタノードにコピーします。
6. /tmp/SECURITY.tar ファイルをコピーした各ノード上で、セキュリティーファイルを解凍します。

   /etc/opt/SUNWcacao/ ディレクトリに既にセキュリティーファイルがある場合は、すべて上書きされます。

   phys-schost-2# cd /etc/cacao/instances/default
   phys-schost-2# tar xf /tmp/SECURITY.tar

7. クラスタの各ノードから /tmp/SECURITY.tar ファイルを削除します。

   セキュリティーのリスクを避けるために tar ファイルの各コピーを削除する必要があります。

   phys-schost-1# rm /tmp/SECURITY.tar
   
   phys-schost-2# rm /tmp/SECURITY.tar

8. すべてのノード上で 共通エージェントコンテナ 管理デーモンを再起動します。

   phys-schost-1# /opt/bin/cacaoadm start

9. Oracle Solaris Cluster Manager を再起動します。

   # /usr/sbin/smcwebserver restart