コンパクトなフットプリントCIMブローカ(SFCB)環境を設定するには、SUSE Linux Enterprise Serverのインストール時にYaSTのパターンが選択されていることを確認します。また、すでに実行中のサーバにインストールするコンポーネントとしてこれを選択します。次のパッケージがシステムにインストールされていることを確認します。
- cim-schema、CIM (Common Information Model)スキーマ
共通情報モデル(CIM)が含まれます。CIMは、ネットワーク/企業環境内の総合的な管理情報を記述するモデルです。CIMは仕様とスキーマで構成されます。仕様は、他の管理モデルとの統合に関する詳細を定義しています。スキーマは、実際のモデルを記述しています。
- cmpi-bindings-pywbem
CMPIタイプのCIMプロバイダをPythonで記述および実行するためのアダプタが含まれます。
- cmpi-pywbem-base
基本システムのCIMプロバイダが含まれます。
- cmpi-pywbem-power-management
DSP1027に基づく電源管理プロバイダが含まれます。
- python-pywbem
管理対象オブジェクトをクエリおよび更新するために、WBEMプロトコルを使用してCIM操作呼び出しを行うためのPythonモジュールが含まれます。
- cmpi-provider-register、CIMOM中立プロバイダ登録ユーティリィティ
システム上に存在するすべてのCIMOMをCMPIプロバイダパッケージに登録できるユーティリィティが含まれます。
- sblim-sfcb、コンパクトなフットプリントのCIMブローカ
コンパクトなフットプリントのCIMブローカが含まれます。これは、CIM Operations over HTTPプロトコルに準拠するCIMサーバです。堅牢でリソース消費が抑制されているために、埋め込み環境およびリソースが制約された環境に特に適しています。SFCBでは、Common Manageability Programming Interface (CMPI)に対して記述されたプロバイダがサポートされます。
- sblim-sfcc
コンパクトなフットプリントのCIMクライアントライブラリのランタイムライブラリが含まれます。
- sblim-wbemcli
WBEMコマンドラインインタフェースが含まれます。これは、特に基本的なシステム管理タスクに適したスタンドアロンコマンドラインWBEMクライアントです。
- smis-providers
Linuxファイルシステム上のボリュームおよびスナップショットを計測するためのプロバイダが含まれます。これらのプロバイダはそれぞれ、SNIAのSMI-Sボリューム管理プロファイルおよびコピーサービスプロファイルに基づきます。
SUSEŽ Linux Enterprise Serverソフトウェアリポジトリには、Webベースの企業管理インストールパターンにない追加CIMプロバイダが含まれます。YaSTソフトウェアインストールモジュールでパターンsblim-cmpi-を検索することにより、プロバイダのリストやインストールの状態を簡単に参照できます。これらのプロバイダは、dhcp、NFS、カーネルパラメータ設定など、システム管理のさまざまなタスクに対応します。SFCBとともに使用するプロバイダをインストールしておくと役立ちます。
CIMサーバのsfcbdデーモンは、Webベースの企業管理ソフトウェアとともにインストールされ、システム起動時にデフォルトで開始されます。次の表で、sfcbdの起動、停止、および確認ステータスを説明します。
表30.1 sfcbdの管理用コマンド
|
タスク |
Linuxコマンド |
|---|---|
|
Start sfcbd |
コマンドラインで |
|
sfcbdを停止します。 |
コマンドラインで |
|
sfcbdのステータスをチェックします。 |
コマンドラインで |
SFCBのデフォルトのセットアップは、比較的安全(セキュア)です。ただし、SFCBコンポーネントに対するアクセスが組織で必要とされる安全性を満たしていることを確認します。
安全にSSL (Secure Socket Layers)通信を行うには、証明書が必要になります。SFCBがインストールされている場合、自己署名付き証明書が生成されています。
/etc/sfcb/sfcb.cfgのsslCertificateFilePath:設定を変更することで、デフォルトの証明書のパスを商用証明書または自己署名付きの証明書のパスに置き換えることができます。ファイルは、PEMフォーマットであることが必要です。
path_filename
デフォルトで生成されたサーバ証明書は、次の場所に置かれています。
/etc/sfcb/server.pem
![[Note]](admon/note.png) | SSL証明書のパス |
|---|---|
デフォルトで生成される証明書ファイル | |
新しい証明書を生成する場合は、rootとしてコマンドラインに次のコマンドを入力します。
tux@mercury:~> sh /usr/share/sfcb/genSslCert.sh Generating SSL certificates in . Generating a 2048 bit RSA private key ...................................................................+++ .+++ writing new private key to '/var/tmp/sfcb.0Bjt69/key.pem' -----
デフォルトでは、このスクリプトにより現在の作業ディレクトリに証明書client.pem、file.pem、およびserver.pemが生成されます。スクリプトにより/etc/sfcbディレクトリに証明書を生成する場合は、コマンドにこのディレクトリを追加する必要があります。これらのファイルがすでに存在する場合、警告メッセージが表示されます。古い証明書は上書きされません。
tux@mercury:~> sh /usr/share/sfcb/genSslCert.sh /etc/sfcb
Generating SSL certificates in .
WARNING: server.pem SSL Certificate file already exists.
old file will be kept intact.
WARNING: client.pem SSL Certificate trust store already exists.
old file will be kept intact.ファイルシステムから古い証明書を削除し、このコマンドを再実行する必要があります。
SFCBで証明書を使用する方法を変更する場合は、30.2.3.3項 「認証」を参照してください。
デフォルトでは、SFCBはセキュアなポート5989を使用するすべての通信を受け入れるように設定されます。ここでは、通信ポートのセットアップと推奨される設定について説明します。
- ポート5989(セキュア)
SFCB通信がHTTPSサービスを介して使用するセキュアなポート。デフォルトの設定です。この設定で、CIMOMとクライアントアプリケーション間のすべての通信は、サーバとワークステーション間でインターネットを通じて送信されるときに暗号化されます。ユーザは、SFCBサーバにアクセスするためにクライアントアプリケーションで認証を受ける必要があります。この設定を記録しておくことをお勧めします。ルータやファイアウォールがクライアントアプリケーションとモニタリングされるノードとの間に存在する場合に、SFCB CIMOMが必要なアプリケーションと通信できるようにするには、このポートを開いておく必要があります。
- ポート5988(非セキュア)
SFCB通信がHTTPSサービスを介して使用する非セキュアなポート。デフォルトでは、この設定は無効にされています。この設定では、CIMOMとクライアントアプリケーション間のすべての通信は、サーバとワークステーション間でインターネットを通じて送信されるときに、誰でも認証なしで開き、レビューできます。この設定は、CIMOMの問題をデバッグするときのみに使用することをお勧めします。問題が解決されたら、すぐにセキュアでないポートオプションを無効にしてください。SFCB CIMOMがセキュアでないアクセスを要求する必要なアプリケーションと通信できるようにするには、クライアントアプリケーションとモニタリングされるノードとの間に存在するルータやファイアウォールでこのポートを開いておく必要があります。
デフォルトのポートの割り当てを変更する場合は、30.2.3.2項 「ポート」を参照してください。
SFCBでは、HTTP基本認証、およびクライアント証明書に基づく認証がサポートされます(HTTP over SSL接続)。基本HTTP認証は、SFCB環境設定ファイル(デフォルトでは/etc/sfcb/sfcb.cfg)で、doBasicAuth=trueを指定することにより有効になります。SFCBのSUSEŽ Linux Enterprise Serverインストールでは、プラグ可能認証モジュール(PAM)アプローチがサポートされます。したがって、ローカルルートユーザは、ローカルルートユーザの資格情報によりSFCB CIMOMに対して認証を行うことができます。
clientCertificate設定プロパティがacceptまたはrequireに設定されている場合、SFCB HTTPアダプタはHTTP over SSL (HTTPS)により接続したときにクライアントに証明書を要求します。requireが指定された場合、(sslClientTrustStoreを介して指定されたクライアント信頼ストアに従って)クライアントは有効な証明書を提供する必要がありますクライアントが証明書を提供しない場合、接続はCIMサーバにより拒否されます。
設定clientCertificate =acceptは、明確でない場合があります。基本認証およびクライアント証明書認証が両方許可されている場合に、この設定は非常に役立ちます。クライアントが有効な証明書を提供できれば、HTTPS接続が確立され、基本認証手順は実行されません。この機能で証明書を検証できない場合、HTTP基本認証が代わりに実行されます。