Ir al contenido España-Español
HP.com España principal Productos y Servicios Soporte y Drivers Soluciones Cómo Comprar
» Contactar con HP
Más opciones
HP.com España principal
 Administración de sistemas y grupos de trabajo: Guía para los administradores de sistemas HP-UX > Capítulo 8 Administración de un sistema: manejo de la seguridad del sistema

Configuración de clústeres NFS sin disco en sistemas de confianza
» 

Documentación técnica

Libro completo en PDF
» Comentarios
Aquí empieza el contenido

 » Tabla de contenido

 » Índice

spacerspacerspacer
spacer
spacer
  		 
 
NOTA: NFS sin disco no se admite en HP-UX 10.30 ni revisiones posteriores.

Los clústeres NFS sin disco de los sistemas de confianza se presentan en dos configuraciones básicas:

  1. Cada miembro del clúster tiene su propia base de datos particular de contraseñas o

  2. Todo el clúster comparte una sola base de datos de contraseñas.

La opción de configuración se toma al agregar el primer cliente al clúster.

Opción 1: clústeres con bases de datos particulares de contraseñas

En esta configuración, cada miembro del clúster se comporta como si fuera un sistema autónomo. Cada miembro del clúster puede ser de confianza o no, al margen del estado de los demás miembros del clúster. Toda tarea de administración relacionada con la seguridad debe realizarse en el miembro del clúster donde sean pertinentes los cambios. Si se pretende efectuar un cambio relacionado con la administración de seguridad en cada miembro del clúster, el cambio debe repetirse manualmente en cada uno de ellos.

Se pueden seguir dos métodos para crear un clúster de confianza. En el primer caso, se parte de un clúster existente de sistemas que no son de confianza y se pretende que el clúster adquiera un estado de confianza. En el segundo caso, se parte de un sistema autónomo existente que es de confianza y se pretende convertirlo en un clúster.

Conversión de un clúster que no es de confianza en un clúster de confianza

Cada nodo del clúster debe convertirse individualmente. El procedimiento debe llevarse a cabo en el nodo específico que haya de convertirse. Puede realizar la conversión con el SAM. Para utilizar el SAM, seleccione Auditing and Security en el menú de nivel superior y, a continuación, seleccione cualquier opción en el menú de segundo nivel. Acto seguido, el sistema le preguntará si desea convertir el sistema para que adquiera un estado de confianza. Conteste que sí (yes).

Conversión de un sistema autónomo de confianza en un clúster de confianza

Para crear el clúster, utilice la zona Cluster Configuration del SAM. Al agregar el primer cliente, especifique “private” para la política de definición de contraseñas. El SAM agregará el cliente como un sistema que no es de confianza. A continuación, puede iniciar el cliente y convertirlo para que adquiera un estado de confianza por medio del mismo procedimiento que en el caso anterior.

Opción 2: clústeres con bases de datos compartidas de contraseñas

En esta configuración, las características de seguridad del usuario (como las contraseñas, el horario restringido de inicio de sesión y los parámetros de caducidad de las contraseñas) se comparten en todo el clúster. Las restricciones relacionadas con los terminales son particulares para cada miembro del clúster. Los sistemas de los que conste un clúster con bases de datos compartidas de contraseñas deben ser todos de confianza o todos de no confianza. En otras palabras, no se permite mezclarlos. La administración de las características de seguridad de usuario se puede acometer desde cualquier nodo del clúster. Después de realizar un cambio administrativo en un nodo, el cambio se verá en todos los nodos del clúster. La administración de las restricciones de los terminales debe realizarse en el nodo del clúster donde se desee efectuar el cambio.

Como en el caso de una base de datos particular de contraseñas, existen dos métodos para crear un clúster de confianza.

En los pasos presentados más adelante, se definen los siguientes nombres para el ejemplo:

CL_NAME 

El nombre del cliente que se agrega.

CL_NAME.FULLY.QUALIFIED 

El nombre completo del cliente.

SV_NAME 

El nombre del servidor.

SV_NAME.FULLY.QUALIFIED 

El nombre completo del servidor.

Conversión de un clúster que no es de confianza en un clúster de confianza

Durante el proceso de conversión, todos los clientes deben estar desconectados y cerrados. Todos los pasos se dan en el servidor, excepto el inicio de los clientes al final del proceso.

  1. Cree directorios nuevos en cada cliente ejecutando la siguiente secuencia de comandos:

    mkdir /export/private_roots/CL_NAME/.secure
    chgrp sys /export/private_roots/CL_NAME/.secure
    chmod 500 /export/private_roots/CL_NAME/.secure
    mkdir /export/private_roots/CL_NAME/.secure/etc
    chgrp sys /export/private_roots/CL_NAME/.secure/etc
    chmod 500 /export/private_roots/CL_NAME/.secure/etc
    mkdir /export/private_roots/CL_NAME/tcb
    chgrp sys /export/private_roots/CL_NAME/tcb
    chmod 555 /export/private_roots/CL_NAME/tcb
    mkdir /export/private_roots/CL_NAME/tcb/files
    chgrp sys /export/private_roots/CL_NAME/tcb/files
    chmod 771 /export/private_roots/CL_NAME/tcb/files
    mkdir /export/private_roots/CL_NAME/tcb/files/auth
    chgrp sys /export/private_roots/CL_NAME/tcb/files/auth
    chmod 771 /export/private_roots/CL_NAME/tcb/files/auth
    cp /usr/newconfig/tcb/files/ttys \
        /export/private_roots CL_NAME/tcb/files/ttys
    chgrp sys /export/private_roots/CL_NAME/tcb/files/ttys
    chmod 664 /export/private_roots/CL_NAME/tcb/files/ttys
    cp /usr/newconfig/tcb/files/devassign \
        /export/private_roots/CL_NAME/tcb/files/devassign
    chgrp root /export/private_roots/CL_NAME/tcb/files/devassign
    chmod 664 /export/private_roots/CL_NAME/tcb/files/devassign

  2. Modifique el archivo fstab de cada cliente con nombre:

    /export/private_roots/CL_NAME/etc/fstab

  3. Agregue la siguiente línea:

    SV_NAME.FULLY.QUALIFIED:/tcb/files/auth /tcb/files/auth nfs rw,hard 0 0

  4. Ejecute el SAM en el servidor y convierta el sistema en un sistema de confianza.

  5. Agregue la siguiente línea en el archivo /etc/exports del servidor:

    /tcb/files/auth -root=CL_NAME.FULLY.QUALIFIED

    Si hay más de un cliente, modifique la línea como sigue:

    /tcb/files/auth -root=CL_NAME1.FULLY.QUALIFIED:...:CL_NAMEn.FULLY.QUALIFIED

  6. Después de modificar el sistema de archivos /etc/exports, ejecute el siguiente comando:

    exportfs -a

  7. Los clientes ya se pueden reiniciar.

Conversión de un sistema autónomo de confianza en un clúster de confianza

Las instrucciones facilitadas a continuación deben seguirse para cada cliente que se agregue al clúster. Todas las instrucciones, excepto el inicio del cliente, deben ponerse en práctica en el servidor de clúster. Asimismo, en estas instrucciones se da por sentado que el sistema autónomo ya se ha convertido en un sistema de confianza.

  1. Utilice la zona Cluster Configuration del SAM para agregar un cliente. Si éste es el primer cliente que ha de agregarse, indique “shared” para la política de definición de contraseñas antes de agregar el cliente. No inicie el cliente hasta que así se le indique al final de estas instrucciones.

  2. Agregue la siguiente línea en el archivo /etc/exports del servidor:

    /tcb/files/auth -root=CL_NAME.FULLY.QUALIFIED

    Si agrega un segundo cliente, u otro posterior, modifique la línea existente para agregar el cliente nuevo.

    /tcb/files/auth -root=CL_NAME1.FULLY.QUALIFIED:CL_NAME2.FULLY.QUALIFIED

  3. Después de modificar el sistema de archivos exports, ejecute el siguiente comando:

    exportfs -a

  4. Agregue la siguiente línea en el archivo fstab del cliente. El nombre de ruta de este archivo en el servidor es: /export/private_roots/CL_NAME/etc/fstab.

    SV_NAME.FULLY.QUALIFIED:/tcb/files/auth /tcb/files/auth nfs rw,hard 0 0

  5. Ejecute la siguiente secuencia de comandos:

    mkdir /export/private_roots/CL_NAME/.secure
    chgrp sys /export/private_roots/CL_NAME/.secure
    chmod 500 /export/private_roots/CL_NAME/.secure
    mkdir /export/private_roots/CL_NAME/.secure/etc
    chgrp sys /export/private_roots/CL_NAME/.secure/etc
    chmod 500 /export/private_roots/CL_NAME/.secure/etc
    mkdir /export/private_roots/CL_NAME/tcb
    chgrp sys /export/private_roots/CL_NAME/tcb
    chmod 555 /export/private_roots/CL_NAME/tcb
    mkdir /export/private_roots/CL_NAME/tcb/files
    chgrp sys /export/private_roots/CL_NAME/tcb/files
    chmod 771 /export/private_roots/CL_NAME/tcb/files
    mkdir /export/private_roots/CL_NAME/tcb/files/auth
    chgrp sys /export/private_roots/CL_NAME/tcb/files/auth
    chmod 771 /export/private_roots/CL_NAME/tcb/files/auth
    cp /usr/newconfig/tcb/files/ttys \
        /export/private_roots/CL_NAME/tcb/files/ttys
    chgrp sys /export/private_roots/CL_NAME/tcb/files/ttys
    chmod 664 /export/private_roots/CL_NAME/tcb/files/ttys
    cp /usr/newconfig/tcb/files/devassign \
        /export/private_roots/CL_NAME/tcb/files/devassign
    chgrp root /export/private_roots/CL_NAME/tcb/files/devassign
    chmod 664 /export/private_roots/CL_NAME/tcb/files/devassign

  6. Ya puede iniciar el cliente.



Administración de las contraseñas y del acceso en un sistema de confianza
  		 


HP-UX Bastille  
Versión para imprimir
Declaración de privacidad El uso de este sitio implica la aceptación de sus términos de uso
© 1997-2006 Hewlett-Packard Development Company, L.P.