AIX wersja 6.1. AIX Network Data Administration Facility

AIX wersja 6.1

AIX Network Data Administration

Facility

AIX wersja 6.1

AIX Network Data Administration

Facility

Uwaga

Przed wykorzystaniem niniejszych informacji oraz produktu, którego one dotyczą, należy przeczytać informacje zawarte w sekcji “Uwagi” na stronie 59.

Niniejsze wydanie dotyczy systemu AIX wersja 6.1 i wszystkich późniejszych wersji i modyfikacji, o ile nowe wydania nie wskazują inaczej.

Spis treści

Informacje o podręczniku . . . v

Tekst wyróżniony . . . v

Rozróżnianie wielkości liter w systemie AIX . . . v

ISO 9000 . . . v

Podsystem AIX Network Data

Administration Facility

. . . 1

Nowości w produkcie AIX Network Data Administration Facility . . . 1

Pojęcia związane z podsystemem NDAF . . . 1

Fizyczny system plików . . . 1

Domena NDAF . . . 1 Zestaw danych . . . 2 Komórka . . . 2 Repliki . . . 3 Klient administracyjny . . . 4 Serwer administracyjny . . . 4 Serwer danych . . . 4 Użytkownik podstawowy . . . 5

Graficzna reprezentacja domeny NDAF . . . 5

Komendy podsystemu NDAF . . . 5

dmf . . . 6

dmadm . . . 6

dms . . . 6

dms_enable_fs . . . 6

Modele wdrażania podsystemu NDAF . . . 6

Centra przetwarzania danych . . . 7

Sieci rozległe . . . 7

Bezpieczeństwo w podsystemie NDAF . . . 7

Zabezpieczanie dostępu do plików NFS . . . 7

Eksportowanie przy użyciu protokołu Kerberos . . . 8

Role . . . 8

Obsługa kontroli dostępu wykorzystującej role dla NDAF . . . 10

Instalowanie i konfigurowanie podsystemu NDAF . . . 10

Instalowanie podsystemu NDAF . . . 10

Aktualizowanie NDAF . . . 10

Konfigurowanie NFS, wersja 4 . . . 11

Konfigurowanie protokołu Kerberos 5 . . . 11

Wymagania dotyczące portów RPC . . . 12

Konfigurowanie serwera danych NDAF . . . 12

Konfigurowanie serwera administracyjnego NDAF . . 14

Konfigurowanie klienta administracyjnego NDAF . . 14

Zarządzanie podsystemem NDAF . . . 14

Tworzenie serwerów administracyjnych dla podsystemu NDAF i zarządzanie nimi . . . 14

Tworzenie serwerów danych i zarządzanie nimi . . . 16

Tworzenie komórek i zarządzanie nimi . . . 19

Tworzenie ról i zarządzanie nimi . . . 23

Tworzenie zestawów danych i zarządzanie nimi . . . 26

Tworzenie replik i zarządzanie nimi . . . 32

Zapełnianie zestawów danych . . . 41

Konstruowanie przestrzeni nazw komórki z zestawów danych . . . 42

Stowarzyszanie serwerów NFS nieobsługujących NDAF w środowisku NDAF. . . 42

Analiza plików protokołów NDAF . . . 43

Przypadki użycia NDAF i przykłady instalacji . . . . 45

Konfigurowanie domeny NDAF z protokołem Kerberos 45 Studia przypadków NDAF . . . 48

Rozwiązywanie problemów z podsystemem NDAF . . . 53

Sprawdzanie podsystemu NDAF . . . 53

Tworzenie kopii zapasowej danych podsystemu NDAF 55 Odtwarzanie danych podsystemu NDAF . . . 55

Dodatkowe komendy podsystemu NDAF . . . 55

Krótkie ścieżki programu SMIT umożliwiające zarządzanie podsystemem NDAF . . . 56

Uwagi . . . 59

Uwagi dotyczące strategii ochrony prywatności . . . . 61

Znaki towarowe . . . 61

Informacje o podręczniku

Podręcznik ten udostępnia administratorom systemu informacje na temat pojęć związanych z podsystemem AIX Network Data Administration Facility (NDAF) oraz na temat procedur konfigurowania tego podsystemu,

administrowania nim i zarządzania. Ponadto zawiera on omówienie projektów, strategii i zagadnienia agregowania danych.

Tekst wyróżniony

W podręczniku przyjęto następujące konwencje wyróżnienia tekstu:

Pogrubienie Wyróżnia komendy, procedury, słowa kluczowe, pliki, struktury, katalogi i inne obiekty o nazwach predefiniowanych w systemie. Wyróżnia także obiekty graficzne, takie jak przyciski, etykiety i ikony, które wybiera użytkownik.

Kursywa Wyróżnia parametry, których bieżące nazwy lub wartości mają zostać podane przez użytkownika. Czcionka o stałej

szerokości

Oznacza przykłady określonych wartości danych, przykłady tekstu podobnego do tego, który można zobaczyć na ekranie, przykłady fragmentów kodu programu, który mogą napisać programiści, komunikaty systemowe lub informacje, które należy wpisać.

Rozróżnianie wielkości liter w systemie AIX

W systemie AIX rozróżniane są wielkości liter, co oznacza, że system odróżnia wielkie litery od małych. Na przykład komenda ls wyświetli listę plików. Jeśli wprowadzona zostanie komendaLS, system zwróci komunikat not found (nie znaleziono). Podobnie PLIK_A, Plik_a i plik_a są trzema różnymi nazwami plików, nawet jeśli znajdują się w tym samym katalogu. Aby uniknąć niepożądanego działania systemu, należy zawsze upewnić się, że używana jest poprawna wielkość liter.

ISO 9000

Podsystem AIX Network Data Administration Facility

Niniejsza sekcja zawiera kompletne informacje na temat konfigurowania podsystemu AIX Network Data Administration Facility (NDAF) oraz zarządzanie nim przeznaczone dla administratorów systemu. Obejmuje ona informacje o strukturze, instalowaniu, zabezpieczeniach tego podsystemu, a także o rozwiązywaniu problemów z nim związanych. Publikacja ta jest dostępna także na dysku CD z dokumentacją dostarczanym wraz z systemem

operacyjnym.

Nowości w produkcie AIX Network Data Administration Facility

Zapoznaj się z nowymi i zmienionymi informacjami dotyczącymi funkcji Network Data Administration Facility systemu AIX.

Listopad 2012

Poniżej zamieszczono podsumowanie aktualizacji w tej dokumentacji:

v _{Dodano informacje o wsparciu dla kontroli dostępu wykorzystującej role (role-based access control - RBAC).} Więcej informacji znajduje się w sekcji Obsługa kontroli dostępu wykorzystującej role dla NDAF.

Jak wyszukać nowe i zmienione informacje

W plikach PDF na lewym marginesie nowe i zmienione informacje zostały oznaczone pionowym paskiem (|).

Pojęcia związane z podsystemem NDAF

AIX Network Data Administration Facility (NDAF) jest przeznaczonym dla systemu AIX rozwiązaniem

umożliwiającym scentralizowane wykonywanie zadań na danych zapisanych w systemach plików znajdujących się na komputerach w sieci. Do zadań tych należą: tworzenie, umieszczanie, replikowanie, ciągłe zarządzanie i

stowarzyszanie przestrzeni nazw.

Jego podstawowym przeznaczeniem jest ułatwienie udostępniania danych przechowywanych na serwerach NFS w wersji 4 (NFSv4) oraz tworzenia pojedynczej przestrzeni nazw dla plików eksportowanych przy pomocy protokołu NFSv4, które znajdują się na wielu serwerach.

Podsystem NDAF składa się z kilku komponentów. Należą do nich: domena, w której znajdują się serwery sieciowe, scentralizowany serwer sterujący działaniem serwerów danych oraz drzewo katalogów, którego elementami są obiekty zarządzanych systemów plików.

Fizyczny system plików

Fizyczny system plików (ang. physical filesystem - PFS) jest systemem plików mającym dostęp do przyłączonej dyskowej pamięci masowej, który może być eksportowany przez serwer NFS.

Domena NDAF

Domena NDAF obejmuje jeden lub więcej klientów administracyjnych (systemów, z których administrator może sterować środowiskiem NDAF przy użyciu komendy dmf), jeden lub więcej serwerów NFS z systemem AIX, które obsługują funkcje NDAF, oraz ewentualnie jeden lub więcej serwerów NFS, które nie obsługują funkcji NDAF i są zgrupowane wokół serwera administracyjnego NDAF.

Wszystkie systemy w domenie NDAF współużytkują te same definicje użytkowników i grup. Na przykład, jeśli podsystem NDAF został wdrożony z wykorzystaniem zabezpieczeń udostępnianych przez protokół Kerberos,

wszystkie systemy w domenie są elementami tej samej dziedziny Kerberos. Domena NDAF musi być tą samą domeną, co domena NFSv4.

Serwer administracyjny NDAF w domenie NDAF uzyskuje informacje o procesach z komend wykonywanych przez jednego lub kilku administratorów systemu z poziomu interfejsu wiersza komend. Serwer administracyjny NDAF inicjuje wszystkie działania NDAF na serwerach NFS będących elementami domeny.

Zestaw danych

Podstawową jednostką zarządzania w NDAF jest zestaw danych. Zestaw danych jest drzewem katalogów. Podsystem NDAF umożliwia tworzenie zestawów danych oraz zarządzanie ich atrybutami, punktami podłączenia, a także danymi, które się w nich znajdują.

Zestawy danych, nazywane także d-zestawami, są zarządzanymi jednostkami danych, które mogą być

współużytkowane w sieci. Stanowią one podstawowe jednostki zarządzania, umożliwiające replikowanie danych sieciowych i wstawianie ich do przestrzeni nazw. Są one ze sobą połączone przy pomocy odniesień do zestawów danych, tworząc przestrzeń nazw plików. NDAF umożliwia obsługę tysięcy zestawów danych lub replik na wszystkich zarządzanych serwerach. Istnieje możliwość tworzenia replik zestawu danych, które są dostępne wyłącznie do odczytu, dystrybuowania ich i konserwowania na wielu serwerach danych. Po zmodyfikowaniu głównego źródła kolekcji replik zmiany są przekazywane do wszystkich replik przy pomocy komendy dmf update replica.

Dane kopiowane do katalogów zestawów danych są eksportowane przy użyciu NFS, ale stają się widoczne w komórce (patrz następna sekcja), w domenie NFS, dopiero po podłączeniu zestawu danych za pomocą komendy dmf mount dset. Zestawy danych obejmują takie obiekty systemu plików, jak: pliki, katalogi, listy ACL, dowiązania i inne. Jeśli podczas tworzenia zestawu danych nie poda się konkretnego położenia, zostaje on utworzony w katalogu

określonym w momencie uruchomienia demona dms przy pomocy parametru -ndaf_dataset_default lub (w przypadku jego nieobecności) przy pomocy parametru -ndaf_dir.

Zestaw danych można utworzyć tylko w katalogu należącym do systemu plików włączonego za pomocą komendy dms_enable_fs.

Komórka

Zestawy danych można grupować w innych zestawach danych i organizować je w postaci pojedynczej przestrzeni nazw. Taka grupa nazywana jest komórką.

Komórka jest jednostką zarządzania i przestrzenią nazw udostępnianą przez serwer administracyjny. Po zdefiniowaniu komórki na serwerze administracyjnym można przy jej użyciu tworzyć na tym serwerze nowe zestawy danych. Każda komórka na serwerze administracyjnym jest niezależna od wszystkich pozostałych udostępnianych na tym samym serwerze. Komórka zawiera własną przestrzeń nazw składającą się z zestawów danych i jej własnych obiektów zabezpieczeń opartych na rolach. Role są uprawnieniami nadanymi użytkownikom z pewnego zbioru, którzy

zarządzają zasobami zawartymi w komórce. Dla każdej komórki można zdefiniować maksymalnie osiem różnych ról. Po utworzeniu komórki komendą dmf create cell nazwa zostaje ona automatycznie umieszczona na serwerze administracyjnym. Nie można używać komendy dmf place cell nazwa do umieszczania komórki na serwerze administracyjnym. Wynikiem umieszczenia komórki jest skopiowanie informacji na temat jej katalogu głównego, dotyczącej podłączonych zestawów danych i odwołań replik, z serwera administracyjnego na docelowy serwer danych. Komórka może zostać umieszczona na każdym serwerze zdefiniowanym w serwerze administracyjnym, przez który jest udostępniana. Aby uzyskać dostęp do pełnej przestrzeni nazw danej komórki, klienty NFSv4 podłączają jej katalog główny.

Wszystkie klienty NFSv4 mogą przeglądać obiekty podłączone za pomocą komendy dmf mount w obrębie danej komórki po podłączeniu przy użyciu NFS jej katalogu głównego z dowolnego serwera NDAF, na którym została umieszczona.

Podsystem NDAF obsługuje maksymalnie 64 komórki w każdej wdrożonej instancji (domenie) NDAF, której komórki znajdują się na jednym lub wielu serwerach danych. Zniszczenie komórki powoduje zniszczenie wszystkich jej zestawów danych i replik.

Repliki

Istnieje możliwość tworzenia kopii zestawów danych, które są dostępne wyłącznie do odczytu, dystrybuowania ich i bezpiecznego konserwowania na wielu serwerach danych.

Zestawy danych dostępne wyłącznie do odczytu nazywane są replikami. Replika zostaje umieszczona w globalnej przestrzeni nazw w taki sam sposób, jak zestaw danych. Można umieścić wiele klonów replik tego samego zestawu danych na różnych serwerach. Dzięki temu, jeśli podstawowy serwer repliki stanie się niedostępny dla klientów, mogą one automatycznie uzyskać dostęp do tych samych plików znajdujących się na innym serwerze. Aktualizacje zestawów danych nie są odzwierciedlane w replikach, chyba że zostanie użyta komenda dmf update replica.

Jeśli podczas tworzenia repliki nie poda się konkretnego położenia, zostaje ona utworzona w katalogu określonym w momencie uruchomienia demona dms przy pomocy parametru -ndaf_replica_default lub (w przypadku jego nieobecności) przy pomocy parametru -ndaf_dir.

Repliki mogą być tworzone tylko w systemach plików, dla których włączono możliwość tworzenia zestawów danych za pomocą komendy dms_enable_fs.

Położenie repliki głównej

Położeniem repliki głównej jest miejsce, w którym utworzono pierwszą replikę. Położenie to jest aktualizowane w pierwszej kolejności w odpowiedzi na żądanie update (aktualizuj). Pozostałe położenia replik aktualizowane są w sposób asynchroniczny w następnej kolejności.

Położenie innej repliki można uczynić położeniem głównym przy użyciu żądania master (główne).

Nie można anulować umieszczenia repliki głównej, zanim w miejsce pierwszego nie zostanie zdefiniowane inne położenie repliki głównej.

Klony repliki

Komenda dmf place replica tworzy w podanym miejscu na serwerze klon określonej repliki.

Kiedy replika jest podłączona w komórce, położenie klonu zostaje dodane do listy replik NFS, która jest zwracana klientom NFS uzyskującym do niej dostęp. Więcej informacji na ten temat zawiera sekcja NFS replication and global namespace (Replikacja i globalna przestrzeń nazw NFS). Kolejność odwołań znajdujących się na tej liście jest uzależniona od konfiguracji sieci. Położenie każdego klonu repliki jest aktualizowane w sposób asynchroniczny przy użyciu komend dmf update. Parametrami komendy dmf place replica są: serwer i, opcjonalnie, lokalna ścieżka na serwerze.

Położenie klonu repliki można usunąć z serwera w sposób zaprezentowany w następującym przykładzie:

dmf unplace replica serwer ścieżka_lokalna -a admin -c komórka -o replika

W przykładzie tym łańcuchserwer reprezentuje nazwę serwera, na którym znajduje się replika, a łańcuch replika reprezentuje nazwą repliki. Eksport położenia klonu jest anulowany, a jego zawartość zostaje zniszczona. Położenie to zostaje także usunięte z listy położeń systemów plików zwracanej przez NFSv4 w odpowiedzi na pytanie o daną replikę w komórce. Pozostałe położenia repliki pozostają bez zmian. Komenda dmf update replica aktualizuje klony oraz ich oryginalne repliki, odświeżając je zawartością oryginalnego źródłowego zestawu danych.

Aktualizowanie replik

Replika główna jest dostępną wyłącznie do odczytu kopią źródłowego zestawu danych, a klony są kopiami repliki głównej. Kiedy źródłowy zestaw danych zostaje zaktualizowany, repliki nie są aktualizowane, o ile nie zostanie jawnie wykonana komenda dmf update replica.

metoda copy

Przesyłane dane stanowią pełną kopię drzewa plików. Metoda copy jest implementacją interfejsu wtyczki metody przesyłania danych. Operacja przesyłania danych realizowana jest poprzez przejście pełnego drzewa katalogów zestawu danych i przesłanie wszystkich obiektów i danych w położenie docelowe.

metoda rsync

Dane są przesyłane przy użyciu algorytmu typu rsync. W metodzie rsync operacja przesyłania danych realizowana jest poprzez przejście pełnego drzewa katalogów zestawu danych i przesłanie w położenie docelowe wyłącznie różnic w katalogach i danych. Jest ona korzystna w przypadku aktualizowania replik, ponieważ powoduje przesyłanie wyłącznie zmienionych bloków informacji, co w znacznym stopniu zmniejsza wykorzystanie przepustowości sieci.

Klient administracyjny

Klientem administracyjnym jest dowolny system w sieci z zainstalowanym zestawem plikówndaf.base.client, z którego można wykonywać komendę dmf.

Serwer administracyjny NDAF uzyskuje informacje o procesach z komend wykonywanych przez administratorów systemu z poziomu interfejsu wiersza komend. Programem klienta administracyjnego jest komenda dmf.

Pojęcia pokrewne: “dmf” na stronie 6

Łańcuch dmf jest przedrostkiem wszystkich komend NDAF wywoływanych z poziomu wiersza komend.

Serwer administracyjny

Serwerem administracyjnym NDAF jest serwer danych, na którym działają procesy demonów dmadm i dms oraz który pełni rolę centralnego punktu sterowania kolekcją serwerów danych NDAF.

Otrzymuje on komendy od administratorów systemu, którzy wykorzystują klient administracyjny (komenda dmf). Serwer administracyjny NDAF utrzymuje główną bazę danych informacji konfiguracyjnych i wysyła komendy do serwerów danych. W przypadku wystąpienia przerwy w komunikacji pomiędzy serwerem administracyjnym i serwerami danych dane, którymi zarządza podsystem NDAF i które znajdują się już na serwerze danych, pozostają dostępne. Po przywróceniu połączeń sieciowych transakcje realizowane między systemami zostają ukończone. Serwer administracyjny jest konfigurowany przed wszystkimi pozostałymi komponentami NDAF. Serwer ten wymaga systemów 64-bitowych działających pod kontrolą 64-bitowego jądra systemu AIX.

Bazy danych serwera administracyjnego są tworzone w podkataloguadmin katalogu określonego w momencie uruchomienia demona dmadm przy pomocy parametru -ndaf_dir .

Zestaw plików ndaf.base.admin jest zainstalowany w systemach serwerów administracyjnych.

Serwer danych

Serwerem danych jest serwer, na którym działają procesy demona dms sterujące serwerem plików NFS i powiązanymi z nim fizycznymi systemami plików (PFS). Dane udostępniane za pośrednictwem NDAF znajdują się na serwerze danych.

Proces dms działa na każdym serwerze danych i realizuje działania na bazowych systemach plików. Ustawia on na każdym serwerze danych katalogi domyślne, wartości limitów czasu, poziom debugowania, stosowaną metodę

zabezpieczeń, ścieżkę tabeli kluczy Kerberos, nazwę użytkownika Kerberos i porty komunikacyjne. Replikować można wyłącznie serwery danych znajdujące się w domenie NDAF.

Bazy danych serwera danych są tworzone w podkataloguserver katalogu określonego przez parametr -ndaf_dir w momencie uruchomienia demona dms. Serwery te wymagają systemów 64-bitowych działających pod kontrolą 64-bitowego jądra systemu AIX. Rolę serwera danych pełni także serwer administracyjny.

Uruchomienie procesów demona dms na serwerach administracyjnych powoduje, że są one również serwerami danych. Zestaw plikówndaf.base.server jest zainstalowany w systemach serwerów danych.

Użytkownik podstawowy

Użytkownikiem podstawowym (ang. principal) jest autoryzowany użytkownik NDAF, który podczas sprawdzania zabezpieczeń jest badany przez metody protokołu Kerberos i innych mechanizmów zabezpieczeń.

Użytkownicy podstawowi kontrolują, w jaki sposób można manipulować obiektami i przy użyciu których operacji. Tylko pierwszy użytkownik wykonujący komendę dmf create admin, nazywany DmPrincipal, może tworzyć

komórki, serwery i role. Dodatkowych użytkowników podstawowych NDAF zarządzających obiektem można dodać za pomocą komendy dmf add_to obiekt DmPrincipal=nazwa. Wszyscy członkowie z listy DmPrincipal są uważani za właścicieli obiektu i mogą nim sterować.

Użytkowników podstawowych NDAF można także usuwać, korzystając z komendy dmf remove_from.

Graficzna reprezentacja domeny NDAF

Podstawowe pojęcia związane z funkcjonowaniem obiektów domeny NDAF można przedstawić graficznie. Poniższy rysunek ilustruje organizację różnych obiektów w domenie NDAF:

Komendy podsystemu NDAF

Operacje podsystemu NDAF wykonywane są przy użyciu czterech podstawowych komend: dmf, dms, dmadm i dms_enable_fs.

Aby uzyskać więcej informacji na temat innych komend NDAF, patrz sekcja “Dodatkowe komendy podsystemu NDAF” na stronie 55 oraz komenda dmf.

dmf

Łańcuch dmf jest przedrostkiem wszystkich komend NDAF wywoływanych z poziomu wiersza komend. Łańcuchy tych komend mają jednolitą strukturę: rzeczywista nazwa programu wykonywalnego (dmf), żądanie wykonania operacji, czyli podkomenda, taka jak create (utwórz) lub delete (usuń), obiekt, na którym ma zostać wykonana operacja (np. serwer lub komórka), i pozostałe parametry (takie jak nazwy). Parametry te zajmują określone pozycje w łańcuchu.

Komendę dmf można wykonywać w systemach 32- i 64-bitowych. Informacje pokrewne:

Komenda dmf

Pełne informacje na temat komendy dmf.

dmadm

Komenda dmadm umożliwia wykonywanie operacji NDAF na serwerze administracyjnym.

Zarówno komenda dmadm, jak i komenda dms, są wymaganymi usługami działającymi na tablicy kluczy Kerberos serwera administracyjnego. Aby komputer administracyjny mógł poprawnie funkcjonować, procesy dms należy uruchomić jednocześnie z demonami dmadm.

Informacje pokrewne: Komenda dmadm

Pełne informacje na temat komendy dmadm.

dms

Komenda dms umożliwia wykonywanie operacji NDAF na serwerze danych.

Na serwerze danych domeny NDAF komenda dms ustawia katalogi domyślne, wartości limitów czasu, poziom debugowania, stosowaną metodę zabezpieczeń, ścieżkę tabeli kluczy Kerberos, nazwę użytkownika Kerberos i porty komunikacyjne.

Informacje pokrewne: Komenda dms

Pełne informacje na temat komendy dms.

dms_enable_fs

Komenda dms_enable_fs włącza lub wyłącza możliwość tworzenia w systemie plików komórek, zestawów danych i replik, a także umożliwia uzyskanie informacji, czy możliwość ta jest dostępna.

Informacje pokrewne: Komenda dms_enable_fs

Pełne informacje na temat komendy dms_enable_fs.

Modele wdrażania podsystemu NDAF

Podsystem NDAF zaprojektowano z myślą o wdrażaniu w środowiskach centrów przetwarzania danych lub w

środowiskach sieci rozległych (WAN), w których serwery oddzielone są od siebie dużymi odległościami lub sieciami o mniejszej niezawodności.

Możliwe są także wdrożenia łączące obydwa te obszary. W każdym z tych przypadków należy rozważyć inne zagadnienia.

Centra przetwarzania danych

Centra przetwarzania danych najczęściej dysponują szybkimi i niezawodnymi sieciami. Konfiguracje centrów przetwarzania danych zapewniają zwykle wysoki stopień zaufania pomiędzy systemami oraz zaufania do danych przepływających między nimi.

Szybkie i niezawodne sieci umożliwiają wykonywanie replikacji większych zestawów danych mających większą liczbę kopii. Sieci w środowiskach centrów przetwarzania danych są w stanie obsłużyć replikację danych podlegających częstszym zmianom oraz zmianom mającym szerszy zakres.

W zależności od zabezpieczenia środowiska centrum przetwarzania danych podsystem NDAF można wdrożyć bez uwierzytelniania opartego na protokole Kerberos lub z opcjami zabezpieczenia danych opartymi na nim.

Sieci rozległe

W środowisku sieci rozległej (WAN) ograniczona przepustowość lub niezawodność sieci powodują, że wielkość danych, które można skutecznie replikować pomiędzy systemami, nie może być zbyt duża. Częstotliwość oraz wielkość zmian danych stają się ważnymi aspektami, które należy wziąć pod uwagę, decydując, czy dane mają być replikowane, ile kopii ma być przechowywanych i jak często replika ma być aktualizowana. Kwestie te stanowią przeciwwagę dla korzyści wynikających z umieszczenia danych w zdalnych lokalizacjach, blisko tych miejsc, w których dane są wykorzystywane, co pozwala poprawić wydajność i zwiększyć dostępność danych.

Podsystem NDAF zaprojektowano w taki sposób, że przerwa w komunikacji między serwerem administracyjnym i serwerami danych nie uniemożliwia dostępu do danych, którymi zarządza podsystem NDAF i które znajdują się już na serwerze danych. Zapewniono także możliwość ukończenia wszystkich transakcji pomiędzy systemami po ponownym nawiązaniu połączenia sieciowego.

W tym modelu wdrażania preferowane jest stosowanie zabezpieczeń opartych na protokole Kerberos, ponieważ zapewniają one zaufane uwierzytelnianie oraz bezpieczeństwo danych w sieci.

Bezpieczeństwo w podsystemie NDAF

Systemy wykorzystujące NDAF, w tym punkt administrowania, komunikując się między sobą, mogą stosować silne zabezpieczenia oparte na protokole Kerberos oraz protokole ONC (open network computing) RPC (remote procedure call) z opcją RPCSEC-GSS.

Protokół RPCSEC_GSS jest metodą, którą można opcjonalnie zastosować do protokołu ONC RPC. RPCSEC-GSS jest protokołem, który umożliwia wykorzystanie usług GSS (Generic Security Services) w RPC.

Zabezpieczanie dostępu do plików NFS

Do zarządzania dostępem do klientów NFS można wykorzystywać listy kontroli dostępu (ACL) typu NFSv4. Można je stosować do katalogów zawierających zestawy danych (na poziomie systemu plików) oraz do punktów podłączenia (nfsroot) każdego serwera.

Obiekty systemu plików są zwykle powiązane z listą ACL (typu NFSv4 w przeciwieństwie do list ACL systemu AIX), która składa się z pewnej liczby pozycji ACL (ACE). Każda pozycja ACE definiuje tożsamość i związane z nią prawa dostępu.

W kontroli dostępu wykorzystuje się zabezpieczone zasoby informacyjne określające, którym użytkownikom można zezwolić na dostęp do danych zasobów. System operacyjny umożliwia stosowanie zabezpieczeń opartych na prawach dostępu nadawanych dowolnie lub ze względu na potrzebę ich posiadania. Właściciel zasobu informacyjnego może nadać innym użytkownikom prawo odczytu lub zapisu tego zasobu. Użytkownik, któremu nadano prawa dostępu do zasobu, może przekazać te prawa innym użytkownikom. Taki rodzaj zabezpieczeń pozwala na sterowany przez użytkowników przepływ informacji w systemie. Właściciel zasobu informacyjnego definiuje uprawnienia dostępu do tego zasobu.

Prawa dostępu do obiektów, które są oparte na użytkowniku, mają wyłącznie właściciele danych obiektów. Zwykle użytkownicy uzyskują grupowe albo domyślne prawo dostępu do zasobu. Podstawowym zadaniem administrowania kontrolą dostępu jest zdefiniowanie przynależności użytkowników do grup, ponieważ przynależność ta wyznacza uprawnienia użytkowników w stosunku do plików, które do nich nie należą.

Listy ACL typu NFSv4 zapewniają precyzyjną kontrolę nad prawami dostępu oraz udostępniają takie opcje, jak dziedziczenie. Listy ACL typu NFSv4 są zbudowane z tablic pozycji ACE. Każda pozycja ACE definiuje prawa dostępu dla jednej tożsamości.

Zarządzanie listami ACL typu NFSv4 w systemie AIX umożliwiają komendy aclget, acledit, aclput i aclconvert. Dodatkowe informacje na temat obsługi list ACL typu NFSv4 w systemie AIX można znaleźć w sekcji Listy kontroli dostępu (ACL) w podręczniku Bezpieczeństwo.

Eksportowanie przy użyciu protokołu Kerberos

Domyślnie serwery danych eksportują systemy plików przy użyciu protokołu NFS w wersji 4 z włączonymi wszystkimi typami zabezpieczeń.

Istnieje możliwość zmiany domyślnych opcji eksportu w celu ograniczenia możliwości mechanizmu zabezpieczeń auth_sys lub w celu zezwolenia na stosowanie podłączeń NFS w wersji 3.

Aby to zrobić, należy wykonać komendę chndaf z następującymi argumentami:

chndaf -nfs_args=<nowe argumenty nfs>

Format nowych argumentów nfs powinien być taki sam, jak format argumentów komendy exportfs.

Na przykład, aby eksportować z wykorzystaniem wyłącznie zabezpieczeń typu krb5p, należy wykonać komendę chndaf -nfs_args=sec=krb5p.

Gdy podana jest sekcja vers=, należy koniecznie uwzględnić wersję 4 (patrz poniżej), gdyż w przeciwnym razie podsystem NDAF nie będzie działać prawidłowo. Gdy sekcja vers= nie jest podana, systemy plików są eksportowane wyłącznie przy użyciu protokołu NFS, wersja 4.

Aby wyeksportować w wersji 3 i 4, należy wykonać komendęchndaf -nfs_args=vers=3:4.

Więcej informacji na temat protokołu Kerberos i zabezpieczeń RPCSEC-GSS zawiera sekcja Setting up a network for RPCSEC-GSS (Konfigurowanie sieci na potrzeby RPCSEC-GSS).

Role

Role są uprawnieniami nadanymi użytkownikom podstawowym NDAF należącym do określonego zbioru, które umożliwiają zarządzanie zasobami w ramach komórki. Role NDAF są niezależne od ról administracyjnych w systemie AIX.

Użytkownicy podstawowi NDAF odpowiadają użytkownikom Kerberos, gdy stosowane jest uwierzytelnianie Kerberos. Natomiast, gdy stosowane jest uwierzytelnianie systemowe (takie jak mechanizm zabezpieczeń auth_sys), odpowiadają oni nazwom użytkowników.

Na początku tylko atrybut DmPrincipal (oznaczający pierwszego użytkownika, który wykonał komendę dmf create admin) umożliwia tworzenie komórek, serwerów i ról. Dodatkowych użytkowników podstawowych NDAF

zarządzających obiektem można dodać za pomocą komendy dmf add_to obiekt DmPrincipal=nazwa. Wszyscy członkowie z listy DmPrincipal są uważani za właścicieli obiektu i mogą nim sterować.

Utworzenie roli i przypisanie jej użytkownikowi znajdującemu się na liście DmMember powoduje zdefiniowanie zbioru możliwości dostępnych podczas wykonywania komend, które zostają przypisane użytkownikom pełniącym tę rolę. Dostępne się następujące możliwości:

Uwaga: Każdej z tych możliwości można nadać wartość0 lub 1. Wartością domyślną każdej możliwości jest 1. DmCreateDs

Wartość różna od zera wskazuje, że rola umożliwia tworzenie zestawów danych na serwerach znajdujących się na liście DmServer tej roli. Znak gwiazdki (*) oznacza, że tworzenie zestawów danych jest dozwolone na każdym serwerze znajdującym się na liście. Dotyczy to także replik, jednak z tą różnicą, że w przypadku replik użytkownik musi mieć także zezwolenie na duplikowanie źródłowego zestawu danych. Ma to miejsce wtedy, gdy użytkownik znajduje się na liście DmPrincipal źródłowego zestawu danych lub gdy znajduje się na liście DmMember roli, która jest elementem listy DmOwningRole źródłowego zestawu danych i która w polu DmDuplicateDs ma ustawioną wartość1.

DmDestroyDs

Wartość różna od zera wskazuje, że rola umożliwia niszczenie zestawów danych, gdy znajduje się ona na liście DmOwningRole danego zestawu danych. Dotyczy to także replik.

DmModifyDs

Wartość różna od zera wskazuje, że rola umożliwia modyfikowanie zestawów danych lub replik, które mają tę rolę umieszczoną na liście DmOwningRole. Modyfikacje można wykonywać przy użyciu następujących komend:

v _{dmf set - w przypadku zestawów danych lub replik}

v _{dmf add_to i dmf remove_from - w przypadku zestawów danych lub replik}

v _{dmf place i dmf unplace - w przypadku umieszczania (lub anulowania umieszczania) replik na serwerze,} który znajduje się na liście DmServer danej roli

v _{dmf mount i dmf unmount - w przypadku zestawów danych lub replik, gdy są one podłączone}

bezpośrednio w komórce lub gdy są podłączone w innym zestawie danych, który na liście DmOwningRole ma daną rolę z określonym użytkownikiem na liście DmMember, a możliwość DmModifyDs ma

ustawioną wartość1 DmDuplicateDs

Wartość różna od zera wskazuje, że rola umożliwia replikację zestawów danych, które mają tę rolę na liście DmOwningRole.

DmCreateRole

Wartość różna od zera wskazuje, że rola umożliwia tworzenie ról. DmDestroyRole

Wartość różna od zera wskazuje, że rola umożliwia niszczenie ról, które mają tę rolę na liście DmOwningRole.

DmModifyRole

Wartość różna od zera wskazuje, że rola umożliwia modyfikowanie ról (komendy dmf set, dmf add_to i dmf remove_from), które mają tę rolę na liście DmOwningRole.

Role można także definiować, korzystając z programu SMIT. Więcej informacji na temat tworzenia ról zawiera sekcja “Tworzenie ról i zarządzanie nimi” na stronie 23.

Po utworzeniu roli za pomocą komendy dmf create role można ją domyślnie stosować do każdego serwera (oznacza to gwiazdka [*] umieszczona na liście DmServer). Rolę można zastosować do wybranych serwerów, na których mają być tworzone i umieszczane zestawy danych i repliki, wykonując komendę dmf add_to role DmServer=nazwa, a

następnie komendę dmf remove_from role Dmserver=*. Rolę można także zastosować do pojedynczego zestawu danych lub pojedynczej repliki, wykonując komendę dmf add_to DmOwningRole na tym zestawie danych lub na tej replice.

Obsługa kontroli dostępu wykorzystującej role dla NDAF

NDAF obsługuje kontrolę dostępu wykorzystującą role (role-based access control - RBAC). Komendy klienta i serwera NDAF obsługują RBAC. Użytkownik nie będący administratorem może uruchamiać komendy NDAF gdy

administrator przypisze mu rolę RBAC dla tej komendy.

Instalowanie i konfigurowanie podsystemu NDAF

Poniżej omówiono sposób instalowania i konfigurowania podsystemu NDAF.

Instalowanie podsystemu NDAF

Za pomocą programu SMIT (krótka ścieżka: smitty install_all) lub komendy installp należy zainstalować zestaw plikówndaf.base. Jeśli wymagane są zabezpieczenia wykorzystujące protokół Kerberos 5, należy zainstalować zestaw plikówkrb5.client.

Aby możliwe było zainstalowanie podsystemu NDAF, na komputerze musi być zainstalowany system IBM®AIX 5L wersja 5.3 z pakietem Technology Level 5300-05 lub nowsza. W systemie musi działać jądro 64-bitowe.

Dany system może pełnić w domenie NDAF jedną z trzech ról. W zależności od pełnionej roli należy zainstalować różne części zestawu plikówndaf.base. Możliwe są następujące role:

Serwer administracyjny

W takim systemie należy zainstalować częścindaf.base.admin i ndaf.base.server. W danym zbiorze stowarzyszonych serwerów może być tylko jeden serwer administracyjny.

Serwery danych

W takich systemach należy zainstalować częśćndaf.base.server. Klienty administracyjne

W takich systemach należy zainstalować tylko częśćndaf.base.client.

Więcej informacji na temat komendy i jej opcji zawiera opis komendy installp w podręczniku AIX Version 6.1 Commands Reference.

Uwaga: Domyślnie demony NDAF nie są uruchamiane po zainstalowaniu pakietu. Ich konfiguracja nie powoduje także automatycznego uruchomienia po restarcie systemu. Informacje na temat uruchamiania demonów można znaleźć w sekcjach “Konfigurowanie serwera danych NDAF” na stronie 12 lub “Konfigurowanie serwera administracyjnego NDAF” na stronie 14.

Aktualizowanie NDAF

Aktualizowanie części środowiska NDAF do nowej wersji NDAF zwykle nie ma wpływu na system globalny. Pomimo braku wpływu aktualizacji na system globalny, NDAF ma za zadanie wykrywanie problemów związanych z kompatybilnością między dwoma elementami środowiska (między dmf a dmadm, dmadm a dms lub między dwoma różnymi elementami dms). Na przykład jeśli podczas aktualizacji serwera, w porównaniu do innych serwerów danych należących do domeny NDAF, zmieniony został protokół komunikacyjny, serwer administracyjny ograniczy

przesyłanie danych między tymi serwerami do czasu zaktualizowania ich do poprawnych wersji.

W tym przykładzie zostaną odebrane komunikaty o błędach i żądania aktualizacji systemów dmf, dmadm lub dms. Użytkownik może zostać również poproszony o aktualizację serwera administracyjnego podczas aktualizowania serwera danych. Tak samo aktualizacja serwera administracyjnego może prowadzić do wydania zalecenia aktualizacji klientów dmf.

Podczas aktualizacji systemu, w czasie której dochodzi do zmiany protokołu serwera danych, będzie zapewniony dostęp do danych, ale przesyłanie danych między niekompatybilnymi serwerami zostanie zabronione. Dlatego operacje tworzenia, rozmieszczania i aktualizacji replik, rozmieszczania komórek i operacje podłączania-odłączania między tymi serwerami danych zostaną odrzucone.

Konfigurowanie NFS, wersja 4

Serwery NDAF muszą być skonfigurowane jako serwery NFSv4. Aby skonfigurować serwer NDAF jako serwer NFSv4:

1. Za pomocą komendy chnfsdom ustaw nazwę domeny NFSv4. 2. Uruchom demon nfsrgyd za pomocą następującej komendy:

startsrc -s nfsrgyd

3. Zadbaj o to, aby demony nfsd i rpc.mountd były uruchamiane automatycznie w momencie startu systemu. Najłatwiej to zrobić, wykonując komendę touch na pliku/etc/exports.

4. Aby włączyć używanie aliasów, utwórz lub wybierz na serwerze katalog i ustaw katalog główny NFSv4 za pomocą komendy chnfs –r. Na przykład wprowadź komendęchnfs -r /ndaf (gdzie /ndaf jest katalogiem na serwerze). W podsystemie NDAF do utworzenia globalnej przestrzeni nazw z użyciem aliasów wykorzystywana jest opcja exname exportfs. Nie można mieszać eksportów używających aliasów z eksportami bez aliasów i dlatego jeśli serwer NDAF jest już serwerem NFS bez katalogu głównego NFS, administrator nie może ustawić katalogu głównego, w wyniku czego podsystem NDAF nie będzie funkcjonować prawidłowo. Przed ustawieniem katalogu głównego należy anulować wszystkie bieżące eksporty, a wszystkim przyszłym eksportom należy przypisać aliasy, aby mogły być wyświetlane pod katalogiem głównym NFS. Więcej informacji zawiera opis pliku /etc/exports w podręczniku AIX Version 6.1 Files Reference.

5. Za pomocą komendy chnfs -R on włącz na serwerze NFSv4 możliwość tworzenia replik oraz używanie aliasów i odwołań.

Rezultat: System plików NFS w wersji 4 został skonfigurowany.

Konfigurowanie protokołu Kerberos 5

Serwer administracyjny NDAF oraz wszystkie serwery danych i klienty administracyjne NDAF muszą być skonfigurowane jako klienty Kerberos.

Uwaga: Pełny opis konfiguracji Kerberos 5 przekracza ramy niniejszego tematu. Przeznaczeniem tego tematu jest omówienie użytkowników Kerberos wymaganych przez produkt NDAF. Szczegółowe informacje na temat konfigurowania protokołu Kerberos zawiera podręcznik IBM Network Authentication Service Version 1.4 Administrator's and User's Guide, który jest dostępny w następujących katalogach:

wersja HTML

/usr/lpp/krb5/doc/html/język/ADMINGD wersja PDF

/usr/lpp/krb5/doc/pdf/język/ADMINGD

Dostęp do tych plików jest możliwy po zainstalowaniu zestawu plikówkrb5.doc.

Serwer administracyjny NDAF oraz wszystkie serwery danych i klienty administracyjne NDAF można skonfigurować jako klienty Kerberos za pomocą komendy config.krb5 lub komendy mkkrb5clnt. (Wybór właściwej komendy jest zależny od sposobu, w jaki w danym systemie wykorzystywany jest protokół Kerberos). Gdy pożądane jest logowanie zintegrowane, można zarządzać konfiguracją logowania zintegrowanego przy użyciu komendy mkkrb5clnt.

Administrator Kerberos musi ustanowić użytkowników podstawowych usługi Kerberos na każdym serwerze danych oraz serwerze administracyjnym. Wymagani są następujący użytkownicy podstawowi:

Klienty administracyjne

Każdy klient administracyjny musi mieć użytkownika podstawowego usługi o nazwiedmf/pełna nazwa domeny.

Serwery danych

Każdy serwer danych (w tym serwer administracyjny) musi mieć użytkownika podstawowego usługi o nazwie dms/pełna nazwa domeny.

Serwer administracyjny

Serwer administracyjny musi mieć użytkowników podstawowych usługi o następujących dwóch nazwach: v _{dmadm/pełna nazwa domeny}

v _{dms/pełna nazwa domeny}

Każdy serwer NFS lub serwer danych eksportujący na potrzeby Kerberos

Każdy serwer NFS lub serwer danych eksportujący na potrzeby Kerberos musi mieć użytkownika podstawowego usługi o nazwienfs/pełna nazwa domeny.

Administrator może utworzyć tych użytkowników podstawowych usługi Kerberos podkomendą add_principal komendy administracyjnej Kerberoskadmin (/usr/sbin/krb5/kadmin). Administrator musi następnie dodać użytkowników podstawowych usługi danego serwera do pliku tabeli kluczy serwera. Można to zrobić przy użyciu komendy ktutil. Na przykład:

ktutil: addent -password -p dms/test.austin.ibm.com -k 1 -e des ktutil: wkt /etc/krb5/krb5.keytab

gdzie numer wersji klucza (kvno) (-k) i typy szyfrowania mają ustawione odpowiednie wartości. Jeśli stosowane są zabezpieczenia wykorzystujące protokół Kerberos, wszyscy administratorzy NDAF muszą być znani jako użytkownicy Kerberos 5.

Wymagania dotyczące portów RPC

W celu zapewnienia poprawnej komunikacji każdy serwer musi dysponować informacjami o portach, na których pozostałe serwery nasłuchują i przez które wysyłają dane.

Wszystkie komunikujące się serwery muszą wysyłać i odbierać informacje przez porty o tych samych numerach. Na przykład:

v _{Serwer danych łączy się z portem SSP drugiego serwera danych, a drugi serwer nasłuchuje w porcie SSP} (domyślnym numerem portu jest 28003).

v _{Serwer danych łączy się z portem ACP serwera administracyjnego, a serwer administracyjny nasłuchuje w porcie} ACP (domyślnym numerem portu jest 28002).

v _{Serwer administracyjny łączy się z portem SP serwera danych, a serwer danych nasłuchuje w porcie SP (domyślnym} numerem portu jest 28001).

v _{Klient łączy się z portem AP serwera administracyjnego, a serwer administracyjny nasłuchuje w porcie AP} (domyślnym numerem portu jest 28000).

Uwaga: Jeśli serwer został uruchomiony z ustawionymi numerami portów innymi niż domyślne, należy się upewnić, że pozostałe serwery uruchomiono z tymi samymi wartościami portów.

Konfigurowanie serwera danych NDAF

Podstawowa konfiguracja serwera danych NDAF obejmuje uruchomienie demona dms.

Można to osiągnąć, korzystając z menu programu SMIT (krótka ścieżka: ndafdatastart) lub bezpośrednio wykonując komendy mkndaf i chndaf. W obydwu przypadkach aktualizowany jest plik startowy/etc/rc.ndaf w sposób

powodujący prosty (i w razie potrzeby automatyczny) restart w momencie uruchomienia systemu. Ze względu na używanie aliasów przy tworzeniu globalnej przestrzeni nazw widok z klienta NFS jest inny od widoku lokalnego z serwera danych NDAF. Widok z klienta NFSv4 podłączającego katalog główny serwera danych NDAF jest następujący:

/punkt podłączenia/nazwa komórki/nazwa podłączenia zestawu danych

Rzeczywista ścieżka do zestawu danych na serwerze danych (jeśli nie została określona podczas tworzenia zestawu danych) jest następująca:

/domyślny katalog zestawów danych ndaf/dset/nazwa katalogu przypisana przez ndaf

Jeśli domyślny katalog zestawów danych ndaf nie został określony w czasie uruchomienia demonów:

/katalog ndaf/dset/nazwa katalogu przypisana przez ndaf

Podobnie ścieżka do danych repliki na serwerze danych (jeśli nie została określona podczas tworzenia zestawu danych) jest następująca:

/domyślny katalog replik ndaf/nazwa katalogu przypisana przez ndaf

Jeśli domyślny katalog replik ndaf nie został określony podczas uruchomienia demonów:

/katalog ndaf/replica/nazwa katalogu przypisana przez ndaf

Są trzy podstawowe kwestie, które trzeba rozważyć, uruchamiając podsystem NDAF na serwerze danych: Gdzie należy domyślnie umieszczać zestawy danych i repliki?

Jeśli nie wskaże się jawnie innego miejsca, zestawy danych i repliki są tworzone w katalogu określonym przez parametry ndaf_default_dset_dir, ndaf_default_replica_dir lub ndaf_dir w momencie uruchomienia demona dms. Katalogi te muszą się znajdować w systemie plików, w którym przy użyciu komendy dms_enable_fs włączono obsługę zestawów danych i którego wielkość jest wystarczająca do zmieszczenia zestawów danych i replik o przewidywanej wielkości. Zaleca się, aby ten system plików był osobnym, dedykowanym systemem plików utworzonym specjalnie w celu przechowywania zestawów danych i replik.

Uwaga: W systemach plików/, /tmp ani /proc nie można włączać możliwości przechowywania zestawów danych.

Gdzie powinny być przechowywane dane na temat stanu oraz protokół podsystemu NDAF?

We wskazanym katalogu będą się znajdować podkatalogi “log” i “server” zawierające dane niezbędne do poprawnego działania serwera danych NDAF. Podkatalogi te nie muszą się znajdować w systemie plików, w którym włączono obsługę zestawów danych. Na potrzeby odzyskiwania danych kopia zapasowa zestawów danych powinna zawierać także dane znajdujące się w podkatalogu “server”.

Zostanie użyty następujący typ zabezpieczeń:

Typ zabezpieczeń auth_sys udostępnia poziom bezpieczeństwa, który jest wystarczający wyłącznie w zaufanych centrach przetwarzania danych. Kiedy wymagany jest wyższy poziom bezpieczeństwa, należy stosować metodę Kerberos.

Wyróżnia się trzy poziomy zabezpieczeń Kerberos:

krb5 Przeprowadzane jest uwierzytelnienie polegające na sprawdzeniu, czy komunikat został rzeczywiście wysłany przez osobę, która twierdzi, że go wysłała.

krb5i Przy użyciu sumy kontrolnej sprawdzana jest integralność danych. Integralność stanowi przesłankę, że komunikat nie został zmodyfikowany (co zapewnia uwierzytelnienie).

krb5p Dane są szyfrowane. Ochrona prywatności uniemożliwia odczytanie komunikatu przez osoby inne niż wskazany odbiorca (co zapewnia uwierzytelnienie i integralność).

Na przykład można skonfigurować serwer danych, wykonując wymienione niżej czynności. (W przykładzie tym przyjmuje się, że NFS skonfigurowano w sposób opisany w sekcji “Konfigurowanie NFS, wersja 4” na stronie 11).

# Włącz w systemie plików możliwość przechowywania zestawów danych i replik dms_enable_fs –s /ndafpool

chndaf -I –ndaf_dir=/var/dmf –ndaf_dataset_default=/ndafpool/dsets \ –ndaf_replica_default=/ndafpool/replicas –security=auth_sys

# Uruchom demon dms (i dodaj go do inittab, aby był uruchamiany podczas startu systemu) mkndaf

Konfigurowanie serwera administracyjnego NDAF

Konfigurując podsystem NDAF, należy najpierw skonfigurować serwer administracyjny. W danym zbiorze stowarzyszonych serwerów danych NDAF może być tylko jeden serwer administracyjny NDAF.

Serwer administracyjny NDAF stanowi centralny punkt sterowania obsługujący wszystkie żądania administracyjne NDAF pochodzące od klientów administracyjnych NDAF. Serwer administracyjny jest także serwerem danych i dlatego procedura konfigurowania opisana w sekcji “Konfigurowanie serwera danych NDAF” na stronie 12 jest stosowana także wobec niego. Aby skonfigurować serwer administracyjny, należy dany system skonfigurować także jako serwer danych. Oprócz podkatalogów “log” i “server” będzie on także zawierać podkatalog “admin”. Jedyną dodatkową czynnością konfiguracyjną jest użycie komendy chndaf w celu uruchomienia demona dmadm oraz demona dms:

chndaf –admin_serv=yes

Konfigurowanie klienta administracyjnego NDAF

Klientem administracyjnym NDAF jest dowolny klient, na którym wykonywane są komendy służące do zarządzania danymi obsługiwane przez serwer administracyjny NDAF.

Klient administracyjny nie wymaga żadnej dodatkowej konfiguracji oprócz zainstalowania zestawu plików ndaf.base.client. Do administrowania podsystemem NDAF wykorzystuje się komendę dmf lub menu programu SMIT Zarządzanie podsystemem NDAF.

Zarządzanie podsystemem NDAF

Przed wykonaniem jakichkolwiek innych zadań administracyjnych podsystemu NDAF należy najpierw dodać serwer administracyjny i serwery danych NDAF. Następnie można tworzyć komórki, role, zestawy danych i repliki oraz zarządzać nimi, zapełniać zestawy danych, konstruować przestrzenie nazw komórek i stowarzyszać w środowisku NDAF serwery, które nie obsługują NDAF.

Tworzenie serwerów administracyjnych dla podsystemu NDAF i

zarządzanie nimi

Zanim możliwe będzie wykonywanie zadań związanych z zarządzaniem podsystemem NDAF, należy utworzyć serwer administracyjny NDAF i wszystkie serwery danych.

Serwer administracyjny NDAF można utworzyć za pomocą komendy dmf:

dmf create admin nazwa [-r] [-a serwer_admin]

gdzie:

-a serwer_admin

Określa nazwę DNS (Domain Name System) lub adres IP serwera administracyjnego. Port można dodać, korzystając z dwukropka.

nazwa Określa nazwę tworzonego serwera administracyjnego.

-r Powoduje wypisanie identyfikatora uuid przypisanego do żądania.

Uwaga: Wprowadzenie komendydmf create admin moj_admin powoduje także utworzenia obiektu serwera moj_admin.

Aby dodać serwer administracyjny NDAF przy użyciu programu SMIT:

1. Z menu NDAF wybierz kolejno opcje: Zarządzanie podsystemem NDAF > Zarządzanie serwerem administracyjnym > Utwórz serwer administracyjny.

Uwaga: Można także skorzystać z krótkiej ścieżki ndafadmincreate.

2. Podaj w polu Nazwa DNS serwera administracyjnego nazwę DNS lub adres IP serwera administracyjnego i naciśnij klawisz Enter.

3. Podaj w polu Nazwa serwera administracyjnego nazwę nowego serwera administracyjnego i naciśnij klawisz Enter.

Wyświetlanie i zmienianie atrybutów serwera administracyjnego

Można wyświetlić atrybuty określonego serwera administracyjnego. Mając niezbędne uprawnienia, można modyfikować niektóre z tych atrybutów.

Atrybuty serwera administracyjnego można wyświetlić za pomocą komendy dmf w następujący sposób:

dmf show admin [-r] [-a serwer_admin]

gdzie:

-a serwer_admin

Określa nazwę DNS lub adres IP serwera administracyjnego. Port można dodać, korzystając z dwukropka. -r Powoduje wypisanie identyfikatora uuid przypisanego do żądania.

Atrybuty serwera administracyjnego można zmieniać za pomocą komendy dmf w następujący sposób:

dmf add_to admin klucz=wartość [-r] [-a serwer_admin] dmf remove_from admin klucz=wartość [-r] [-a serwer_admin]

gdzie:

-a serwer_admin

Określa nazwę DNS lub adres IP serwera administracyjnego. Port można dodać, korzystając z dwukropka. klucz=wartość

Określa atrybut i wartość, która zostanie mu przypisana. Poprawnym kluczem jest DmPrincipal. -r Powoduje wypisanie identyfikatora uuid przypisanego do żądania.

Aby wyświetlić lub zmienić atrybuty serwera administracyjnego przy użyciu programu SMIT:

1. Z menu NDAF wybierz kolejno opcje: Zarządzanie podsystemem NDAF > Zarządzanie serwerem

administracyjnym > Zmień/pokaż atrybuty serwera administracyjnego. Można także skorzystać z krótkiej ścieżki ndafadminshow_admin.

2. Podaj w polu Nazwa DNS serwera administracyjnego nazwę DNS lub adres IP serwera administracyjnego i naciśnij klawisz Enter. Wyświetlane są następujące atrybuty:

Nazwa DNS lub adres IP serwera administracyjnego

Określa nazwę DNS lub adres IP serwera administracyjnego zarządzającego domeną NDAF. Identyfikator UUID serwera administracyjnego

Określa identyfikator UUID serwera administracyjnego. Nazwa serwera administracyjnego

Określa nazwę serwera administracyjnego. Wersja struktury serwera administracyjnego

Port połączenia serwer-administrator

Określa numer portu przeznaczonego do wywołań zwrotnych RPC z serwerów danych do serwera administracyjnego.

Metoda zabezpieczeń

Określa metodę zabezpieczeń stosowaną podczas przesyłania danych. Nazwy użytkowników NDAF

Wprowadź użytkowników w postaci listy rozdzielonej przecinkami bezpośrednio w polu wejściowym. Użytkownicy znajdujący się na tej liście są właścicielami danej komórki i mogą wykonywać na niej operacje.

Usuwanie serwera administracyjnego

Można usunąć obiekt serwera administracyjnego oraz usunąć z baz danych wszystkie obiekty, które zostały zdefiniowane na serwerze administracyjnym.

Serwer administracyjny NDAF można usunąć za pomocą komendy dmf w następujący sposób:

dmf destroy admin [-f] [-r] [-a serwer_admin]

gdzie:

-a serwer_admin

Określa nazwę DNS lub adres IP serwera administracyjnego. Port można dodać, korzystając z dwukropka. -f Powoduje wymuszenie działania bez oczekiwania na potwierdzenie.

-r Powoduje wypisanie identyfikatora uuid przypisanego do żądania.

Aby usunąć serwer administracyjny NDAF za pomocą programu SMIT, należy wykonać następujące czynności: 1. Z menu NDAF wybierz kolejno opcje: Zarządzanie podsystemem NDAF > Zarządzanie serwerem

administracyjnym > Usuń serwer administracyjny.

Uwaga: Można także skorzystać z krótkiej ścieżki ndafadminremove.

2. Podaj w polu Nazwa DNS serwera administracyjnego nazwę DNS lub adres IP serwera administracyjnego i naciśnij klawisz Enter. Zostanie otwarte okno dialogowe potwierdzenia.

Tworzenie serwerów danych i zarządzanie nimi

Można utworzyć serwery danych NDAF reprezentujące systemy, które będą zarządzać danymi w przestrzeni nazw NDAF.

Serwer danych NDAF można utworzyć za pomocą komendy dmf:

dmf create server <nazwa> <nazwa_dns_celu> [-e] [-r] [-a <serwer_admin>]

gdzie:

-a serwer_admin

Określa nazwę DNS (Domain Name System) lub adres IP serwera administracyjnego. Port można dodać, korzystając z dwukropka.

nazwa Określa nazwę tworzonego serwera danych. nazwa_dns_celu

Określa nazwę DNS lub adres IP serwera. Port można dodać, korzystając z dwukropka.

-e Wskazuje, że obiekt jest zewnętrzny w stosunku do podsystemu NDAF. Więcej informacji na temat tej opcji zawiera sekcja “Przypadek 2 : Dodanie istniejącego serwera z wyeksportowanymi danymi NFS do przestrzeni nazw komórki NDAF bez instalowania na nim podsystemu NDAF” na stronie 52.

Aby dodać serwer administracyjny NDAF za pomocą programu SMIT, wykonaj następujące czynności:

1. Z menu NDAF wybierz kolejno opcje: Zarządzanie podsystemem NDAF > Zarządzanie serwerem danych > Utwórz serwer danych.

Uwaga: Można także skorzystać z krótkiej ścieżki ndafdscreate.

2. Podaj w polu Nazwa DNS serwera administracyjnego nazwę DNS lub adres IP serwera administracyjnego. 3. Podaj w polu Nazwa serwera danych nazwę nowego serwera danych i naciśnij klawisz Enter.

4. Podaj w polu Nazwa DNS serwera danych nazwę DNS lub adres IP nowego serwera danych i naciśnij klawisz Enter.

Wyświetlanie i zmienianie atrybutów serwerów danych

Można wyświetlić atrybuty określonego serwera danych. Mając wymagane uprawnienia, można modyfikować niektóre z tych atrybutów.

Atrybuty serwera danych można wyświetlić za pomocą komendy dmf w następujący sposób:

dmf show server [-r] [-a serwer_admin] [-c kontener]

gdzie:

-a serwer_admin

Określa nazwę DNS (Domain Name Service) lub adres IP serwera administracyjnego. Port można dodać, korzystając z dwukropka.

-c Określa nazwę serwera danych.

-r Powoduje wypisanie identyfikatora uuid przypisanego do żądania.

Atrybuty serwera danych można zmienić za pomocą komendy dmf w następujący sposób:

dmf add_to server klucz=wartość [-r] [-a serwer_admin] [-c kontener] dmf remove_from server klucz=wartość [-r] [-a serwer_admin] [-c kontener]

gdzie:

-a serwer_admin

Określa nazwę DNS lub adres IP serwera administracyjnego. Port można dodać, korzystając z dwukropka. -c Określa nazwę serwera danych.

klucz=wartość

Określa atrybut i wartość, która zostanie mu przypisana. Poprawnymi kluczami są DmPrincipal, DmTransferTable oraz DmClientDnsName.

-r Powoduje wypisanie identyfikatora uuid przypisanego do żądania. Aby wyświetlić lub zmienić atrybuty serwera danych przy użyciu programu SMIT:

1. Z menu NDAF wybierz kolejno opcje: Zarządzanie podsystemem NDAF > Zarządzanie serwerem danych > Zmień/pokaż atrybuty serwera danych. Można także skorzystać z krótkiej ścieżki ndafdsshow_admin. 2. Podaj w polu Nazwa DNS serwera administracyjnego nazwę DNS lub adres IP serwera administracyjnego i

naciśnij klawisz Enter. Wyświetlane są następujące atrybuty: Nazwa DNS lub adres IP serwera administracyjnego

Określa nazwę DNS lub adres IP serwera administracyjnego zarządzającego domeną NDAF. Nazwa serwera danych

Określa nazwę serwera danych. Nazwa DNS lub adres IP serwera danych

Identyfikator UUID serwera danych

Określa identyfikator UUID serwera administracyjnego. Wersja struktury serwera administracyjnego

Określa wersję aplikacji działającej na danym serwerze. Port połączenia serwer-serwer

Określa numer portu przeznaczonego do wywołań RPC między agentami przesyłania danych. Serwer zewnętrzny

Określa, czy dany serwer jest serwerem zewnętrznym (nie działa na nim demon NDAF). Poziom protokołowania

Określa ilość informacji zapisywanej w pliku protokołu. Minimalny numer portu RPC

Określa minimalny numer portu RPC używany do przesyłania danych między serwerami. Maksymalny numer portu RPC

Określa maksymalny numer portu RPC używany do przesyłania danych między serwerami. Domyślna ścieżka zestawu danych

Określa lokalną ścieżkę, w której powinny być tworzone nowe zestawy danych, jeśli w komendzie dset dotyczącej tworzenia nie określono ścieżki.

Domyślna ścieżka repliki

Określa lokalną ścieżkę, w której powinny być tworzone nowe repliki, jeśli w komendzie create replika nie określono ścieżki.

Nazwy użytkowników NDAF

Wprowadź użytkowników w postaci listy rozdzielonej przecinkami bezpośrednio w polu wejściowym. Użytkownicy znajdujący się na tej liście są właścicielami tego serwera administracyjnego i mogą wykonywać na nim operacje.

Metody przesyłania

Określa nazwy metod dozwolonych podczas przesyłania danych.

Usuwanie serwera danych

Można usunąć obiekt serwera danych oraz usunąć z baz danych wszystkie obiekty, które zostały zdefiniowane na tym serwerze danych.

Serwer danych NDAF można usunąć za pomocą następującej komendy:

dmf destroy server [-f] [-r] [-a serwer_admin] [-c kontener]

gdzie:

-a serwer_admin

Określa nazwę DNS lub adres IP serwera administracyjnego. Port można dodać, korzystając z dwukropka. -c kontener

Określa nazwę serwera.

-f Powoduje wymuszenie działania bez oczekiwania na potwierdzenie. -r Powoduje wypisanie identyfikatora uuid przypisanego do żądania.

Aby usunąć serwer danych NDAF za pomocą programu SMIT, należy wykonać następujące czynności: 1. Z menu NDAF wybierz kolejno opcje: Zarządzanie podsystemem NDAF > Zarządzanie serwerem

administracyjnym > Usuń serwer danych.

2. Podaj w polu Nazwa DNS serwera administracyjnego nazwę DNS lub adres IP serwera administracyjnego i naciśnij klawisz Enter.

3. Wpisz w polu Serwer danych nazwę serwera danych i naciśnij klawisz Enter. Zostanie wówczas wyświetlone okno dialogowe potwierdzenia.

Wyświetlanie listy serwerów danych

Można wyświetlać serwery danych, które zostały zdefiniowane na potrzeby określonego serwera administracyjnego. Serwery danych można wyświetlać za pomocą komendy dmf w następujący sposób:

dmf enumerate admin server [wzorzec] [-r] [-a serwer_admin]

gdzie: wzorzec

Opcjonalny wzorzec do uzgadniania tekstu. Poprawne wartości mogą zawierać znaki ? i *. -a serwer_admin

Określa nazwę DNS lub adres IP serwera administracyjnego. Port można dodać, korzystając z dwukropka. -r Powoduje wypisanie identyfikatora uuid przypisanego do żądania.

Aby wyświetlić serwery danych przy użyciu programu SMIT:

v _{Z menu NDAF wybierz kolejno opcje: Zarządzanie podsystemem NDAF > Zarządzanie serwerem danych >} Wyświetl serwery danych.

v _{Podaj w polu Nazwa serwera administracyjnego nazwę serwera administracyjnego zarządzającego domeną NDAF} i naciśnij klawisz Enter.

Tworzenie komórek i zarządzanie nimi

Komórka jest kolekcją zestawów danych zorganizowanych w postaci pojedynczego systemu plików do wykorzystania przez serwery NFSv4. Klienty NFSv4 podłączają katalog główny komórki w celu uzyskania dostępu do jej pełnej przestrzeni nazw.

Tworzenie komórki

Można tworzyć komórki do wykorzystania przez serwery NFSv4.

Przed utworzeniem komórki należy utworzyć serwer administracyjny NDAF. Komórkę można utworzyć przy pomocy komendy dmf:

dmf create cell nazwa [-w limit_czasu] [-r] [-a serwer_admin]

gdzie:

-a serwer_admin

Określa nazwę DNS lub adres IP serwera administracyjnego. Port można dodać, korzystając z dwukropka. nazwa Określa nazwę tworzonej komórki.

-r Powoduje wypisanie identyfikatora uuid przypisanego do żądania. -w limit_czasu

Określa czas, przez który komenda czeka na wykonanie zadania. Aby utworzyć komórkę przy użyciu programu SMIT:

1. Z menu NDAF wybierz kolejno opcje: Zarządzanie podsystemem NDAF > Zarządzanie przestrzeniami nazw/komórkami > Utwórz przestrzeń nazw komórki.

Uwaga: Można także skorzystać z krótkiej ścieżki ndafcellcreate.

2. Podaj w polu Nazwa serwera administracyjnego nazwę DNS lub adres IP serwera administracyjnego zarządzającego domeną NDAF.

Aby utworzyć komórkę o nazwie kom1 w domenie NDAF zarządzanej przez serwer administracyjny SerwerNDAF1: 1. Z menu NDAF wybierz kolejno opcje: Zarządzanie podsystemem NDAF > Zarządzanie przestrzeniami

nazw/komórkami > Utwórz przestrzeń nazw komórki.

2. Wpisz w polu Nazwa serwera administracyjnego łańcuch SerwerNDAF1. 3. Wpisz w polu Nazwa komórki łańcuch kom1 i naciśnij klawisz Enter.

Wyświetlanie listy przestrzeni nazw komórek

Można wyświetlać komórki, które zostały zdefiniowane na potrzeby określonego serwera administracyjnego. Komórki można wyświetlić przy pomocy komendy dmf:

dmf enumerate admin cell [wzorzec] [-r] [-a serwer_admin]

gdzie:

-a serwer_admin

Określa nazwę DNS lub adres IP serwera administracyjnego. Port można dodać, korzystając z dwukropka. wzorzec

Opcjonalny wzorzec do uzgadniania tekstu. Poprawne wartości mogą zawierać znaki ? i *. -r Powoduje wypisanie identyfikatora uuid przypisanego do żądania.

Aby wyświetlić komórki przy użyciu programu SMIT:

1. Wybierz kolejno opcje: NDAF > Zarządzanie podsystemem NDAF > Zarządzanie przestrzeniami nazw/komórkami > Wyświetl przestrzenie nazw komórek.

2. Podaj w polu Nazwa serwera administracyjnego nazwę serwera administracyjnego zarządzającego domeną NDAF i naciśnij klawisz Enter.

Wyświetlanie i zmienianie atrybutów komórek

Można wyświetlić atrybuty określonej komórki. Mając niezbędne uprawnienia, można modyfikować niektóre z tych atrybutów.

Aby zmodyfikować atrybuty komórki, należy mieć wymagane uprawnienia. Atrybuty komórki można wyświetlić przy pomocy komendy dmf:

dmf show cell [-r] [-a serwer_admin] [-c kontener]

gdzie:

-a serwer_admin

Określa nazwę DNS lub adres IP serwera administracyjnego. Port można dodać, korzystając z dwukropka. -c kontener

Określa nazwę komórki, do której kierowana jest komenda. -r Powoduje wypisanie identyfikatora uuid przypisanego do żądania. Atrybuty komórki można zmienić przy pomocy komendy dmf:

dmf set cell klucz=wartość [-r] [-a serwer_admin] [-c kontener]

gdzie:

-a serwer_admin

Określa nazwę DNS lub adres IP serwera administracyjnego. Port można dodać, korzystając z dwukropka. -c kontener

klucz=wartość

Określa atrybut i wartość, która zostanie mu przypisana. Poprawnymi kluczami są: DmLogLevel i DmLocsMax.

-r Powoduje wypisanie identyfikatora uuid przypisanego do żądania.

Aby wyświetlić lub zmienić atrybuty konkretnej komórki przy użyciu programu SMIT:

1. Wybierz kolejno opcje: NDAF > Zarządzanie podsystemem NDAF > Zarządzanie przestrzeniami nazw/komórkami > Zmień/pokaż atrybuty komórki.

2. Podaj w polu Nazwa serwera administracyjnego nazwę serwera administracyjnego zarządzającego domeną NDAF.

3. Wpisz w polu Nazwa komórki nazwę komórki lub wybierz ją z listy po naciśnięciu klawisza F4. Wyświetlane są następujące atrybuty:

Nazwa DNS lub adres IP serwera administracyjnego

Określa nazwę DNS lub adres IP serwera administracyjnego zarządzającego domeną NDAF. Nazwa serwera administracyjnego

Określa nazwę serwera administracyjnego zarządzającego domeną NDAF. Nazwa komórki

Określa nazwę komórki. Identyfikator UUID komórki

Określa identyfikator uuid komórki. Maksymalna liczba zgłoszonych położeń

Określa maksymalną liczbę odwołań do położeń NFS dla obiektu, które mogą zostać zwrócone do klienta NFS.

Nazwy użytkowników NDAF

Wprowadź użytkowników w postaci listy rozdzielonej przecinkami bezpośrednio w polu wejściowym. Użytkownicy znajdujący się na tej liście są właścicielami komórki i mogą wykonywać na niej operacje.

Usuwanie przestrzeni nazw komórki

Można usunąć obiekt komórki oraz usunąć z baz danych wszystkie obiekty, które zostały zdefiniowane w tej komórce. Przestrzeń nazw komórki można usunąć przy pomocy komendy dmf:

dmf destroy cell [-r] [-f] [-a serwer_admin] [-c kontener]

gdzie:

-a serwer_admin

Określa nazwę DNS lub adres IP serwera administracyjnego. Port można dodać, korzystając z dwukropka. -c kontener

Określa kontener (czyli nazwę komórki).

-f Powoduje wymuszenie działania bez oczekiwania na potwierdzenie. -r Powoduje wypisanie identyfikatora uuid przypisanego do żądania. Aby usunąć przestrzeń nazw komórki przy użyciu programu SMIT:

1. Z menu NDAF wybierz kolejno opcje: Zarządzanie podsystemem NDAF > Zarządzanie przestrzeniami nazw/komórkami > Usuń przestrzeń nazw komórki.

2. Podaj w polu Nazwa serwera administracyjnego nazwę serwera administracyjnego zarządzającego domeną NDAF i naciśnij klawisz Enter.

3. Wpisz w polu Nazwa komórki nazwę usuwanej komórki i naciśnij klawisz Enter. Wyświetlone zostanie standardowe okno dialogowe programu SMIT, potwierdzające zniszczenie komórki.

Dodawanie serwera do przestrzeni nazw komórki

Komórka może wykorzystywać serwer danych do udostępniania odwołań do jej zestawów danych, dlatego przeprowadza autoryzację użytkowników uzyskujących dostęp do przestrzeni nazw komórki przez podłączenie katalogu głównego komórki z danego serwera za pomocą NFS.

Przy pomocy komendy dmf można umożliwić komórce wykorzystywanie serwera danych do udostępniania jej zestawów danych w następujący sposób:

dmf place cell nazwa_serwera [-r] [-a serwer_admin] [-c kontener]

gdzie:

nazwa_serwera

Określa nazwę serwera, na którym komórka będzie dostępna do podłączania przy użyciu NFS. -r Powoduje wypisanie identyfikatora uuid przypisanego do żądania.

-a serwer_admin

Określa nazwę DNS lub adres IP serwera administracyjnego. Port można dodać, korzystając z dwukropka. -c kontener

Określa nazwę komórki.

Aby przy użyciu programu SMIT umożliwić komórce wykorzystywanie serwera danych do udostępniania jej zestawów danych:

1. Z menu NDAF wybierz kolejno opcje: Zarządzanie podsystemem NDAF > Zarządzanie przestrzeniami nazw/komórkami > Dodaj serwer do przestrzeni nazw komórki.

2. Podaj w polu Nazwa serwera administracyjnego nazwę serwera administracyjnego zarządzającego domeną NDAF i naciśnij klawisz Enter.

3. Wpisz w polu Nazwa komórki nazwę komórki lub wybierz ją z listy po naciśnięciu klawisza F4, a następnie naciśnij klawisz Enter.

4. Wpisz w polu Nazwa serwera danych nazwę serwera danych lub wybierz ją z listy po naciśnięciu klawisza F4, a następnie naciśnij klawisz Enter.

Usuwanie serwera z przestrzeni nazw komórki

Można uniemożliwić komórce wykorzystywanie serwera danych do udostępniania jej zestawów danych.

Przy pomocy komendy dmf można uniemożliwić komórce wykorzystywanie serwera danych do udostępniania jej zestawów danych:

dmf unplace cell nazwa_serwera [-r] [-f] [-a serwer_admin] [-c kontener]

gdzie:

nazwa_serwera

Określa nazwę serwera, na którym komórka przestanie być dostępna do podłączania przy użyciu NFS. -r Powoduje wypisanie identyfikatora uuid przypisanego do żądania.

-f Powoduje wymuszenie działania bez oczekiwania na potwierdzenie. -a serwer_admin

Określa nazwę DNS lub adres IP serwera administracyjnego. Port można dodać, korzystając z dwukropka. -c kontener

Określa nazwę komórki.

Aby przy użyciu programu SMIT uniemożliwić komórce wykorzystywanie serwera danych do udostępniania jej zestawów danych:

1. Z menu NDAF wybierz kolejno opcje: Zarządzanie podsystemem NDAF > Zarządzanie przestrzeniami nazw/komórkami > Usuń serwer z przestrzeni nazw komórki.