Zum Einrichten der Small Footprint CIM Broker (SFCB)-Umgebung muss in YaST während der Installation von SUSE Linux Enterprise Server das Muster aktiviert sein. Alternativ können Sie das Muster als Komponente auswählen, die auf einem bereits aktiven Server installiert wird. Stellen Sie sicher, dass auf Ihrem System die folgenden Pakete installiert sind:
- cim-schema, Common Information Model-Schema (CIM)
Enthält das Common Information Model (CIM). CIM ist ein Modell für die Beschreibung der globalen Verwaltungsinformationen in einer Netzwerk- oder Unternehmensumgebung. CIM besteht aus einer Spezifikation und einem Schema. Die Spezifikation legt die Einzelheiten für die Integration mit anderen Verwaltungsmodellen fest. Das Schema stellt die eigentlichen Modellbeschreibungen bereit.
- cmpi-bindings-pywbem
Enthält einen Adapter zum Entwickeln und Ausführen von CMPI-ähnlichen CIM-Anbietern in Python.
- cmpi-pywbem-base
Enthält CIM-Anbieter für ein Basissystem.
- cmpi-pywbem-power-management
Enthält auf DSP1027 basierende Energieverwaltungsanbieter.
- python-pywbem
Enthält ein Python-Modul für den Aufruf von CIM-Operationen über das WBEM-Protokoll zur Abfrage und Aktualisierung verwalteter Objekte.
- cmpi-provider-register, Dienstprogramm für die CIMOM-neutrale Anbieterregistrierung
Enthält ein Dienstprogramm, das die Registrierung von CMPI-Anbieterpaketen bei jedem auf dem System vorhandenen CIMOM zulässt.
- sblim-sfcb, Small Footprint CIM Broker
Enthält den Small Footprint CIM Broker (SFCB). Dies ist ein CIM-Server, der CIM-Operationen über das HTTP-Protokoll unterstützt. Dieser robuste CIM-Server hat einen geringen Ressourcenbedarf und ist daher bestens für integrierte Umgebungen und für Umgebungen mit eingeschränkten Ressourcen geeignet. SFCB unterstützt Anbieter, die für das Common Manageability Programming Interface (CMPI) entwickelt wurden.
- sblim-sfcc
Enthält Laufzeitbibliotheken für die Small Footprint CIM Client-Bibliothek.
- sblim-wbemcli
Enthält eine WBEM-Kommandozeilenschnittstelle. Dieser eigenständige Kommandozeilen-WBEM-Client eignet sich besonders für grundlegende Systemverwaltungsaufgaben.
- smis-providers
Enthält Anbieter zur Instrumentalisierung der Volumes und Snapshots auf dem Linux-Dateisystem. Diese basieren auf dem SMI-S-Volume-Verwaltungsprofil von SNIA bzw. auf dem Profil zum Kopieren von Diensten.
Das Softwarerepository von SUSE® Linux Enterprise Server enthält weitere CIM-Anbieter, die nicht im Web-Based Enterprise Management-Installationsmuster enthalten sind. Deren Liste sowie deren Installationsstatus können Sie einsehen, indem Sie das Muster sblim-cmpi- im YaST-Softwareinstallationsmodul durchsuchen. Diese Anbieter decken verschiedene Aufgaben der Systemverwaltung ab, wie dhcp, NFS oder die Einstellung der Kernelparameter. Sie sollten diejenigen Anbieter installieren, die Sie mit SFCB verwenden möchten.
Der sfcbd-Daemon des CIM-Servers wird gemeinsam mit der Web-Based Enterprise Management-Software installiert und beim Systemstart automatisch gestartet. In folgender Tabelle wird beschrieben, wie der sfcbd-Daemon gestartet, beendet und sein Status überprüft wird.
Tabelle 30.1. Kommandos zur Verwaltung von sfcbd
|
Aufgabe |
Linux Kommando |
|---|---|
|
sfcbd starten |
Geben Sie in der Kommandozeile als |
|
sfcbd stoppen |
Geben Sie in der Kommandozeile als |
|
sfcbd-Status prüfen |
Geben Sie in der Kommandozeile als |
Die Standardkonfiguration von SFCB ist ziemlich sicher. Sie sollten allerdings sicherstellen, dass auch der Zugriff auf die SFCB-Komponenten den Sicherheitsanforderungen Ihres Unternehmens entspricht.
Für eine sichere Kommunikation via SSL (Secure Socket Layers) ist ein Zertifikat erforderlich. Bei der Installation von SFCB wird ein eigensigniertes Zertifikat generiert.
Den Pfad auf dieses Standardzertifikat können Sie durch den Pfad eines kommerziellen oder eines anderen eigensignierten Zertifikats ersetzen. Dazu müssen Sie die Einstellung sslCertificateFilePath: in der Datei pfad_dateiname/etc/sfcb/sfcb.cfg ändern. Die Datei muss im PEM-Format vorliegen.
Das standardmäßig generierte Serverzertifikat befindet sich in folgender Datei:
/etc/sfcb/server.pem
![[Note]](admon/note.png) | Pfade zu SSL-Zertifikaten |
|---|---|
Die standardmäßig generierten Zertifikatdateien | |
Wenn Sie ein neues Zertifikat generieren möchten, geben Sie in der Kommandozeile folgendes Kommando als root ein:
tux@mercury:~> sh /usr/share/sfcb/genSslCert.sh Generating SSL certificates in . Generating a 2048 bit RSA private key ...................................................................+++ .+++ writing new private key to '/var/tmp/sfcb.0Bjt69/key.pem' -----
Das Skript generiert die Zertifikate client.pem, file.pem und server.pem standardmäßig im aktuellen Arbeitsverzeichnis. Wenn die Zertifikate im Verzeichnis /etc/sfcb generiert werden sollen, müssen Sie das Verzeichnis an das Kommando anfügen. Falls diese Dateien bereits vorhanden sind, wird eine Warnung angezeigt, da die alten Zertifikate nicht einfach überschrieben werden können.
tux@mercury:~> sh /usr/share/sfcb/genSslCert.sh /etc/sfcb
Generating SSL certificates in .
WARNING: server.pem SSL Certificate file already exists.
old file will be kept intact.
WARNING: client.pem SSL Certificate trust store already exists.
old file will be kept intact.Sie müssen die alten Zertifikate aus dem Dateisystem entfernen und das Kommando erneut ausführen.
Wenn Sie die Art und Weise, wie SFCB Zertifikate verwendet, ändern möchten, lesen Sie den Abschnitt Abschnitt 30.2.3.3, „Authentifizierung “.
Standardmäßig akzeptiert SFCB die gesamte Kommunikation über den sicheren Port 5989. Die folgenden Abschnitte befassen sich mit der Einrichtung des Kommunikationsports und der empfohlenen Konfiguration.
- Port 5989 (sicher)
Der sichere Port, den SFCB für die Kommunikation via HTTPS-Dienste verwendet. Dies ist der Standard. Bei dieser Einstellung wird die gesamte Kommunikation zwischen dem CIMOM und den Clientanwendungen für die Internet-Übertragung zwischen Servern und Arbeitsstationen verschlüsselt. Damit Benutzer den SFCB-Server erreichen, müssen sie sich bei der Clientanwendung authentifizieren. Es wird empfohlen, diese Einstellung beizubehalten. In Routern und Firewalls (sofern zwischen Clientanwendung und überwachten Knoten eingerichtet) muss dieser Port offen sein, damit der SFCB CIMOM mit den erforderlichen Anwendungen kommunizieren kann.
- Port 5988 (nicht sicher)
Der nicht sichere Port, den SFCB für die Kommunikation via HTTP-Dienste verwendet. Diese Einstellung ist standardmäßig deaktiviert. Bei dieser Einstellung steht die gesamte Kommunikation zwischen dem CIMOM und den Clientanwendungen während der Internet-Übertragung zwischen Servern und Arbeitsstationen jeder Person ohne Authentifizierung offen. Diese Einstellung wird nur für das Debuggen von Problemen mit dem CIMOM empfohlen. Nach der Behebung des Problems sollten Sie diese Portoption sofort wieder deaktivieren. In Routern und Firewalls zwischen Clientanwendung und überwachten Knoten muss dieser Port offen sein, damit der SFCB CIMOM mit Anwendungen, für die ein nicht sicherer Zugriff erforderlich ist, kommunizieren kann.
Informationen zur Änderung der Standard-Portzuweisungen finden Sie in Abschnitt 30.2.3.2, „Ports“.
SFCB unterstützt die HTTP-Basisauthentifizierung sowie die Authentifizierung mittels Clientzertifikaten (HTTP über SSL-Verbindungen). Die HTTP-Basisauthentifizierung wird in der SFCB-Konfigurationsdatei (standardmäßig /etc/sfcb/sfcb.cfg) durch Einstellung von doBasicAuth =true aktiviert. Die SUSE® Linux Enterprise Server-Installation von SFCB unterstützt PAM (Pluggable Authentication Modules); der lokale Root-Benutzer kann sich daher mit den lokalen Root-Benutzerberechtigungen beim SFCB CIMOM authentifizieren.
Wenn die Konfigurationseigenschaft clientCertificate auf accept oder require gesetzt ist, fordert der SFCB HTTP-Adapter bei einer Verbindung via HTTP über SSL (HTTPS) ein Zertifikat vom Client an. Wenn require eingestellt ist, muss der Client ein gültiges Zertifikat bereitstellen (gemäß dem in sslClientTrustStore angegebenen Trust Store des Clients). Falls der Client kein solches Zertifikat bereitstellt, wird die Verbindung vom CIM-Server abgelehnt.
Die Einstellung clientCertificate =accept legt keine eindeutige Authentifizierung fest. Sie ist aber sehr nützlich, wenn sowohl die Authentifizierung mittels Clientzertifikat als auch die Basisauthentifizierung erlaubt ist. Wenn der Client ein gültiges Zertifikat bereitstellen kann, wird eine HTTPS-Verbindung eingerichtet und es findet keine Basisauthentifizierung statt. Wird kein Zertifikat bereitgestellt oder kann dieses nicht verifiziert werden, findet stattdessen die HTTP-Basisauthentifizierung statt.