Управление кластером

Администрирование пользователей

В кластере HACMP необходимо постоянно осуществлять синхронизацию идентификаторов и паролей пользователей. Если идентификаторы пользователя и группы неодинаковы на всех узлах кластера, приложение не сможет работать и пользователи не смогут получить доступ к своим файлам в общем хранилище. Кроме того, мы рекомендуем также выполнять синхронизацию паролей; тогда в случае перемещения при сбое пользователи смогут без труда войти в систему, не тратя время на то, чтобы определить, какие у них пароли на резервном узле.

При синхронизации пользователей и паролей следует учитывать следующее:

• Использование C-SPOC: HACMP содержит набор утилит в C-SPOC, обеспечивающих простоту администрирования пользователей. В разделе "Администрированиепользователей и групп через C-SPOC" описывается функция управления пользователями и группами через C-SPOC.
• Network Information Server (NIS). В настоящее время используется реже, чем несколько лет назад; представляет мощное решение для централизованного управления пользователями. Конфигурирование NIS в HACMP очень хорошо описано в руководстве HACMP/ES Customization Examples, SG24-4498.
• LDAP. Наилучшее решение для управления большим количеством пользователей в сложной среде. LDAP можно легко настроить на совместную работу с HACMP. Дополнительные сведения о LDAP см. в руководстве Understanding LDAP-Design and Implementation, SG24-4986.

Администрирование пользователей и групп через CSPOC

HACMP содержит инструменты C-SPOC, обеспечивающих простоту администрирования пользователей, групп и паролей. В них реализованы следующие функции:

• добавление пользователя;
• вывод списка пользователей;
• изменение атрибутов пользователя;
• удаление пользователя;
• изменение пароля;
• добавление, вывод списка, изменение и удаление групп.

Добавление пользователя

Чтобы добавить пользователя на всех узлах в кластере:

1. Запустите SMIT: smit.
   • Выберите Communications Applications and Services (Коммуникационные приложения и службы).
   • Выберите HACMP for AIX (HACMP для AIX).
   • Выберите System Management (C-SPOC).
   • Выберите HACMP Security and Users Management (Безопасность и управле ние пользователями HACMP). По-другому инструмент HACMP Security and Users Management (Безопасность и управление пользователями HACMP) можно запустить путем ввода быстрого пути smit cl_usergroup.
2. Выберите Users in a HACMP Cluster (Пользователи в кластере HACMP).
3. Выберите Add a User to the Cluster (Добавление пользователя в кластер).
4. Выберите узлы, на которых требуется создать пользователей. Если оставить поле Select Nodes by Resource Group (Выбрать узлы по группе ресурсов) пустым, пользователь будет создан на всех узлах. Если выбрать группу ресурсов, пользователь будет создан только в подмножестве узлов, относящемся к этой группе ресурсов. В случае кластера из двух узлов следует оставить это поле пустым. Если кластер содержит более двух узлов, можно создать пользователей в подмножестве узлов или на всех узлах. В нашем примере кластера из четырех узлов, описанного в "Сценарий: добавление двух узлов в кластер" , "Конфигурация из четырех узлов", имеется две группы ресурсов, привязанных только к узлам node1 и node2 (rg1 и rg2). Если вы хотите создать пользователя только на этих двух узлах (например, чтобы они могли применять приложение на узлах node1 и node2, но не могли выполнить вход в систему на узлах node3 и node4), то следует выбрать соответствующую группу ресурсов. Табл. 8.1 представляет таблицу перекрестных ссылок между пользователями, группами ресурсов и узлами. Она показывает, что в нашем примере пользователь app1adm будет создан на всех узлах [поле Select Nodes by Resource Group (Выбрать узлы по группе ресурсов) оставлено пустым], тогда как пользователи "karesz" и "galamb" будут созданы только на узлах node1 и node2 [следует выбрать "rg2" в поле Select Nodes by Resource Group (Выбрать узлы по группе ресурсов)] (рис. 8.7).

   Таблица 8.1. Таблица перекрестных ссылок пользователей, групп ресурсов и узлов

   Группа ресурсов	Узлы	Пользователи
   rg1	node1, node2	db2adm, db2inst, db2user
   rg2	node2, node1	galamb, karesz
   rg3	node3, node4	matyi, adrien
   rg4	node4, node3, node2, node1	app1adm, app1user

   

   
   Рис. 8.7. Выбор узлов по группе ресурсов
5. Создайте пользователя. Следует ввести имя пользователя и прочую релевантную информацию, требуемую при создании обычного пользователя. Здесь можно задать идентификатор пользователя, после чего C-SPOC проверит доступность заданного идентификатора на всех узлах. Если поле User ID оставить пустым, создаваемому пользователю на всех будет назначен произвольный доступный идентификатор (рис. 8.8).

Рис. 8.8. Создание пользователя на всех узлах кластера

Вывод списка пользователей кластера

Для вывода списка пользователей кластера проделайте следующее:

1. Запустите HACMP Security and User Management (Безопасность и управление пользователями HACMP) путем ввода команды smit cl_usergroup.
2. Выберите Users in a HACMP Cluster (Пользователи в кластере HACMP).
3. Выберите List Users in the Cluster (Вывести список пользователей в кластере).
4. Выберите узлы, для которых требуется вывести список пользователей. Если оставить поле Select Nodes by Resource Group (Выбрать узлы по группе ресурсов) пустым, будет выведен список пользователей со всех узлов. Если выбрать группу ресурсов, C-SPOC выведет только пользователей с узлов, относящихся к заданной группе ресурсов.
5. Нажмите Enter (рис. 8.9).

Рис. 8.9. Вывод списка пользователей в кластере

Изменение атрибутов пользователей

Для изменения атрибутов пользователей в кластере проделайте следующее:

1. Запустите HACMP Security and User Management (Безопасность и управление пользователями HACMP) путем ввода команды smit cl_usergroup.
2. Выберите Users in a HACMP Cluster (Пользователи в кластере HACMP).
3. Выберите Change/Show Characteristics of a User in the Cluster (Изменить/ показать свойства пользователя в кластере).
4. Выберите узлы, на которых следует изменить атрибуты пользователей. Если оставить поле Select Nodes by Resource Group (Выбрать узлы по группе ресурсов) пустым, будет выполнено изменение атрибутов пользователя на всех узлах. Если выбрать группу ресурсов, можно изменить атрибуты пользователя, относящегося к заданной группе ресурсов.
5. Введите имя пользователя или нажмите F4, чтобы выбрать пользователя из всплывающего списка.
6. Теперь можно изменить атрибуты пользователя (рис. 8.10):

Рис. 8.10. Изменение атрибутов пользователя

Удаление пользователя

1. Запустите HACMP Security and User Management (Безопасность и управление пользователями HACMP) путем ввода команды smit cl_usergroup.
2. Выберите Users in a HACMP Cluster (Пользователи в кластере HACMP).
3. Выберите Remove a User from the Cluster (Удаление пользователя из кластера).
4. Выберите узлы, на которых требуется выполнить удаление пользователей. Если оставить поле Select Nodes by Resource Group (Выбрать узлы по группе ресурсов) пустым, пользователь будет удален на всех узлах. Если выбрать группу ресурсов, C-SPOC удалит пользователя только на узлах, относящихся к заданной группе ресурсов.
5. Введите имя пользователя, которого следует удалить, или нажмите F4, чтобы выбрать пользователя из всплывающего списка.
6. Remove AUTHENTICATION information (Удалить информацию аутентификации). Если нужно удалить пароль пользователя и прочую информацию аутентификации, выберите Yes (Да). Если нужно оставить пароль пользователя в файле /etc/security/passwd, выберите No (Нет). По умолчанию установлено Yes (Да) (рис. 8.11).

Рис. 8.11. Удаление пользователя из кластера

Добавление группы пользователей в кластер

1. Запустите HACMP Security and User Management (Безопасность и управление пользователями HACMP) путем ввода команды smit cl_usergroup.
2. Выберите Groups in a HACMP Cluster (Группы в кластере HACMP).
3. Выберите Add a Group to the Cluster (Добавление группы в кластер).
4. Выберите узлы, на которых требуется создать группу пользователей. Если оставить поле Select Nodes by Resource Group (Выбрать узлы по группе ресурсов) пустым; группа будет создана на всех узлах. Если выбрать группу ресурсов, группа будет создана только в подмножестве узлов, относящемся к заданной группе ресурсов. В случае кластера из четырех узлов следует оставить это поле пустым. В нашем примере кластера из четырех узлов, описанного в разделе 6.2, "Конфигурация из четырех узлов", имеется две группы ресурсов, привязанных только к узлам node1 и node2 (rg1 и rg2). Если вы хотите создать группу только на этих двух узлах, то следует выбрать соответствующую группу ресурсов.

   Таблица 8.2. Таблица перекрестных ссылок групп, групп ресурсов и узлов

   Группа ресурсов	Узлы	Группа
   rg1	node1, node2	db2group
   rg2	node2, node1	developers
   rg3	node3, node4	itstaff
   rg4	node4, node3, node2, node1	app1users

   Табл. 8.2 представляет таблицу перекрестных ссылок между группами, группами ресурсов и узлами. Она показывает, что app1adm app1users существует на всех узлах [поле Select Nodes by Resource Group (Выбрать узлы по группе ресурсов) оставлено пустым], тогда как группа "db2group" будет создана только на узлах node1 и node2 [следует выбрать "rg1" в поле Select Nodes by Resource Group (Выбрать узлы по группе ресурсов)].
   

   
   Рис. 8.12. Добавление группы в кластер
5. Создайте группу (рис. 8.12). Следует ввести имя группы, список пользователей и прочую релевантную информацию, требуемую при создании обычной группы. Нажмите F4 для вывода списка доступных пользователей и внесите их в группу. Здесь можно задать идентификатор группы, после чего C-SPOC проверит доступность заданного идентификатора на всех узлах. Если поле Group ID оставить пустым, создаваемой группе на всех будет назначен произвольный доступный идентификатор.

Вывод списка групп пользователей кластера

1. Запустите HACMP Security and User Management (Безопасность и управление пользователями HACMP) путем ввода команды smit cl_usergroup.
   

   
   Рис. 8.13. Список групп кластера
2. Выберите Groups in a HACMP Cluster (Группы в кластере HACMP).
3. Выберите List All Groups in the Cluster (Вывести список всех групп в кластере).
4. Выберите узлы, для которых требуется вывести список групп. Если оставить поле Select Nodes by Resource Group (Выбрать узлы по группе ресурсов) пустым, будет выведен список групп пользователей со всех узлов кластера. Если выбрать группу ресурсов, C-SPOC выведет только группы с узлов, относящихся к заданной группе ресурсов.
5. C-SPOC выводит группы с соответствующими атрибутами для выбранных узлов (рис. 8.13).

Изменение группы в кластере

1. Запустите HACMP Security and User Management (Безопасность и управление пользователями HACMP) путем ввода команды smit cl_usergroup.
2. Выберите Groups in a HACMP Cluster (Группы в кластере HACMP).
3. Выберите Change / Show Characteristics of a Group in the Cluster (Изменить/показать свойства группы в кластере).
4. Выберите узлы, на которых следует выполнить изменение групп. Если оставить поле Select Nodes by Resource Group (Выбрать узлы по группе ресурсов) пустым, будет выполнено изменение групп на всех узлах. Если выбрать группу ресурсов, произойдет изменение групп на узлах, относящихся к заданной группе ресурсов.
5. Изменяйте атрибуты группы (рис. 8.14).
   

   
   Рис. 8.14. Изменение/вывод атрибутов группы в кластере

Удаление группы

1. Запустите HACMP Security and User Management (Безопасность и управление пользователями HACMP) путем ввода команды smit cl_usergroup.
2. Выберите Groups in a HACMP Cluster (Группы в кластере HACMP).
3. Выберите Remove a Group from the Cluster (Удалить группу из кластера).
4. Выберите узлы, на которых требуется выполнить удаление групп. Если оставить поле Select Nodes by Resource Group (Выбрать узлы по группе ресурсов) пустым, заданная группа будет удалена на всех узлах кластера. Если выбрать группу ресурсов, C-SPOC удалит группу только на узлах, относящихся к заданной группе ресурсов.
5. Выберите группу, которую следует удалить. Нажмите F4, чтобы вывести список групп в кластере.

Замечания по управлению пользователями через C-SPOC

Ниже приведены некоторые замечания, касающиеся администрирования пользователей и групп через C-SPOS.

• Управление пользователями и паролями через C-SPOC требует, чтобы демон коммуникаций кластера был включен на всех узлах. Нельзя использовать C-SPOC, если какой-либо из узлов отключен. В этом случае возникнет сообщение об ошибке, подобное следующему: clhaver[152]: cannot connect to node p650n01 rc=-1 errno=0. Однако C-SPOC можно использовать вне зависимости от состояния кластера.
• Будьте осторожны при выборе узлов по группам ресурсов. Нужно выбрать именно те узлы, на которых существуют пользователи, которых следует удалить или изменить. Нельзя изменить или удалить пользователя или группу, если этот пользователь или группа не существует на заданном узле.
• При возникновении ошибок во время использования C-SPOC следует обратиться к файлу /tmp/cspoc.log за дополнительной информацией. Управление пользователями через C-SPOC нельзя применять совместно с NIS или LDAP.