- 相關(guān)推薦
IBM認(rèn)證知識(shí):HACMP網(wǎng)絡(luò)安全規(guī)劃
規(guī)劃網(wǎng)絡(luò)安全性對(duì)于避免集群節(jié)點(diǎn)上未經(jīng)授權(quán)的訪問也是非常重要的。
從 HACMP V5.1 開始,通過為節(jié)點(diǎn)之間所有與 HACMP 配置相關(guān)的通信提供公共通信基礎(chǔ)設(shè)施(守護(hù)進(jìn)程),從而引入了一種新的安全機(jī)制。
新的集群通信守護(hù)進(jìn)程 (clcomdES) 的引入在 HACMP 集群中提供了增強(qiáng)的安全性,同時(shí)還加快了與配置相關(guān)的操作速度。
存在三個(gè)級(jí)別的通信安全性:
標(biāo)準(zhǔn)級(jí)別
缺省安全級(jí)別。直接由集群通信守護(hù)進(jìn)程 (clcomdES) 實(shí)現(xiàn)。使用 HACMP ODM 類別和 /usr/es/sbin/cluster/rhosts 文件來確定合法伙伴。增強(qiáng)級(jí)別
在 SP 集群中使用。利用基于 Kerberos 提供的第三方身份驗(yàn)證方法的增強(qiáng)身份驗(yàn)證方法。虛擬專用網(wǎng)(Virtual Private Network,VPN)
VPN 是在 AIX 中配置的。然后將 HACMP 配置為使用 VPN 來進(jìn)行所有與節(jié)點(diǎn)間配置相關(guān)的通信操作。通過使用集群安全通信子系統(tǒng),HACMP 消除了對(duì)每個(gè)集群節(jié)點(diǎn)上的 /.rhosts 文件或 Kerberos 配置的需要。
但是,可能仍然需要 /.rhosts 來支持需要這種遠(yuǎn)程通信機(jī)制的應(yīng)用程序的操作。
注意:并非所有集群通信都通過 clcomdES 進(jìn)行保護(hù);其他守護(hù)進(jìn)程具有自己的通信機(jī)制(不是基于“r”命令)。
集群管理器 (clstrmgrES)集群鎖守護(hù)進(jìn)程 (cllockdES)集群多對(duì)等擴(kuò)展通信守護(hù)進(jìn)程 (clsmuxpdES)clcomdES 用于集群配置操作,例如集群同步、集群管理 (C-SPOC) 和動(dòng)態(tài)重新配置 (DARE) 操作。
通過使用“最低權(quán)限”原則,集群通信守護(hù)進(jìn)程 clcomdES 提供安全的遠(yuǎn)程命令執(zhí)行和 HACMP ODM 配置文件更新。
因而,只有存在于 /usr/es/sbin/cluster/ 中的程序才以 root 身份運(yùn)行;其他所有程序都以“nobody”用戶身份運(yùn)行。除了 clcomdES 以外,還使用了以下程序:
cl_rsh 是集群遠(yuǎn)程 Shell 執(zhí)行程序。clrexec 用于以 root 身份運(yùn)行特定的危險(xiǎn)命令,例如修改 /etc 目錄中的文件。cl_rcp 用于復(fù)制 AIX 配置文件。這些命令硬編碼在 clcomdES 中,不支持由用戶運(yùn)行。
集群通信守護(hù)進(jìn)程 (clcomdES) 具有以下特征:
由于集群通信不需要標(biāo)準(zhǔn) AIX“r”命令,因此可以消除對(duì) /.rhosts 文件的依賴性。因而,即使在“標(biāo)準(zhǔn)”安全模式下,集群安全性也得到了增強(qiáng)。為其他節(jié)點(diǎn)在本地節(jié)點(diǎn)(從中執(zhí)行配置變更和同步的節(jié)點(diǎn))上的 ODM 副本提供可靠的緩存機(jī)制。限制可在遠(yuǎn)程節(jié)點(diǎn)上作為 root 身份執(zhí)行的命令(只有 /usr/es/sbin/cluster 中的命令才以 root 身份運(yùn)行)。clcomdES 從 /etc/inittab 啟動(dòng),并由系統(tǒng)資源控制器(system resource controller,SRC)子系統(tǒng)進(jìn)行管理。提供自己的心跳檢測(cè)機(jī)制,并發(fā)現(xiàn)活動(dòng)的集群節(jié)點(diǎn)(即使是在集群管理器或 RSCT 未運(yùn)行的情況下)。注意:ClcomdES 為諸如 clverify、godm、rsh 和 rexec 等各種 HACMP 服務(wù)提供了傳輸機(jī)制。
針對(duì)傳入連接的 clcomdES 身份驗(yàn)證過程的基礎(chǔ)是對(duì)照以下文件檢查節(jié)點(diǎn)的身份:
HACMPadapter ODM 類別(此類別中定義的 IP 標(biāo)簽)HACMPnode ODM(用作集群中節(jié)點(diǎn)的通信路徑的 IP 地址/標(biāo)簽)/usr/sbin/cluster/etc/rhosts 文件如果 /usr/sbin/cluster/etc/rhosts 文件丟失,或者未包含針對(duì)遠(yuǎn)程發(fā)起節(jié)點(diǎn)的條目(IP 地址或可解析的 IP 標(biāo)簽),則不允許進(jìn)入的連接。
如果 HACMPnode、HACMPadapter ODM 類別和 /usr/sbin/cluster/etc/rhosts 文件為空,則 clcomdES 假設(shè)集群正在進(jìn)行配置,并接受傳入的連接,然后在初始配置完成后,將對(duì)等節(jié)點(diǎn)的 IP 標(biāo)簽(地址)添加到 /usr/sbin/cluster/etc/rhosts 文件。
如果請(qǐng)求連接的 IP 地址與上述位置(HACMPadapter、HACMPnode 和 /usr/es/sbin/cluster/etc/rhosts)中的某個(gè)標(biāo)簽匹配,則 clcomdES 將反過來連接到請(qǐng)求節(jié)點(diǎn),并要求提供 IP 標(biāo)簽(主機(jī)名稱);如果返回的 IP 標(biāo)簽(主機(jī)名稱)與請(qǐng)求 IP 地址匹配,則身份驗(yàn)證成功完成。
【IBM認(rèn)證知識(shí):HACMP網(wǎng)絡(luò)安全規(guī)劃】相關(guān)文章:
IBM認(rèn)證知識(shí):HACMP心跳檢測(cè)06-01
ibm認(rèn)證考試知識(shí)點(diǎn)08-05
IBM XML認(rèn)證知識(shí)點(diǎn):Dtd09-01
IBM認(rèn)證的分類和獲得IBM認(rèn)證的好處10-18
IBM認(rèn)證項(xiàng)目07-03
IBM認(rèn)證簡(jiǎn)介07-24