若要設定 Small Footprint CIM Broker (SFCB) 環境,請務必在 SUSE Linux Enterprise Server 安裝期間選取 YaST 中的模式。或者,也可以選擇將其做為一個元件,安裝於目前正在執行的伺服器上。請確定系統上已安裝下列套件︰
- cim-schema,Common Information Model (CIM) 綱要
包含 Common Information Model (CIM)。CIM 是描述網路或企業環境內所有管理資訊的模型。CIM 由規格和綱要所組成。其中的規格定義了與其他管理模型整合的詳細資訊。而綱要則會提供實際的模型描述。
- cmpi-bindings-pywbem
包含可在 Python 中寫入並執行 CMPI 類型 CIM 提供者的介面卡。
- cmpi-pywbem-base
包含基礎系統 CIM 提供者。
- cmpi-pywbem-power-management
包含基於 DSP1027 的電源管理提供者。
- python-pywbem
包含 Python 模組,用於透過 WBEM 通訊協定進行 CIM 操作呼叫,以查詢及更新受管理物件。
- cmpi-provider-register,與 CIMOM 無關的提供者註冊公用程式
包含一個公用程式,無論 CIMOM 在系統中執行何種操作,都可讓 CMPI 提供者套件進行註冊。
- sblim-sfcb,Small Footprint CIM Broker
包含 Small Footprint CIM Broker。這是一個 CIM 伺服器,執行透過 HTTP 通訊協定的 CIM 操作。這款伺服器功能全,資源佔用率低,因此特別適合內嵌式環境以及資源受限的環境。SFCB 允許透過通用管理程式介面 (CMPI) 寫入提供者。
- sblim-sfcc
包含 Small Footprint CIM Client Library 執行時期程式庫。
- sblim-wbemcli
包含 WBEM 指令行介面。它是一個獨立的指令行 WBEM 用戶端,特別適合基礎系統管理任務。
- smis-providers
包含多個提供者,適用於 Linux 檔案系統上的磁碟區和快照。它們均基於 SNIA 的 SMI 磁碟區管理設定檔與複製服務設定檔。
SUSEŽ Linux Enterprise Server 軟體儲存庫包含無法在網路企業管理安裝模式下找到的其他 CIM 提供者。您可以透過在 YaST 軟體安裝模組中搜尋模式 sblim-cmpi-,輕鬆獲得這些提供者的清單與安裝狀態。這些提供者能夠完成各種系統管理任務,例如 dhcp、NFS 或核心參數設定。安裝要與 SFCB 搭配使用的提供者很有必要。
CIM 伺服器 sfcbd 精靈隨網路企業管理軟體一起安裝,並且預設會在系統啟動時啟動。下表將說明如何啟動、停止和檢查 sfcbd 的狀態。
表格 30.1. 管理 sfcbd 的指令
|
任務 |
Linux指令 |
|---|---|
|
啟動 sfcbd |
以 |
|
停止 sfcbd |
以 |
|
檢查 sfcbd 狀態 |
以 |
SFCB 的預設設定相當安全。不過,仍須檢查 SFCB 元件存取的安全級別是否符合您組織的要求。
安全通訊端層 (SSL) 傳輸必須使用證書,才能執行安全的通訊服務。安裝 SFCB 時,會產生自行簽署的證書。
您可以變更 /etc/sfcb/sfcb.cfg 中的 sslCertificateFilePath: 設定,以商業證書或自行簽署證書的路徑取代預設證書的路徑。該檔案必須為 PEM 格式。
路徑_檔名
預設產生的伺服器證書會存放在以下位置:
/etc/sfcb/server.pem
![[Note]](admon/note.png) | SSL 證書的路徑 |
|---|---|
預設產生的證書檔案 | |
若要產生新證書,請以 root 身分在指令行中輸入以下指令︰
tux@mercury:~> sh /usr/share/sfcb/genSslCert.sh Generating SSL certificates in . Generating a 2048 bit RSA private key ...................................................................+++ .+++ writing new private key to '/var/tmp/sfcb.0Bjt69/key.pem' -----
預設情況下,程序檔會在目前的工作目錄下產生證書 client.pem、file.pem 和 server.pem。若要讓程序檔在 /etc/sfcb 目錄中產生證書,則需要在指令中附加該路徑。如果這些檔案已存在,系統只會顯示警告訊息,不會覆寫舊證書。
tux@mercury:~> sh /usr/share/sfcb/genSslCert.sh /etc/sfcb
Generating SSL certificates in .
WARNING: server.pem SSL Certificate file already exists.
old file will be kept intact.
WARNING: client.pem SSL Certificate trust store already exists.
old file will be kept intact.必須從檔案系統中移除舊證書,然後再次執行指令。
若要變更 SFCB 使用證書的方式,請參閱第 30.2.3.3 節「驗證」。
預設情況下,SFCB 設定為接受所有透過安全連接埠 5989 傳輸的通訊。以下段落將介紹通訊連接埠設定以及建議的組態。
- 連接埠 5989 (安全)
SFCB 通訊使用的安全連接埠,提供 HTTPS 服務。這是預設值。如果使用這項設定,當透過網際網路在伺服器和工作站之間傳送時,所有 CIMOM 和用戶端應用程式之間的通訊都會進行加密。使用者必須使用用戶端應用程式進行驗證才能連接 SFCB 伺服器。建議您保留此設定。如果用戶端應用程式和受監控的節點之間存在路由器和防火牆,則必須在這些路由器和防火牆上開啟此連接埠,以便 SFCB CIMOM 可以與必要的應用程式進行通訊。
- 連接埠 5988 (不安全)
SFCB 通訊使用的非安全連接埠,提供 HTTP 服務。這項設定已預設為停用。使用這項設定時,所有 CIMOM 和用戶端應用程式之間的通訊,在透過網際網路在伺服器和工作站之間傳送時都會開放,任何人無須經過任何驗證即可檢視。建議您只在嘗試為 CIMOM 相關問題除錯時使用這項設定。一旦問題解決,請再次停用不安全連接埠選項。如果 SFCB CIMOM 要與需要進行不安全存取的必要應用程式進行通訊,則必須在用戶端應用程式與受監控節點之間的路由器和防火牆上開啟此連接埠。
如果您要變更預設的埠指定,請參閱第 30.2.3.2 節「埠」。
SFCB 支援 HTTP 基本驗證和基於用戶端證書的驗證 (HTTP over SSL 連線)。在 SFCB 組態檔案 (預設為 /etc/sfcb/sfcb.cfg) 中指定 doBasicAuth =true,可啟用基本 HTTP 驗證。SFCB 的 SUSEŽ Linux Enterprise Server 安裝支援可插入驗證模組 (PAM) 方法,因此本地 root 使用者可以使用本地 root 使用者身分證明向 SFCB CIMOM 進行驗證。
如果 clientCertificate 組態內容設定為 accept 或 require,則 SFCB HTTP 介面卡會在透過 HTTP over SSL (HTTPS) 連接時請求用戶端證書。如果指定 require,則用戶端必須提供有效的證書 (依據透過 sslClientTrustStore 指定的用戶端信任儲存區)。如果用戶端無法提供有效證書,CIM 伺服器會拒絕連線。
clientCertificate =accept 設定可能並不明顯。不過,當要同時允許基本驗證與用戶端證書驗證時,此設定非常有用。如果用戶端能夠提供有效的證書,HTTPS 連線便會建立,並且不再執行基本驗證程序。如果此功能無法驗證該證書,則會執行 HTTP 基本驗證。