要设置小规模 CIM 中介程序 (SFCB) 环境,请确保 SUSE Linux Enterprise Server 安装期间选择了 YaST 中的模式。或者选择它作为组件安装到已在运行的服务器上。确保您的系统上安装了以下包:
- cim-schema,通用信息模型 (CIM) 纲要
包含通用信息模型 (CIM)。CIM 是说明网络或企业环境中总体管理信息的模型。CIM 由规范和模式组成。规范定义与其他管理模型集成的详细信息。模式提供实际模型描述。
- cmpi-bindings-pywbem
包含在 Python 中写入和运行 CMPI 类型的 CIM 提供程序的适配器。
- cmpi-pywbem-base
包含基本系统 CIM 提供程序。
- cmpi-pywbem-power-management
包含基于 DSP1027 的电源管理提供程序。
- python-pywbem
包含通过 WBEM 协议调用 CIM 操作来查询和更新受管对象的 Phthon 模块。
- cmpi-provider-register,CIMOM 中性提供程序注册实用程序
包含的实用程序允许 CMPI 提供程序包用 CIMOM 存在于系统上的任何内容注册。
- sblim-sfcb,小规模 CIM 中介程序
包含小规模 CIM 中介程序。它是通过 HTTP 协议与 CIM 操作保持一致的 CIM 服务器。它功能强大,占用资源又少,因此很适合嵌入式和资源有限的环境。SFCB 支持通过 Common Manageability Programming Interface (CMPI) 写入的提供程序。
- sblim-sfcc
包含小规模 CIM 客户端库运行时库。
- sblim-wbemcli
包含 WBEM 命令行界面。它是一个独立的命令行 WBEM 客户端,特别适合基本的系统管理任务。
- smis-providers
包含用于在 Linux 文件系统上处理卷和快照的提供程序。这些分别基于 SNIA 的 SMI-S 卷管理配置文件和 Copy Services 配置文件。
SUSE® Linux Enterprise Server 软件安装源包含基于 Web 的企业管理安装模式中没有的额外 CIM 提供程序。您可以在 YaST 软件安装模块中搜索模式 sblim-cmpi- 来方便地获取其列表和安装状态。这些提供程序涵盖了各种系统管理任务,例如 dhcp、NFS 或内核参数设置。安装要用于 SFCB 的那些提供程序是很有用的。
CIM 服务器 sfcbd 守护程序是和基于 Web 的企业管理软件一起安装的,默认在系统启动时启动。 下表说明如何启动、停止 sfcbd 和检查其状态。
表 30.1. 用于管理 sfcbd 的命令
|
任务 |
Linux命令 |
|---|---|
|
启动 sfcbd |
以 |
|
停止 sfcbd |
以 |
|
检查 sfcbd 状态 |
以 |
SFCB 的默认设置相对来说比较安全。但是也要检查对 SFCB 组件访问的安全性是否符合您的组织要求。
安全套接字层 (SSL) 传输需要保证安全通讯的证书。安装 SFCB 时,会生成自我签名的证书。
您可以通过更改 /etc/sfcb/sfcb.cfg 中的 sslCertificateFilePath: 设置将默认证书的路径换成商业或自我签名证书。该文件必须是 PEM 格式。
路径_文件名
默认生成的服务器证书位置如下:
/etc/sfcb/server.pem
![[Note]](admon/note.png) | SSL 证书的路径 |
|---|---|
默认生成的证书文件 | |
如果想生成新证书,请在命令行中以 root 身份输入以下命令:
tux@mercury:~> sh /usr/share/sfcb/genSslCert.sh Generating SSL certificates in . Generating a 2048 bit RSA private key ...................................................................+++ .+++ writing new private key to '/var/tmp/sfcb.0Bjt69/key.pem' -----
默认情况下,该脚本在当前工作目录下生成证书 client.pem、file.pem 和 server.pem。如果希望脚本在 /etc/sfcb 目录中生成证书,需要将它追加到命令后。如这些文件已存在,将显示一条警告消息,而不会重写旧的证书。
tux@mercury:~> sh /usr/share/sfcb/genSslCert.sh /etc/sfcb
Generating SSL certificates in .
WARNING: server.pem SSL Certificate file already exists.
old file will be kept intact.
WARNING: client.pem SSL Certificate trust store already exists.
old file will be kept intact.必须从文件系统删除旧的证书并重新运行命令。
如果希望更改 SFCB 使用证书的方式,请参见第 30.2.3.3 节 “身份验证”。
默认情况下,将 SFCB 配置为接受通过安全端口 5989 的所有通讯。以下段落说明通讯端口的设置和建议的配置。
- 端口 5989(安全)
SFCB 通讯通过 HTTPS 服务使用的安全端口。这是默认选项。通过此设置,当通过因特网在服务器和工作站之间发送通信时,将加密 CIMOM 和客户程序应用程序之间的所有通信。用户必须以客户端应用程序进行身份验证,才能连接到 SFCB 服务器。建议您保留该设置。 为了让 SFCB CIMOM 能与必要的应用程序通讯,如果客户端应用程序与所监视的节点之间存在路由器和防火墙,必须在它们上面打开此端口。
- 端口 5988(不安全)
SFCB 通讯通过 HTTP 服务使用的不安全端口。在默认情况下会禁用该设置。通过此设置,当任何人在未经身份验证的情况下通过因特网在服务器和工作站之间发送通讯时,将打开并查看 CIMOM 和客户端应用程序之间的所有通讯。建议仅当尝试调试 CIMOM 问题时才使用此设置。在问题解决后,请将非安全端口选项设置回禁用。为了使 SFCB CIMOM 能够与需要非安全访问的必要应用程序进行通讯,必须在正在监视的客户端应用程序和节点之间的路由器和防火墙中打开此端口。
如果希望更改默认端口指派,请参见第 30.2.3.2 节 “端口”。
SFCB 支持 HTTP 基本身份验证和基于客户端证书的身份验证(通过 SSL 连接的 HTTP)。基本 HTTP 身份验证通过在 SFCB 配置文件(默认是 /etc/sfcb/sfcb.cfg)中指定 doBasicAuth =true 来启用。 SFCB 的 SUSE® Linux Enterprise Server 安装支持可嵌入身份验证模块 (PAM) 方式;因此本地 root 用户可以用本地 root 身份凭证验证至 SFCB CIMOM。
如果 clientCertificate 配置属性设置为 accept 或 require,SFCB HTTP 适配器通过使用 SSL 的 HTTP (HTTPS) 连接时,会从客户端请求证书。如果指定了 require,客户端必须提供有效的证书(根据通过 sslClientTrustStore 指定的客户端信任储存)。如果客户端未能提供,CIM 服务器将拒绝该连接。
设置 clientCertificate =accept 可以不是显式的。如果同时允许基本和客户端证书身份验证,它将很有用。如果客户端能提供有效的证书,将建立 HTTPS 连接,并且不会执行基本身份验证步骤。如果该功能不能校验证书,则会发生 HTTP 基本身份验证。