AIX 6.1. AIX hálózatiadat-adminisztrációs szolgáltatás

AIX 6.1 AIX hálózatiadat-adminisztrációs szolgáltatás

AIX 6.1 AIX hálózatiadat-adminisztrációs szolgáltatás

Megjegyzés A kiadvány információi és a termék használata előtt olvassa el a Nyilatkozatok oldalszám: 59 rész információit. Ez a kiadvány az AIX 6.1 változatára, valamint az összes ezt követő kiadásra és módosításra vonatkozik mindaddig, amíg az új kiadások ezt másképp nem jelzik. Szerzői jog IBM Corporation 2006, 2014. Copyright IBM Corporation 2006, 2014.

Tartalom A kiadványról............ v Kiemelések............... v Kis- és nagybetűk megkülönböztetése az AIX rendszeren. v ISO 9000................ v AIX hálózatiadat-adminisztrációs szolgáltatás............. 1 Az AIX hálózatiadat-adminisztrációs szolgáltatás újdonságai............... 1 NDAF alapelvek............. 1 Fizikai fájlrendszer............ 1 NDAF tartomány............ 1 Adatkészlet.............. 2 Cella................ 2 Másolatok.............. 2 Adminisztrációs kliens........... 4 Adminisztrációs szerver.......... 4 Adatszerver.............. 4 Azonosító.............. 4 NDAF tartományok grafikus megjelenése..... 5 NDAF parancsok............. 5 dmf................ 5 dmadm............... 6 dms................ 6 dms_enable_fs............. 6 NDAF bevezetési modellek.......... 6 Adatközpontok............. 6 Nagy kiterjedésű hálózatok (WAN)....... 6 NDAF biztonság............. 7 NFS fájlhozzáférés biztonsága........ 7 Exportálás Kerberos-szal.......... 7 Szerepek............... 8 NDAF szerep-alapú hozzáférés-felügyelet támogatása. 9 NDAF telepítése és beállítása.......... 9 NDAF telepítése............. 9 NDAF frissítése............ 10 NFS 4. verzió beállítása.......... 10 Kerberos 5 beállítása........... 10 RPC port követelmények.......... 11 NDAF adatszerver beállítása......... 12 NDAF adminisztrációs szerver beállítása..... 13 NDAF adminisztrációs kliens beállítása..... 13 NDAF kezelése............. 13 Adminisztrációs szerverek létrehozása és kezelése az NDAF-hoz.............. 13 Adatszerverek létrehozása és kezelése...... 15 Cellák létrehozása és kezelése........ 18 Szerepek létrehozása és kezelése....... 22 Adatkészletek létrehozása és kezelése...... 26 Másolatok létrehozása és kezelése....... 33 Adatkészletek feltöltése.......... 43 Cella névtér összeállítása adatkészletekből.... 44 NDAF nélküli NFS szerverek egyesítése NDAF környezetbe.............. 44 NDAF naplófájlok elemzése......... 45 NDAF használati esetek és telepítési példák..... 46 Kerberos támogatással rendelkező NDAF tartomány beállítása.............. 46 NDAF esettanulmányok.......... 49 NDAF hibaelhárítása............ 54 NDAF ellenőrző............ 55 NDAF adatok biztonsági mentése....... 56 NDAF adatok helyreállítása......... 57 További NDAF parancs folyamatok....... 57 NDAF SMIT gyorselérések.......... 57 Nyilatkozatok............ 59 Adatvédelmi irányelvekkel kapcsolatos szempontok... 61 Védjegyek............... 61 Tárgymutató............ 63 Szerzői jog IBM 2006, 2014 iii

iv AIX 6.1: AIX hálózatiadat-adminisztrációs szolgáltatás

A kiadványról Ez a dokumentum fogalmi és eljárás információkat tartalmaz az AIX hálózatiadat-adminisztrációs szolgáltatás (NDAF) alrendszer beállításáról, adminisztrálásáról és kezeléséről rendszeradminisztrátorok számára. A kiadvány információkat tartalmaz a projektekről, a házirendekről és az adatösszesítésről is. Kiemelések A kiadvány az alábbi kiemeléseket használja: Félkövér Dőlt Egyenközű Parancsokat, szubrutinokat, kulcsszavakat, fájlokat szerkezeteket, könyvtárakat és a rendszer által előre meghatározott nevű egyéb elemeket jelöl. Ezenkívül a felhasználó számára kiválasztható grafikus objektumokat, például gombokat, címkéket és ikonokat jelzi. Azokat a paramétereket jelzi, amelyek nevét vagy értékét a felhasználónak kell megadnia. Speciális adatértékek példáit, megjelenített szövegekhez hasonló szövegek példáit, megírható programokhoz hasonló kódrészeket, rendszerüzeneteket és ténylegesen beírandó információkat jelöl. Kis- és nagybetűk megkülönböztetése az AIX rendszeren Az AIX operációs rendszer mindig megkülönbözteti a kis- és nagybetűket ami azt jelenti, hogy a kis- és nagybetűk különbözőnek számítanak. Az ls paranccsal például kilistázhatja a fájlokat. Ha viszont az LS parancsot írja be, akkor rendszer a parancs nem található választ adja. Ugyanígy a FILEA, FiLea és filea három különböző fájlnév még akkor is, ha ugyanabban a könyvtárban találhatók. A nem kívánt műveletek elkerülése érdekében mindig győződjön meg a kis- és nagybetűk helyes használatáról. ISO 9000 A termék fejlesztése és gyártása regisztrált ISO 9000 minőségbiztosítási tanúsítvánnyal rendelkező rendszereken történt. Szerzői jog IBM 2006, 2014 v

vi AIX 6.1: AIX hálózatiadat-adminisztrációs szolgáltatás

AIX hálózatiadat-adminisztrációs szolgáltatás Ez a fejezet a rendszeradminisztrátorok számára biztosít információkat az AIX hálózati adatok adminisztrációs szolgáltatása (NDAF) konfigurálásáról és kezeléséről. Az információk a struktúrára, telepítésre, biztonságra és hibaelhárításra vonatkoznak. A kiadvány elérhető az operációs rendszerrel együtt szállított dokumentációs CD-n is. Az AIX hálózatiadat-adminisztrációs szolgáltatás újdonságai Ebben a részben az AIX hálózatiadat-adminisztrációs szolgáltatás témaköreiben megjelent új vagy jelentősen módosított információkról olvashat. 2012. november A témagyűjteményben végzett módosítások összefoglalása: v A szerep-alapú hozzáférés-felügyeletre (RBAC) vonatkozó támogatási információk hozzáadása. További információkért lásd: NDAF szerep-alapú hozzáférés-felügyelet támogatása. Hogyan láthatók az újdongások vagy a módosítások? Ebben a PDF fájlban módosítást jelző sávok ( ) láthatók a bal margón az új és módosított információk mellett. NDAF alapelvek Az AIX hálózati adatok adminisztrációs szolgáltatása (NDAF) egy AIX megoldás a hálózati fájlrendszer adatok csoportjainak központosított létrehozására, elhelyezésére, többszörözésére, folyamatos kezelésére és névtér egyesítésére. Elsődleges célja a hálózati fájlrendszer 4. változatát (NFSv4) használó szerverek adatellátásának és a több szerverrendszert érintő, önálló NFSv4 szerverről exportált fájl névterek létrehozásának felgyorsítása. Az NDAF több összetevőből áll. Ezek tartalmazhatnak egy tartományt, ahol a hálózati szerverek találhatók, egy központi szervert, amely az adatszerverek gyűjteményét vezérli és a fájlrendszer objektumok könyvtárfáját kezelési célokból. Fizikai fájlrendszer Fizikai fájlrendszer (PFS) az a fájlrendszer, amely képes hozzáférni egy rendszer csatlakoztatott lemez tárolóihoz és amely az NFS szerverrel kiexportálható. NDAF tartomány Az NDAF tartomány egy vagy több adminisztrációs kliensből (azaz olyan rendszerből, amelyről az adminisztrátor a dmf parancson keresztül kezelheti az NDAF környezetet), egy vagy több AIX NDAF szolgáltatást támogató NFS szerverből, és esetleg egy vagy több, NDAF adminisztrációs szerver köré csoportosított NDAF szolgáltatást támogató NFS szerverből áll. Az NDAF tartomány összes rendszere ugyanazokat a felhasználói és csoport meghatározásokat osztja meg. Ha például az NDAF Kerberos biztonsággal van telepítve, akkor a tartomány összes rendszere ugyanannak a Kerberos tartománynak a tagja. Az NDAF tartománynak és az NFSv4 tartománynak ugyanannak a tartománynak kell lennie. Az NDAF tartományban az NDAF adminisztrációs szerver a folyamat információkat a rendszeradminisztrátorok által a parancssori felületen futtatott parancsokból kapja. Az NDAF adminisztrációs szerver kezdeményez minden NDAF műveletet a tartomány részét képező NFS adatszerver rendszereken. Szerzői jog IBM 2006, 2014 1

Adatkészlet Az NDAF kezelés alapegysége az adatkészlet. Az adatkészlet egy könyvtárfa. Az NDAF adatkészleteket hoz létre, kezeli ezek attribútumait, valamint felépíti az adatkészleteket és az általuk tárolt adatokat. Az adatkészletek olyan kezelhető adategységek, amelyek megoszthatók a hálózaton. A hálózati adatok többszörözésének és névtérbe helyezésének alapszintű kezelését biztosítják. Adatkészlet hivatkozásokkal vannak összekapcsolva, és fájl névteret alkotnak. Az NDAF több ezer adatkészletet és másolatot támogat a kezelt szervereken. Az adatkészletek csak olvasható másolatait több szerveren is létrehozhatja, szétoszthatja és karbantarthatja. Ha a másolatgyűjtemény elsődleges forrása módosításra kerül, akkor a dmf update replica paranccsal lehet a módosításokat továbbítani a többi másolathelyre. Az adatkészlet könyvtárakba másolt adatok NFS-sel kerülnek exportálásra, de addig nem láthatók az NFS tartományban lévő cellában (lásd a következő részt), amíg az adatkészletet fel nem építi a dmf mount dset paranccsal. Az adatkészletek fájlrendszer objektumai lehetnek fájlok, könyvtárak, hozzáférés felügyeleti listák (ACL-ek), hivatkozások és így tovább. Ha az adatkészletek létrehozásakor nem ad meg könyvtárat, akkor az adatkészletek helyét a dms démon indításakor megadott -ndaf_dataset_default paraméter, vagy ha ez nincs megadva, akkor az -ndaf_dir paraméter határozza meg. Egy adatkészlet csak olyan könyvtáron hozható létre, ami a dms_enable_fs által engedélyezett (adatkészlet létrehozáshoz) fájlrendszerhez tartozik. Cella Az adatkészletek más adatkészletekkel csoportosíthatók, és egyetlen fájl névtérbe szervezhetők. Az ilyen csoportosítást cellának nevezzük. A cella egy kezelési és névtér egység, amelyet egy adminisztrációs szerver hosztol. A cella adminisztrációs szerveren való meghatározása után több adatkészlet is létrehozható az adott szerveren a cella használatával. Az egyes cellák a hosztoló adminisztrációs szerveren függetlenek egymástól. A cellák saját névteret tartalmaznak, adatkészletekből állnak, és saját szerep-alapú biztonsági objektumokkal rendelkeznek. A szerepek olyan jogosultságok, amelyek a cellában található erőforrásokat kezelő felhasználói csoportokhoz vannak hozzárendelve. Az egyes cellákhoz kilenc különböző szerep adható meg. A cellát a dmf create cell name paranccsal való létrehozás után a rendszer automatikusan elhelyezi az adminisztrációs szerveren. A dmf place cell name paranccsal nem helyezhet el cellát az adminisztrációs szerveren. A cella elhelyezésekor a rendszer a cella gyökérkönyvtár információit - ami felépített dset-ekből és másolat hivatkozásokból áll - az adminisztrációs szerverről átviszi a cél adatszerverre. A cellák minden olyan szerverre elhelyezhetők, amelyek a cellákat hosztoló adminisztrációs szerveren meg vannak adva. Az NFSv4 kliensek a cella teljes névterének elérése érdekében felépítik a cella gyökérkönyvtárát. Az NFSv4 kliensek képesek megjeleníteni a cellák dmf mount paranccsal felépített objektumait bármely NDAF szerveren elhelyezett cella gyökerének NFS-sel felépítésével. Az NDAF maximum 64 cellát támogat minden olyan elhelyezett NDAF példányon (tartomány), amely adatszerveren vagy adatszervereken található cellákkal rendelkezik. A cella megsemmisítésekor a rendszer a cella adatkészleteit és másolatait is megsemmisíti. Másolatok Az adatkészletek csak olvasható másolatait több szerveren is biztonságosan létrehozhatja, szétoszthatja és karbantarthatja. Ezeket a csak olvasható adatkészleteket másolatoknak nevezzük. A másolatokat a rendszer ugyanúgy helyezi el a globális névtérben, mint az adatkészleteket. Az adatkészletek másolatáról több klónt is elhelyezhet különböző 2 AIX 6.1: AIX hálózatiadat-adminisztrációs szolgáltatás

szervereken, így ha a kliens nem éri el a másolatot az elsődleges szerveren, akkor automatikusan elérheti ugyanazokat a fájlokat egy másik szerveren. A másolatok csak akkor tükrözik az adatkészlet frissítéseit, ha a másolatokat frissíti a dmf update replica paranccsal. Ha a másolatok létrehozásakor nem ad meg könyvtárat, akkor az másolatok helyét a dms démon indításakor megadott -ndaf_replica_default paraméter, vagy ha ez nincs megadva, akkor az -ndaf_dir paraméter határozza meg. Másolatok csak a dms_enable_fs paranccsal dset létrehozáshoz engedélyezett fájlrendszeren hozhatók létre. Elsődleges másolat helye Az elsődleges másolat hely az a hely, ahol a másolat először létrehozásra került. A rendszer minden update művelet kérésnél ezt a helyet frissíti először. A többi másolat hely csak ezután, aszinkron módon kerül frissítésre. Az elsődleges másolat helyét egy másik másolat helyre módosíthatja a master művelet kéréssel. Az elsődleges másolatot addig nem lehet visszahelyezni, amíg egy másik másolat helyet ki nem jelöl elsődleges másolatnak. Másolat klónok A dmf place replica parancs a másolatokhoz klónt hoz létre a szerver megadott helyén. Ha a másolat fel van építve a cellában, akkor a rendszer ennek a klónnak a helyét hozzáadja ahhoz az NFS másolat listához, amelyet a másolatot elérő NFS klienseknek ad vissza. További információk: NFS többszörözés és globális névterek. A listában szereplő hivatkozások sorrendje a hálózati konfigurációtól függ. A másolatok klón helyeit a rendszer aszinkron módon frissíti a dmf update parancsok kiadásakor. A dmf place replica parancs paraméterként átveszi a szervert, és nem kötelezően a helyi elérési utat a szerveren. A másolatok klón helyeit el lehet távolítani a szerverről, ahogy az a következő példában is látható: dmf unplace replica sajat_szerver helyi_elérési_út -a sajat_admin -c sajat_cella -o sajat_másolat Ebben a példában a sajat_szerver annak a szervernek a neve, amelyen a klón található, a sajat_másolat pedig a másolat neve. A rendszer megszünteti a klón helyének exportálását, a tartalmát pedig megsemmisíti. A helyet a rendszer eltávolítja abból a fájlrendszer hely adatlistából is, amelyet az NSFv4 ad vissza ennél a másolatnál a cellában. A másolat többi helye ugyanaz marad. A dmf update replica parancs a klónokat a frissítendő eredeti másolatokkal együtt frissíti az eredeti forrás adatkészlet tartalmával. Másolatok frissítése Az elsődleges másolat a forrás adatkészlet csak olvasható másolata, a klónok pedig az elsődleges másolat másolatai. A forrás adatkészlet frissítésekor a másolatok addig nem kerülnek frissítésre, amíg a frissítést kifejezetten el nem végzi a dmf update replica parancs használatával. Az adatátvitelnek két metódusa van: copy metódus Adatátvitelt hajt végre teljes fájlfa másolással. A copy metódus megvalósítja az adatátviteli metódus bedolgozó felületet, az adatkészlet könyvtárfájának teljes bejárásával adatátvitelt hajt végre, és átviszi az összes objektumot és adatot a célhelyre. rsync metódus Adatátvitelt hajt végre rsync-szerű algoritmussal. Az rsync metódus az adatkészlet könyvtárfájának teljes bejárásával hajt végre adatátvitelt, és csak a könyvtárak változásait és az adatokat viszi át a célhelyre. Ez nagyon hasznos a másolatok frissítésekor, mivel csak módosított információblokkokat küld, így jelentősen csökkenti a hálózati terhelést. AIX hálózatiadat-adminisztrációs szolgáltatás 3

Adminisztrációs kliens Adminisztrációs kliensnek tekinthető a hálózat minden olyan rendszere, amelyre az ndaf.base.client fájlkészlet telepítve van, és amelyről a dmf parancs futtatható. Az NDAF adminisztrációs szerver a folyamat információkat a rendszergazdák által a parancssori felületen megadott parancsokból kapja. Az adminisztrációs kliens programneve a dmf parancs. Kapcsolódó fogalmak: dmf oldalszám: 5 A NDAF parancsokat az összes parancssori felület parancs előtagja dmf. Adminisztrációs szerver Az NDAF adminisztrációs szerver egy olyan adatszerver, amely dmadm és dms démonokat is futtat, és az NDAF adatszerverek adatgyűjtéseinek központi vezérlőjeként működik. Parancsokat fogad a rendszeradminisztrátoroktól, akik az adminisztrációs klienst (dmf parancs) használják. Az NDAF adminisztrációs szerver karbantartja a konfigurációs információk elsődleges adatbázisát, és parancsokat küld az adatszervereknek. Az adatszerveren már megtalálható NDAF-fel kezelt adatok akkor is elérhetők, ha az adminisztrációs szerver és az adatszerverek közötti kommunikáció megszakad. A hálózati kapcsolat helyreállítása után a rendszerek közötti tranzakciók végül befejezésre kerülnek. Az adminisztrációs szervert az összes többi NDAF komponens előtt kell beállítani. A szerver 64 bites AIX kernelt futtató 64 bites rendszert igényel. Az adminisztrációs szerver adatbázisait a rendszer a dmadm démon indításakor az -ndaf_dir paraméterben megadott könyvtár admin alkönyvtárában hozza létre. Az ndaf.base.admin fájlkészlet az adminisztrációs szerver rendszereken van telepítve. Adatszerver Az adatszerver egy olyan szerver, amely az NFS fájlszervert és annak társított fizikai fájlrendszerét (PFS) vezérlő dms démon folyamatot futtatja. Az NDAF által felügyelt adatok adatszervereken találhatók. A dms folyamat minden adatszerveren fut, és műveleteket végez az alapul szolgáló fájlrendszereken. Beállítja az alapértelmezett könyvtárakat, az időkorlát értékeket, a naplózási szintet, a használt biztonsági metódust, a Kerberos kulcscímke elérési útját, a Kerberos azonosítót és a kommunikációs portokat minden egyes adatszerveren. Csak az NDAF tartományban lévő adatszervereket lehet többszörözni. Az adatszerver adatbázisokat a rendszer a dms démon futtatásakor az -ndaf_dir paraméterben megadott könyvtár server alkönyvtárában hozza létre. Ezek a szerverek 64 bites AIX kernelt futtató 64 bites rendszert igényelnek. Az adminisztrációs szerver adatszerverként is működik. Mivel a dms démon folyamatokat futtatják, az adminisztrációs szerverek adatszerverek is. Az ndaf.base.server fájlkészlet az adatszerver rendszereken van telepítve. Azonosító Az azonosító egy hitelesített NDAF felhasználó, amelyet a Kerberos és az egyéb biztonsági metódusok védenek a biztonsági ellenőrzések közben. Az azonosítók határozzák meg, hogy az objektumokat hogyan és milyen műveletekkel lehet kezelni. 4 AIX 6.1: AIX hálózatiadat-adminisztrációs szolgáltatás

Csak a dmf create admin parancsot először futtató felhasználó, a DmPrincipal hozhat létre cellákat, szervereket és szerepeket. Az objektumok kezeléséhez további NDAF azonosítókat lehet hozzáadni a dmf add_to object DmPrincipal=login paranccsal. A DmPrincipal lista minden tagja az objektum tulajdonosának számít, és kezelheti az objektumot. Az NDAF azonosítók a dmf remove_from művelettel távolíthatók el. NDAF tartományok grafikus megjelenése Az NDAF tartomány működő objektumainak alapelvét grafikusan is meg lehet jeleníteni. Az alábbi ábra az NDAF különböző objektumainak szervezetét mutatja be: 1. ábra: Az NDAF tartomány NDAF parancsok Az NDAF négy elsődleges parancsot használ a műveletek végrehajtásához, a dmf, dms, dmadm és dms_enable_fs parancsot. Az egyéb NDAF parancsokról a következő helyen talál további információkat: További NDAF parancs folyamatok oldalszám: 57 és a dmf parancs. dmf A NDAF parancsokat az összes parancssori felület parancs előtagja dmf. Ezek a parancsok konzisztens szerkezetűek, és a következőképpen épülnek fel: a végrehajtható fájl tényleges neve (dmf), műveleti kérés, amelyet parancsszónak nevezünk (például create vagy delete), az objektum amelyen a műveletet el kell végezni (például egy szerver vagy egy cell), és az egyéb paraméterek (például nevek). A paraméterek pozíciófüggők. A dmf parancs 32 vagy 64 bites rendszereken futtatható. Kapcsolódó tájékoztatás: AIX hálózatiadat-adminisztrációs szolgáltatás 5

dmf parancs Átfogó információkat tartalmaz a dmf parancsról. dmadm A dmadm parancs működteti az NDAF-t az adminisztrációs szerveren. A dmadm és a dms parancs is egy szükséges szolgáltatás az adminisztrációs szerver Kerberos kulcscímkéjében. Az adminisztrációs szerver megfelelő működéséhez a dms folyamatokat a dmadm démonokkal együtt kell elindítani. Kapcsolódó tájékoztatás: dmadm parancs Átfogó információkat tartalmaz a dmadm parancsról. dms A dms parancs működteti az NDAF-t az adatszervereken. Az NDAF tartományban lévő adatszervereken a dms parancs állítja be az alapértelmezett könyvtárakat, az időkorlát értékeket, a naplózási szintet, a használt biztonsági metódust, a Kerberos kulcscímke elérési útját, a Kerberos azonosítót és a kommunikációs portokat. Kapcsolódó tájékoztatás: dms parancs Átfogó információkat tartalmaz a dms parancsról. dms_enable_fs A dms_enable_fs parancs engedélyezi, letiltja vagy lekérdezi a cellák, adatkészletek és másolatok létrehozásának képességét a fájlrendszereken. Kapcsolódó tájékoztatás: dms_enable_fs parancs Átfogó információkat tartalmaz a dms_enable_fs parancsról. NDAF bevezetési modellek Az NDAF olyan adatközpont vagy nagy kiterjedésű hálózat (WAN) környezetekben való bevezetésre van tervezve, ahol a szerverek távol vannak egymástól, vagy ahol a hálózatok nem megbízhatók. A két szempontot kombináló bevezetés is lehetséges. Minden bevezetésnek egyedi szempontjai vannak. Adatközpontok A gyors, megbízható hálózatok tipikus adatközpont környezetek. Az adatközpont konfigurációk általában magas szintű megbízhatóságot biztosítanak a rendszerek között és a rendszerek közötti adatfolyamoknál. A gyors, megbízható hálózatokban a nagy adatkészletekről több másolatot is karbantarthat. Az adatközpont környezetekben lévő hálózatok képesek gyakran vagy nagymértékben változó adatok másolatait kezelni. Az adatközpont környezet biztonságától függően az NDAF telepíthető Kerberos alapú hitelesítés nélkül vagy Kerberos alapú adatvédelmi szolgáltatásokkal is. Nagy kiterjedésű hálózatok (WAN) A nagy kiterjedésű hálózati (WAN) környezetekben a hálózati sávszélesség vagy a megbízhatóság korlátozza a rendszerek között ésszerűen többszörözhető adatok méretét. Az adatok módosításainak gyakorisága és mennyisége fontos szempont az adatok többszörözésének elhatározásakor, illetve a karbantartandó másolatok számának és az ütemezett másolat frissítésének gyakoriságának meghatározásakor. A szempontok figyelembevételével 6 AIX 6.1: AIX hálózatiadat-adminisztrációs szolgáltatás

kompromisszumos megoldást kell találni az adatok távoli helyekre helyezése és a jobb teljesítmény biztosítása valamint a hozzáférhetőség javítása érdekében az adatok felhasználási ponthoz közelebbi elhelyezése között. Az NDAF úgy van felépítve, hogy ha a kommunikáció megszakad az adminisztrációs szerver és az adatszerverek között, akkor az adatszerveren található NDAF-fel kezelt adatok továbbra is elérhetők maradnak. A rendszer képes arra is, hogy a kapcsolat helyreállítása után befejezze a tranzakciókat. Ennél az elhelyezési modellnél ajánlott Kerberos alapú biztonságot használni a megbízható hitelesítés és az adatvédelem hálózaton való biztosítása érdekében. NDAF biztonság Az NDAF rendszerek, beleértve az adminisztrációs pontot is, képesek Kerberos és nyitott hálózati számítás (ONC) távoli eljáráshívás (RPC) alapú, RPCSEC-GSS-sel rendelkező erős biztonságot használni a hitelesítéshez az egymással való kommunikáció során. Az RPCSEC_GSS egy olyan biztonsági metódus, amely alkalmazható ONC RPC-re is. Az RPCSEC-GSS egy olyan protokoll, amely az Általános biztonsági szolgáltatásokat (GSS) alkalmazza az RPC-re. NFS fájlhozzáférés biztonsága Az NFS kliensekhez való hozzáférés kezeléséhez az NFSv4 hozzáférés felügyeleti lista (ACL) metódusokat használ az adatkészleteket tartalmazó könyvtárakhoz fájlrendszer szinten és az egyes szerverek felépítési pontján (nfsroot). A fájlrendszer objektumok általában egy több hozzáférés felügyeleti bejegyzésből (ACE) álló ACL-hez vannak társítva (NFSv4 ACL-ek az AIX ACL-ekkel szemben). Minden ACE egy azonosságot és hozzá tartozó hozzáférési jogokat határoz meg. A hozzáférés felügyelet olyan védett információs erőforrásokból áll, amelyek megadják, hogy ki kaphat hozzáférést az erőforrásokhoz. Az operációs rendszer számos hasznos és tetszés szerinti biztonsági lehetőséget biztosít. Az információ erőforrás tulajdonosa olvasási vagy írási hozzáférési jogot adhat az erőforráshoz. A hozzáférési jogokat megkapó felhasználó ezeket a jogokat átruházhatja más felhasználókra. A biztonság lehetővé teszi, hogy a felhasználók felügyeljék az információfolyamokat a rendszerben. Az információs erőforrás tulajdonosa meghatározza az erőforrás hozzáférési engedélyeit. A felhasználók csak a saját objektumaikhoz rendelkeznek felhasználó alapú hozzáféréssel. A felhasználók általában csoport engedélyeket vagy alapértelmezett engedélyeket kapnak az erőforrásokhoz. A hozzáférés felügyelet adminisztrálásának fő feladata a felhasználók csoport tagságának meghatározása, mivel ezek a tagságok határozzák meg a felhasználók hozzáférési jogait az olyan fájlokhoz, amelyeknek nem tulajdonosai. Az NFSv4 ACL típus pontosan beállítható hozzáférést és egyéb szolgáltatásokat, például öröklést biztosít a hozzáférési jogokhoz. Az NFSv4 ACL-ek egy ACE tömbből állnak. Minden ACE egy azonosság hozzáférési jogait határozza meg. Az AIX rendszereken használja az aclget, acledit, aclput és aclconvert parancsokat az NFSv4 ACL-ek kezeléséhez. Az AIX NFSv4 ACL támogatásáról további információkat a Hozzáférés felügyeleti listák fejezetben talál a következő kiadványban: Biztonság. Exportálás Kerberos-szal Az adatszerverek alapértelmezésben NFSv4 hozzáféréshez exportálják a fájlrendszereket az összes engedélyezett biztonság típussal. Az alapértelmezett exportálási beállításokat az auth_sys biztonsági mechanizmus korlátozása vagy az 3. verziós NFS felépítések engedélyezése érdekében módosíthatja. Ehhez futtassa a chndaf parancsot a következő argumentumokkal: chndaf -nfs_args=<új nfs argumentumok> AIX hálózatiadat-adminisztrációs szolgáltatás 7

Az új nfs argumentumokat ugyanolyan formátumban kell megadni, mint az exportfs parancsban. Ha például a krb5p-re szeretné korlátozni az exportálásokat, akkor futtassa az chndaf -nfs_args=sec=krb5p parancsot. Ha megadja a vers= szakaszt, akkor meg kell adnia a 4. verzió beállítást (lásd alábbiakban). Ellenkező esetben az NDAF nem fog megfelelően működni. Ha nem adja meg a vers= szakaszt, akkor a rendszer a fájlrendszereket csak NFSv4 hozzáféréshez exportálja. Ha a 3. és 4. verzió számára szeretne exportálni, akkor futtassa a chndaf -nfs_args=vers=3:4 parancsot. További információk a Kerberos-ról és az RPCSEC-GSS biztonságról: Hálózat beállítása RPCSEC-GSS számára. Szerepek A szerepek olyan jogosultságok, amelyek a cellában található erőforrásokat kezelő NDAF azonosítókhoz vannak hozzárendelve. Az NDAF szerepek teljesen különálló szerepek az AIX adminisztrátori szerepektől. Az NDAF azonosítók megegyeznek a Kerberos azonosítókkal ha Kerberos hitelesítést használ, illetve megegyeznek a felhasználói nevekkel ha rendszeralapú hitelesítést használ (például auth_sys biztonsági mechanizmust). Először csak a DmPrincipal attribútum (a dmf create admin parancsot először futtató felhasználót jelzi) tud cellákat, szervereket és szerepeket létrehozni. Az objektumok kezeléséhez további NDAF azonosítókat lehet hozzáadni a dmf add_to object DmPrincipal=login paranccsal. A DmPrincipal lista minden tagja az objektum tulajdonosának számít, és kezelheti az objektumot. Az NDAF azonosítók a dmf remove_from művelettel távolíthatók el. A szerep létrehozása és felhasználóhoz rendelése a DmMember listában meghatároz egy parancskészletet, amelyet a szerep felhasználói megkapnak. Az alábbi képességek adhatók meg: Megjegyzés: Minden képesség beállítható 0 vagy 1 értékre. Minden képesség alapértelmezett beállítása az 1. DmCreateDs Ha nem nulla akkor azt jelzi, hogy ez a szerep engedélyezi az adatkészletek létrehozását a szerep számára a DmServer listában szereplő szervereken. A csillag (*) azt jelzi, hogy az adatkészletek létrehozása a lista minden szerverén engedélyezett. Ez egyben a másolatokra is vonatkozik, kivéve az olyan másolatokat, amelyeknél a felhasználónak a forrás adatkészlet többszörözéséhez is engedéllyel kell rendelkeznie. Ezt akkor lehet elvégezni, ha a felhasználó a forrás adatkészlet szempontjából DmPrincipal, vagy ha a felhasználó DmMember annak a szerepnek a szempontjából, amely az adatforrás DmOwningRole szerepének része, és a szerep DmDuplicateDs mezője 1 értékre van állítva. DmDestroyDs Ha nem nulla akkor azt jelzi, hogy ez a szerep engedélyezi az adatkészletek megsemmisítését, ha a szerep szerepel az adatkészlet DmOwningRole listájában. Ugyanez vonatkozik a másolatokra is. DmModifyDs Ha nem nulla akkor azt jelzi, hogy ez a szerep engedélyezi azoknak az adatkészleteknek vagy másolatoknak a módosítását, amelyek DmOwningRole listájában szerepel ez a szerep. A módosítás az alábbi parancsok használatát foglalja magában: v dmf set parancs használata adatkészletre vagy másolatra v dmf add_to és dmf remove_from parancs használata adatkészletre vagy másolatra v dmf place és dmf unplace parancs használata másolatra, ha a másolat olyan szerverre van elhelyezve (vagy olyan szerverről van eltávolítva), amely szerepel a szerep DmServer listájában 8 AIX 6.1: AIX hálózatiadat-adminisztrációs szolgáltatás

v dmf mount és dmf unmount parancs használata adatkészletre és másolatra, ha az közvetlenül van felépítve a cellában, vagy ha egy másik adatkészleten belül van felépítve, és ez az adatkészlet rendelkezik egy szereppel a DmOwningRole listájában ezzel a felhasználóval DmMember megjelöléssel, és a DmModifyDs attribútum 1 értékre van állítva DmDuplicateDs Ha nem nulla akkor azt jelzi, hogy ez a szerep engedélyezi azoknak az adatkészleteknek a többszörözését, amelyek DmOwningRole listájában szerepel ez a szerep. DmCreateRole Ha nem nulla akkor azt jelzi, hogy ez a szerep engedélyezi a szerepek létrehozását. DmDestroyRole Ha nem nulla akkor azt jelzi, hogy ez a szerep engedélyezi azoknak a szerepeknek a megsemmisítését, amelyek DmOwningRole listájában szerepel ez a szerep. DmModifyRole Ha nem nulla akkor azt jelzi, hogy ez a szerep engedélyezi azoknak a szerepeknek a módosítását (dmf set, dmf add_to és dmf remove_from) amelyek DmOwningRole listájában szerepel ez a szerep. A szerepeket a Rendszergazdai kezelőfelülettel (SMIT) is meg lehet határozni. A szerepek létrehozásáról a következő helyen talál további információkat: Szerepek létrehozása és kezelése oldalszám: 22. A szerepek a dmf create role paranccsal való létrehozás után alapértelmezésben minden szerverre vonatkoznak (egy [*] jelzi a DmServer listában). Alkalmazható kijelölt szerverekre, így az adatkészletek és másolatok létrehozhatók és elhelyezhetők a dmf add_to role DmServer=name paranccsal, majd eltávolíthatók a dmf remove_from role Dmserver=* paranccsal. Egy szerepet lehet egyetlen adatkészletre vagy másolatra is alkalmazni, ha a dmf add_to DmOwningRole parancsot futtatja az adott adatkészletre vagy másolatra. NDAF szerep-alapú hozzáférés-felügyelet támogatása Az NDAF támogatja a szerep-alapú hozzáférés-felügyeletet (RBAC). Az NDAF kliens- és szerverparancsok fel vannak készítve az RBAC használatára. A nem-root felhasználó akkor futtathatja az NDAF parancsokat, ha az adminisztrátor hozzárendeli a felhasználóhoz a parancs RBAC szerepét. NDAF telepítése és beállítása Az NDAF szolgáltatást telepítheti és beállíthatja. NDAF telepítése Az ndaf.base fájlkészlet telepítéséhez használja a SMIT-et (smitty install_all gyorselérés) vagy az installp parancsot. A szükség van a Kerberos 5 biztonságra, akkor telepítse a krb5.client fájlkészletet. Az NDAF telepítéséhez a rendszerre a következő operációs rendszert kell telepíteni: IBM 5300-05 technikai szintű AIX 5L 5.3 változat vagy ennél újabb. A rendszernek 64 bites kernelt kell használnia. Egy adott rendszer a három szerepből egyet tud elvállalni az NDAF tartományban. A szerepektől függően az ndaf.base fájlkészlet különböző részeit kell telepíteni. A szerepek az alábbiak: Adminisztrációs szerver Erre a rendszerre az ndaf.base.admin és az ndaf.base.server fájlkészletet kell telepíteni. Egy szervercsoporthoz csak egy adminisztrációs szerver tartozik. Adatszerverek Ezekre a rendszerekre az ndaf.base.server fájlkészletet kell telepíteni. Adminisztrációs kliensek Ezekre a rendszerekre csak az ndaf.base.client fájlkészletet kell telepíteni. AIX hálózatiadat-adminisztrációs szolgáltatás 9

A parancsról és a jelzőkről a következő részben talál további információkat: installp parancs az AIX 6.1 változat - Parancsok leírása című kiadványban. Megjegyzés: Az NDAF démonok alapértelmezésben nem indulnak el a csomag telepítése után, és a következő rendszerbetöltéskor való automatikus elindulásra sincsenek beállítva. A démonok elindításához a következő részekben talál utasításokat: NDAF adatszerver beállítása oldalszám: 12 és NDAF adminisztrációs szerver beállítása oldalszám: 13. NDAF frissítése Az NDAF keretrendszer egy részének frissítése egy új NDAF változatra általában nincs hatással a globális rendszerre. Annak ellenére, hogy a frissítésnek nincs hatása a globális rendszerre, az NDAF úgy van tervezve, hogy felismerje, ha a keretrendszer két eleme között kompatibilitási problémák merülnek fel (dmf és dmadm között, dmadm és dms között vagy két különböző dms elem között). Ha például egy szervert frissít, és ha a kommunikációs protokoll megváltozott összehasonlítva az NDAF tartományhoz tartozó többi adatszerverrel, akkor az admin meg fogja tiltani az adatátvitelt azon szerverek között, amíg azok frissítve lesznek a megfelelő változatra. Ebben a példában hibaüzeneteket és kéréseket fog kapni vagy a dmf, vagy a dmadm vagy a dms rendszerek frissítésére. Egy adatszerver frissítésekor a rendszer az admin frissítését is kérheti. Ugyanígy az admin frissítése a dmf kliensek javasolt frissítéséhez is vezethet. Adatszerver protokoll-módosítást tartalmazó rendszerfrissítés során az adatok elérhetők maradnak, azonban az adatátvitel a nem kompatibilis szerverek között tiltott lesz. Másolat-létrehozási, elhelyezési, frissítési, cella-elhelyezési és felépítési-lebontási műveletek ezért visszautasításra kerülnek azon adatszerverek között. NFS 4. verzió beállítása Az NDAF szervereket NFSv4 szerverekként kell beállítani. Az NDAF szerver NFSv4 szerverként való beállításához végezze el az alábbi lépéseket: 1. Állítsa be az NFSv4 tartománynevet a chnfsdom paranccsal. 2. Indítsa el az nfsrgyd démont a következő paranccsal: startsrc -s nfsrgyd 3. Győződjön meg róla, hogy az nfsd és az rpc.mountd automatikusan elindul a rendszerbetöltéskor. Ezt a legegyszerűbben úgy teheti meg, hogy a touch parancsot futtatja az /etc/exports fájlra. 4. Az álnévkezelés engedélyezéséhez hozzon létre vagy válasszon egy könyvtárat a szerveren, és állítsa be NFSv4 gyökérhelynek a chnfs r paranccsal. Írja be például a chnfs -r /ndaf parancsot (ahol az /ndaf egy könyvtár a szerveren). Az NDAF az exname exportfs beállítással hoz létre álnévkezelést használó globális névteret. Az álnév és nem álnév exportokat nem lehet keverni, így ha az NDAF szerver már egy NFS gyökér nélküli NFS szerver, akkor az adminisztrátor nem tudja beállítani a gyökeret, és az NDAF nem fog megfelelően működni. A gyökér beállítása előtt az összes exportálást vissza kell exportálni, és a későbbi exportálásokat álnévvel kell ellátni ahhoz, hogy megjelenjenek az NFS gyökérben. További információk: /etc/exports az AIX 6.1 változat - Fájlok leírása című kiadványban. 5. Engedélyezze az NFSv4 szerver másolatokat, álnévkezelést és hivatkozásokat a chnfs -R on paranccsal. Eredmény: az NFSv4 be van állítva. Kerberos 5 beállítása Az NDAF adminisztrációs szervert és az összes NDAF adatszervert és adminisztrációs klienst be kell állítani Kerberos kliensként való használatra. Megjegyzés: A Kerberos 5 beállításának teljes leírása meghaladja ennek a témakörnek a kereteit. Ez a témakör csak az NDAF termékhez szükséges Kerberos azonosítókat mutatja be. Ha részletes információkra van szüksége a Kerberos 10 AIX 6.1: AIX hálózatiadat-adminisztrációs szolgáltatás

beállításáról, akkor nézze meg az IBM Hálózati hitelesítési szolgáltatás 1.4 változat adminisztrátori és felhasználói kézikönyv kiadványt, amelyet a telepítő a következő könyvtárba telepített: HTML PDF /usr/lpp/krb5/doc/html/nyelv/admingd /usr/lpp/krb5/doc/pdf/nyelv/admingd A fájlok eléréséhez telepíteni kell a krb5.doc fájlt. Az NDAF adminisztrációs szervert valamint NDAF adatszervereket és adminisztrációs klienseket a config.krb5 vagy az mkkrb5clnt paranccsal állíthatja be Kerberos kliensként való használatra. (Attól függ hogy melyik parancsot kell használni, hogy a Kerberost hogyan használja a rendszeren.) Ha ingtegrált bejelentkezést szeretne használni, akkor az mkkrb5clnt paranccsal kezelheti az integrált bejelentkezés konfigurációját. A Kerberos adminisztrátornak minden egyes adatszerverhez és adminisztrációs szerverhez Kerberos szolgáltatás azonosítót kell létrehoznia. Az alábbi azonosítókra van szükség: Adminisztrációs kliensek Minden adminisztrációs kliensnek rendelkeznie kell egy dmf/teljes képzésű tartománynév formátumú szolgáltatás azonosítóval. Adatszerverek Minden adatszervernek rendelkeznie kell egy dms/teljes képzésű tartománynév formátumú szolgáltatás azonosítóval. Adminisztrációs szerver Az adminisztrációs szervernek mindkét alábbi formátumban rendelkeznie kell egy szolgáltatás azonosítóval: v dmadm/teljes képzésű tartománynév v dms/teljes képzésű tartománynév Kerberos számára exportáló NFS és adatszerverek Minden Kerberos számára exportáló NFS vagy adatszervernek rendelkeznie kell egy nfs/teljes képzésű tartománynév formátumú szolgáltatás azonosítóval. Az adminisztrátor a Kerberos adminisztráció (kadmin) parancs (/usr/sbin/krb5/kadmin)alatti add_principal paranccsal hozhatja létre ezeket a Kerberos szolgáltatás azonosítókat. Az adminisztrátor ezután hozzáadhatja a szerver szolgáltatás azonosítóit a szerver kulcscímke fájljához a ktutil parancs segítségével. Például: ktutil: addent -password -p dms/test.austin.ibm.com -k 1 -e des ktutil: wkt /etc/krb5/krb5.keytab A parancsban a verziószámot (kvno) (-k) és a titkosítás típusát megfelelően be kell állítani. Ha Kerberos 5 biztonságot használ, akkor az összes NDAF adminisztrátornak Kerberos 5 felhasználónak kell lennie. RPC port követelmények A megfelelő kommunikáció érdekében minden szervernek ismernie kell azokat a portokat, amelyeken a többi szerver várja és küldi az adatokat. A küldő és fogadó portoknak a kommunikáló szervereknél azonos értékkel kell rendelkezniük. Például: v Az adatszerver egy másik szerver SSP portjára csatlakozik, a másik adatszerver pedig az SSP-t figyeli (az alapértelmezett port 28003-as). v Az adatszerver az adminisztrációs szerver ACP-jére csatlakozik, az adminisztrációs szerver pedig az ACP-t figyeli (az alapértelmezett port a 28002-es). v Az adminisztrációs szerver az adatszerver SP portjára csatlakozik, az adatszerver pedig az SP-t figyeli (az alapértelmezett port a 28001-es). v A kliens az adminisztrációs szerver AP-jére csatlakozik, az adminisztrációs szerver pedig az AC-t figyeli (az alapértelmezett port a 28000-es). AIX hálózatiadat-adminisztrációs szolgáltatás 11

Megjegyzés: Ha egy szervert nem alapértelmezett portokkal indít el, akkor győződjön meg róla, hogy a többi szerver is ugyanezeket a nem alapértelmezett port értékeket használja. NDAF adatszerver beállítása Az NDAF adatszerverek elsődleges beállítása magában foglalja a dms démon elindítását. A műveletet a Rendszergazdai kezelőfelület (SMIT) menüjeivel (ndafdatastart gyorselérés) vagy közvetlenül az mkndaf és chndaf parancsok használatával végezheti el. Mindkét módszer frissíti az /etc/rc.ndaf indítási fájlt az egyszerű (vagy ha szükséges automatikus) újraindításhoz a rendszerbetöltéskor. A globális névtér létrehozásához használt álnevek miatt az NFS kliens nézete különbözik az NDAF adatszerver helyi nézetétől. NDAF adatszerver gyökerét felépítő NFSv4 kliens nézete: /mount_point/cell_name/dset_mount_name Az adatszerver adatkészlet adatainak tényleges elérési útja (ha nem került megadásra az adatkészlet létrehozásakor): /ndaf_dataset_default/dset/ndaf_assigned_dir_name Vagy ha az ndaf_dataset_default nem volt megadva a démon indulásakor: /ndaf_dir/dset/ndaf_assigned_dir_name Ugyanígy az adatszerver másolat adatainak elérési útja (ha nem került megadásra az adatkészlet létrehozásakor): /ndaf_replica_default/ndaf_assigned_dir_name Vagy ha az ndaf_replica_default nem volt megadva a démon indulásakor: /ndaf_dir/replica/ndaf_assigned_dir_name Az NDAF adatszerveren való elindításakor három kulcs szempontot kell figyelembe venni: Alapértelmezésben hol legyenek az adatkészletek és a másolatok: Ha a létrehozáskor nem adja meg az adatkészlet vagy a másolat helyét, akkor az adatkészlet vagy a másolat az ndaf_default_dset_dir, ndaf_default_replica_dir vagy ndaf_dir paraméterek által a dms démon indításakor megadott könyvtárba kerül. A könyvtáraknak olyan fájlrendszerben kell lenniük, amelyekre engedélyezte az adatkészleteket a dms_enable_fs paranccsal, és a könyvtárnak elég nagynak kell lennie az adatkészletek és másolatok várható méretének fogadásához. Az adatkészletek és másolatok tárolására ajánlott külön kijelölt fájlrendszert használni. Megjegyzés: A /, /tmp és /proc fájlrendszereken nem lehet engedélyezni az adatkészleteket. Hol legyenek az NDAF napló és állapotadatok: A könyvtárban egy log és egy server alkönyvtár lesz, amelyek az NDAF adatszerver működéséhez szükséges létfontosságú adatokat tárolják. Ezeknek az alkönyvtáraknak nem kell adatkészleteket kezelő fájlrendszerben lenniük. A server alkönyvtár adatairól az adatkészlet adataival együtt kell biztonsági mentést készíteni adathelyreállítási célokból. A használt biztonság típusa: Az auth_sys biztonság típus által biztosított biztonsági szint csak megbízható adatközpontokon belül megfelelő. Ha nagyobb biztonságra van szükség, akkor Kerberost kell használni. A Kerberos biztonságnak három szintje van: krb5 krb5i krb5p Hitelesítést hajt végre, és ellenőrzi, hogy az üzentet tényleg a megjelölt feladó küldte-e,. Ellenőrző összeg műveletek végrehajtásával ellenőrzi az adatok integritását. Az integritás azt jelzi, hogy az üzenet nem került módosításra (valamint hitelesítést biztosít). Titkosítja az adatokat. A bizalmasság megakadályozza, hogy a címzetten kívül más is elolvassa az üzenetet (ezenkívül hitelesítést és integritást biztosít). 12 AIX 6.1: AIX hálózatiadat-adminisztrációs szolgáltatás