IBM认证知识:HACMP网络安全规划
规划网络安全性对于避免集群节点上未经授权的访问也是非常重要的。
从 HACMP V5.1 开始,通过为节点之间所有与 HACMP 配置相关的通信提供公共通信基础设施(守护进程),从而引入了一种新的安全机制。
新的集群通信守护进程 (clcomdES) 的引入在 HACMP 集群中提供了增强的安全性,同时还加快了与配置相关的操作速度。
存在三个级别的通信安全性:
标准级别
缺省安全级别。直接由集群通信守护进程 (clcomdES) 实现。使用 HACMP ODM 类别和 /usr/es/sbin/cluster/rhosts 文件来确定合法伙伴。增强级别
在 SP 集群中使用。利用基于 Kerberos 提供的第三方身份验证方法的增强身份验证方法。虚拟专用网(Virtual Private Network,VPN)
VPN 是在 AIX 中配置的。然后将 HACMP 配置为使用 VPN 来进行所有与节点间配置相关的通信操作。通过使用集群安全通信子系统,HACMP 消除了对每个集群节点上的` /ts 文件或 Kerberos 配置的需要。
但是,可能仍然需要 /ts 来支持需要这种远程通信机制的应用程序的操作。
注意:并非所有集群通信都通过 clcomdES 进行保护;其他守护进程具有自己的通信机制(不是基于“r”命令)。
集群管理器 (clstrmgrES)集群锁守护进程 (cllockdES)集群多对等扩展通信守护进程 (clsmuxpdES)clcomdES 用于集群配置操作,例如集群同步、集群管理 (C-SPOC) 和动态重新配置 (DARE) 操作。
通过使用“最低权限”原则,集群通信守护进程 clcomdES 提供安全的远程命令执行和 HACMP ODM 配置文件更新。
因而,只有存在于 /usr/es/sbin/cluster/ 中的程序才以 root 身份运行;其他所有程序都以“nobody”用户身份运行。除了 clcomdES 以外,还使用了以下程序:
cl_rsh 是集群远程 Shell 执行程序。clrexec 用于以 root 身份运行特定的危险命令,例如修改 /etc 目录中的文件。cl_rcp 用于复制 AIX 配置文件。这些命令硬编码在 clcomdES 中,不支持由用户运行。
集群通信守护进程 (clcomdES) 具有以下特征:
由于集群通信不需要标准 AIX“r”命令,因此可以消除对 /ts 文件的依赖性。因而,即使在“标准”安全模式下,集群安全性也得到了增强。为其他节点在本地节点(从中执行配置变更和同步的节点)上的 ODM 副本提供可靠的缓存机制。限制可在远程节点上作为 root 身份执行的命令(只有 /usr/es/sbin/cluster 中的命令才以 root 身份运行)。clcomdES 从 /etc/inittab 启动,并由系统资源控制器(system resource controller,SRC)子系统进行管理。提供自己的心跳检测机制,并发现活动的集群节点(即使是在集群管理器或 RSCT 未运行的情况下)。注意:ClcomdES 为诸如 clverify、godm、rsh 和 rexec 等各种 HACMP 服务提供了传输机制。
针对传入连接的 clcomdES 身份验证过程的基础是对照以下文件检查节点的身份:
HACMPadapter ODM 类别(此类别中定义的 IP 标签)HACMPnode ODM(用作集群中节点的通信路径的 IP 地址/标签)/usr/sbin/cluster/etc/rhosts 文件如果 /usr/sbin/cluster/etc/rhosts 文件丢失,或者未包含针对远程发起节点的条目(IP 地址或可解析的 IP 标签),则不允许进入的连接。
如果 HACMPnode、HACMPadapter ODM 类别和 /usr/sbin/cluster/etc/rhosts 文件为空,则 clcomdES 假设集群正在进行配置,并接受传入的连接,然后在初始配置完成后,将对等节点的 IP 标签(地址)添加到 /usr/sbin/cluster/etc/rhosts 文件。
如果请求连接的 IP 地址与上述位置(HACMPadapter、HACMPnode 和 /usr/es/sbin/cluster/etc/rhosts)中的某个标签匹配,则 clcomdES 将反过来连接到请求节点,并要求提供 IP 标签(主机名称);如果返回的 IP 标签(主机名称)与请求 IP 地址匹配,则身份验证成功完成。
相關文章
-
IBM认证知识:HACMP集群规划
集群规划也许是实现成功的配置过程中最重要的步骤。HACMP 规划应该包括以下方面:硬件规划节点网络存储软件规划操作系统版本HACMP 版本应用程序兼容性测试和维护规划测试过程变更管理管理操作硬件规划实现高可用性配置 -
IBM的HACMP认证知识:HACMP的规划
规划是成功的实现的一半,但是就 HACMP 而言,如何强调正确规划的重要性都不为过。如果规划不当,您可能会在以后某个时候发现自己陷入种种限制之中,而要摆脱这些限制可能是非常痛苦的经历。因此,请保持镇定从容,并使用产品附 -
IBM认证知识:HACMP术语
在日常生活或是工作学习中,大家总免不了要接触或使用作文吧,借助作文可以宣泄心中的情感,调节自己的心情。那么你知道一篇好的作文该怎么写吗?下面是小编为大家整理的二十年后的家乡作文,仅供参考,大家一起来看看吧。二十年 -
IBM认证知识:HACMP心跳检测
与在许多其他类型的集群中一样,心跳检测用于监视网络接口、通信设备和 IP 标签(服务、非服务和持久 IP 标签)的可用性,从而监视节点的可用性。从 HACMP V5.1 开始,心跳检测完全基于 RSCT 拓扑服务(因而 HACMP V5.1 只是E -
HACMP认证知识:资源组规划
资源组是一个逻辑实体,其中包含 HACMP 要使其高度可用的资源。资源可以是:存储空间(应用程序代码和数据)文件系统网络文件系统原始逻辑卷原始物理磁盘服务 IP 地址/标签(由客户端用于访问应用程序数据)应用程序服务器应 -
IBM认证HACMP概述
High Availability Cluster Multi-Processing for AIX (HACMP) 基本软件产品处理部分连续操作问题。它处理单个站点的计算联合体中的计算机、适配器或局域网的故障恢复。 HACMP/XD:HAGEO 组件该软件具有三个重要功 -
HACMP认证知识:共享LVM要求
HACMP 集群的共享 LVM 规划取决于共享磁盘访问方法和共享磁盘设备的类型。应该为共享 LVM 考虑的元素包括:数据保护方法存储访问方法存储硬件冗余注意:HACMP 本身不提供存储保护。存储保护是通过以下途径提供的:AIX(LVM -
HACMP认证知识:灾难恢复计划
在平平淡淡的日常中,大家或多或少都会接触过作文吧,作文是一种言语活动,具有高度的综合性和创造性。你写作文时总是无从下笔?以下是小编为大家收集的团结合作作文,供大家参考借鉴,希望可以帮助到有需要的朋友。团结合作作文 -
HACMP认证知识:资源组类型
级联资源组级联资源组定义了可控制该资源组的所有节点的列表,以及每个节点在接管该资源组方面的优先级。级联资源组的行为如下:在集群启动时,在缺省情况下,级联资源组在其主节点(在该节点组中具有最高优先级的节点)上 -
HACMP认证知识:应用程序监视
除了资源组管理以外,HACMP 还可以通过以下两种方法之一监视应用程序:应用程序进程监视:使用 RSCT 事件管理功能检测进程是否终止。应用程序自定义监视:基于您定义的监视方法(程序或脚本)来监视应用程序的运行状况。注意:不