规划网络安全性对于避免集群节点上未经授权的访问也是非常重要的。
从 HACMP V5.1 开始,通过为节点之间所有与 HACMP 配置相关的通信提供公共通信基础设施(守护进程),从而引入了一种新的安全机制。
新的集群通信守护进程 (clcomdES) 的引入在 HACMP 集群中提供了增强的安全性,同时还加快了与配置相关的操作速度。
存在三个级别的通信安全性:
标准级别
缺省安全级别。直接由集群通信守护进程 (clcomdES) 实现。使用 HACMP ODM 类别和 /usr/es/sbin/cluster/rhosts 文件来确定合法伙伴。增强级别
在 SP 集群中使用。利用基于 Kerberos 提供的第三方身份验证方法的增强身份验证方法。虚拟专用网(Virtual Private Network,VPN)
VPN 是在 AIX 中配置的。然后将 HACMP 配置为使用 VPN 来进行所有与节点间配置相关的通信操作。通过使用集群安全通信子系统,HACMP 消除了对每个集群节点上的 /.rhosts 文件或 Kerberos 配置的需要。
但是,可能仍然需要 /.rhosts 来支持需要这种远程通信机制的应用程序的操作。
注意:并非所有集群通信都通过 clcomdES 进行保护;其他守护进程具有自己的通信机制(不是基于“r”命令)。
集群管理器 (clstrmgrES)集群锁守护进程 (cllockdES)集群多对等扩展通信守护进程 (clsmuxpdES)clcomdES 用于集群配置操作,例如集群同步、集群管理 (C-SPOC) 和动态重新配置 (DARE) 操作。
通过使用“最低权限”原则,集群通信守护进程 clcomdES 提供安全的远程命令执行和 HACMP ODM 配置文件更新。
因而,只有存在于 /usr/es/sbin/cluster/ 中的程序才以 root 身份运行;其他所有程序都以“nobody”用户身份运行。除了 clcomdES 以外,还使用了以下程序:
cl_rsh 是集群远程 Shell 执行程序。clrexec 用于以 root 身份运行特定的危险命令,例如修改 /etc 目录中的文件。cl_rcp 用于复制 AIX 配置文件。这些命令硬编码在 clcomdES 中,不支持由用户运行。
集群通信守护进程 (clcomdES) 具有以下特征:
由于集群通信不需要标准 AIX“r”命令,因此可以消除对 /.rhosts 文件的依赖性。因而,即使在“标准”安全模式下,集群安全性也得到了增强。为其他节点在本地节点(从中执行配置变更和同步的节点)上的 ODM 副本提供可靠的缓存机制。限制可在远程节点上作为 root 身份执行的命令(只有 /usr/es/sbin/cluster 中的命令才以 root 身份运行)。clcomdES 从 /etc/inittab 启动,并由系统资源控制器(system resource controller,SRC)子系统进行管理。提供自己的心跳检测机制,并发现活动的集群节点(即使是在集群管理器或 RSCT 未运行的情况下)。注意:ClcomdES 为诸如 clverify、godm、rsh 和 rexec 等各种 HACMP 服务提供了传输机制。
针对传入连接的 clcomdES 身份验证过程的基础是对照以下文件检查节点的身份:
HACMPadapter ODM 类别(此类别中定义的 IP 标签)HACMPnode ODM(用作集群中节点的通信路径的 IP 地址/标签)/usr/sbin/cluster/etc/rhosts 文件如果 /usr/sbin/cluster/etc/rhosts 文件丢失,或者未包含针对远程发起节点的条目(IP 地址或可解析的 IP 标签),则不允许进入的连接。
如果 HACMPnode、HACMPadapter ODM 类别和 /usr/sbin/cluster/etc/rhosts 文件为空,则 clcomdES 假设集群正在进行配置,并接受传入的连接,然后在初始配置完成后,将对等节点的 IP 标签(地址)添加到 /usr/sbin/cluster/etc/rhosts 文件。
如果请求连接的 IP 地址与上述位置(HACMPadapter、HACMPnode 和 /usr/es/sbin/cluster/etc/rhosts)中的某个标签匹配,则 clcomdES 将反过来连接到请求节点,并要求提供 IP 标签(主机名称);如果返回的 IP 标签(主机名称)与请求 IP 地址匹配,则身份验证成功完成。