È possibile accedere a Partition Manager in uno qualsiasi dei seguenti modi:
Questa pagina della guida offre la descrizione sintetica di ognuno di questi metodi. Per i riferimenti alle manpage ed altra documentazione correlata, consultare la sezione assistenza.
Componenti di Partition Manager
Partition Manager è eseguito all'interno di Servlet Engine su base Tomcat. In HP-UX, Servlet Engine su base Tomcat è un componente di HP-UX Web Server Suite. Con Microsoft® Windows® è fornito da JSP/Servlet Container per HP System Management Homepage. Servlet Engine sarà avviato automaticamente da HP System Management Homepage all'avvio di Partition Manager.
Per ottenere da nPartition Provider le informazioni sulle nPartition, Partition Manager utilizza i servizi HP WBEM. I servizi WBEM sono forniti dal server CIM con HP-UX e da WMI con Microsoft® Windows®. Per informazioni su configurazione ed esecuzione del provider di servizi WBEM, consultare oltre la sezione servizi WBEM. L'interazione con il processore di servizio del complesso locale avviene tramite l'interfaccia BT di IPMI. L'interazione con i complessi remoti avviene attraverso le interfacce IPMI su LAN. Per ulteriori informazioni, vedere oltre la sezione autenticazione utente.
Partition Manager interagisce con l'utente tramite un browser Web in esecuzione nel sistema client. Il sistema client può essere lo stesso sistema server, oppure può essere un'altra workstation o un PC. Non tutti i browser Web sono supportati da Partition Manager. Nelle workstation e server in ambiente HP-UX 11i v1 (B.11.11) o HP-UX 11i v2 (B.11.23), Partition Manager supporta il browser Web predefinito installato con il bundle dell'Ambiente operativo. Nei PC, Partition Manager supporta Microsoft® Internet Explorer versione 6.0 e Netscape versione 7.0.
Partition Manager, per eseguire le funzioni di amministrazione, usa i comandi partition(1).
Comando parmgr
Con HP-UX, il comando /opt/parmgr/bin/parmgr avvia HP System Management Homepage ed il browser Web client, il quale esegue Partition Manager. HP System Management Homepage avvia automaticamente Servlet Engine su base Tomcat all'avvio di Partition Manager.
La Figura 1 mostra la sintassi del comando. La Tabella 1 mostra un riepilogo sintetico di alcune opzioni del comando.
Per la descrizione completa del comando parmgr, consultare la manpage parmgr(1M).
Il comando parmgr avvierà il browser Web client, se questo non è già in esecuzione. Se il browser Web è stato installato in una posizione differente da quella predefinita, sarà necessario configurare la variabile ambientale BROWSER con relativo il percorso. Se si sta usando un sistema X Window per la gestione della visualizzazione del browser Web, sarà necessario impostare la variabile ambientale DISPLAY con il nome del server X.
Se il browser Web è già in esecuzione, parmgr tenterà di riutilizzarne la finestra. Il browser Web visualizzerà la finestra per l'accesso. Dopo l'accesso e l'identificazione dell'utente, sarà avviato Partition Manager.
Tabella 1 Opzioni del comando parmgr (Riepilogo) -h |
Visualizza la guida per i parametri della riga dei comandi, quindi esce.
| -F |
Obbliga l'utilizzo del browser Web client, anche se parmgr non è in grado di stabilire se le comunicazioni tra il server X ed il browser client sono sicure. Senza questa opzione, Partition Manager avvierà il browser Web solamente se è in grado di stabilire che la comunicazione tra il server X ed il browser Web client è protetta.
| -b |
Evita l'autenticazione con HP System Management Homepage se l'accesso è stato già eseguito con privilegi di Administrator (root).
| -t nome_azione opzioni_azione |
Esegue uno specifico strumento di Partition Manager. Di norma, Partition Manager sarà avviato nella visualizzazione hardware dell'insieme del complesso. Per eseguire Partition Manager con un'altra visualizzazione o azione, usare questa opzione.
|
Esecuzione con HP System Management HomepageProcedura 1 Esecuzione di Partition Manager con HP System Management Homepage
Indirizzare il proprio browser Web all'URL di HP System Management Homepage in un server in cui sia installato Partition Manager:
http://nome_host_server:2301/
dove nome_host_server è il nome host del server.
Eseguire l'accesso a HP System Management Homepage.
Scegliere il menu Tools.
Scegliere uno dei seguenti oggetti nell'elenco degli strumenti nPartition Management. Partition Manager sarà eseguito come spazio di lavoro nel portale HP System Management Homepage.
View and Manage Complex.
Sarà presentata la visualizzazione hardware dell'insieme del complesso per il complesso in cui è in esecuzione HP System Management Homepage.
Nel caso che il server di HP System Management Homepage non sia in esecuzione in una nPartition, dopo avere selezionato questa voce di menu, sarà chiesto di eseguire l'accesso al complesso oppure alla nPartition che si desidera gestire. Per i dettagli, vedere oltre la sezione autenticazione utente.
View and Manage Remote Complex.
Sarà chiesto di eseguire l'accesso al complesso oppure alla nPartition da gestire. Per i dettagli, vedere oltre la sezione autenticazione utente.
Esecuzione con HP Systems Insight ManagerProcedura 2 Esecuzione di Partition Manager con HP Systems Insight Manager
Indirizzare il proprio browser Web all'URL di HP Systems Insight Manager in un server in cui sia installato Partition Manager:
http://nome_host_server:280/
dove nome_host_server è il nome host del server.
Eseguire l'accesso a HP Systems Insight Manager.
Scegliere uno dei seguenti oggetti nel menu Configure Partition Management. Sarà chiesto di selezionare il sistema destinazione da gestire. È possibile selezionare solamente un singolo sistema. Partition Manager sarà eseguito come spazio di lavoro nel portale HP Systems Insight Manager.
Esecuzione con SAMProcedura 3 Esecuzione di Partition Manager con SAM in HP-UX
Eseguire SAM utilizzando il comando sam(1M).
Nella schermata principale, scegliere l'area Partition Manager. SAM eseguirà il comando parmgr, utilizzando l'opzione -F. Se il browser Web client è già in esecuzione, parmgr tenterà di riutilizzarne la finestra.
Il browser Web visualizzerà per prima cosa la schermata di accesso. Dopo aver eseguito l'accesso e, se necessario, aver autenticato la propria identità, Partition Manager mostrerà la visualizzazione hardware dell'insieme del complesso. Tuttavia, se Partition Manager dovesse rilevare dei possibili problemi di configurazione nel complesso, sarà visualizzata per prima l'azione analizza stato del complesso.
Autenticazione dell’utenteL'accesso a Partition Manager dipende dall'essere un utente privilegiato oppure un utente non privilegiato. Gli utenti non privilegiati potranno solamente visualizzare le informazioni, e non potranno compiere operazioni che modificano la nPartition remota o il complesso a cui appartiene. Gli utenti privilegiati potranno eseguire tutte le operazioni di Partition Manager (per informazioni sulle restrizioni che potrebbero applicarsi agli utenti privilegiati, vedere la sezione della guida privilegio di configurazione).
Quando il browser Web si connette a Partition Manager, la propria identità sarà autenticata in due fasi.
La schermata d'accesso richiede i propri nome utente e password. (Quando Partition Manager è lanciato con HP System Management Homepage o HP Servicecontrol Manager, questo livello di autenticazione è già stato eseguito.) Se lo si sta eseguendo da una nPartition locale, Partition Manager si avvierà immediatamente. Se il nome utente rappresenta un utente privilegiato del sistema locale, si avrà accesso privilegiato.
Se non si sta eseguendo Partition Manager in una nPartition locale, per accedere al sistema remoto sarà necessario fornire ulteriori credenziali. Saranno presentate due scelte.
nPartition remota.
Per gestire una nPartition remota (ed il complesso a cui appartiene), sarà necessario fornire nome host o indirizzo IP della nPartition, un nome utente noto nella nPartition remota e la password associata a quel nome utente. Il nome utente predefinito sarà quello specificato nella schermata d'accesso. Dopo avere riempito i campi, fare clic su [Connetti alla nPartition remota].
Partition Manager comunicherà con la nPartition remota tramite WBEM, utilizzando nome utente e password specificati. Se il nome utente rappresenta un utente privilegiato nella nPartition remota, si avrà accesso privilegiato.
Se nome utente e password WBEM non fossero validi in tutte le nPartition del complesso, Partition Manager non sarà in grado di ottenere alcune informazioni da altre nPartition. Per semplificare l'amministrazione di un complesso, utilizzare un insieme costante di nomi utente e password WBEM per il complesso.
Complesso partizionabile remoto.
Per amministrare un complesso remoto tramite IPMI attraverso la LAN, sarà necessario fornire nome host o indirizzo IP del processore di servizio nel complesso remoto e la password IPMI per quel processore di servizio. (La password IPMI può essere impostata o modificata facendo accesso al processore di servizio ed utilizzando il comando SO dal Command Menu.) Dopo avere riempito i campi, fare clic su [Connetti al complesso remoto].
Se dovesse essere segnalato un errore quando si tenta la connessione con questo metodo, controllare che l'accesso a IPMI attraverso la LAN non sia stato disattivato nel processore di servizio remoto. L'accesso al complesso tramite IPMI attraverso la LAN può essere attivato o disattivato facendo accesso al processore di servizio ed utilizzando il comando SA dal Command Menu.
In Partition Manager, per visualizzare queste scelte, sarà possibile utilizzare le azioni Strumenti Cambia complesso. Sarà quindi possibile scegliere un altro complesso da amministrare.
Timeout sessione
Nel caso HP System Management Homepage non rilevi attività per circa 30 minuti, la sessione terminerà. Per continuare sarà necessario ripetere l'accesso.
Per terminare manualmente la sessione, chiudere la sessione con HP System Management Homepage, oppure fare clic sul collegamento Chiudi sessione, se questo è visualizzato nella parte superiore destra dello schermata di di Partition Manager.
Servizi WBEM
Il server CIM utilizza Common Information Model per i servizi HP WBEM in HP-UX. Il server CIM ottiene le informazioni sulla nPartition da nPartition Provider.
In Microsoft® Windows®, questi servizi sono realizzati da WMI (Windows Management Instrumentation), utilizzando il servizio Pegasus/WMI Mapper. nPartition Provider è implementato dal servizio WMI nPar Provider.
Quando Partition Manager è in esecuzione in una nPartition per l'amministrazione del complesso locale, il provider di servizi WBEM dovrà essere in esecuzione nella nPartition locale.
Quando Partition Manager è connesso al processore di servizio di un sistema partizionabile remoto tramite IPMI attraverso la LAN, il provider di servizi WBEM dovrà essere in esecuzione nel sistema in cui Partition Manager è in esecuzione.
Quando Partition Manager è connesso ad una nPartition remota tramite WBEM, il provider di servizi WBEM dovrà essere in esecuzione in quella nPartition remota. Per effettuare la connessione in questo modo, sarà necessario eseguire alcune ulteriori fasi di configurazione descritte in seguito.
Per effettuare la connessione come utente privilegiato, il parametro enableRemotePrivilegedUserAccess del provider di servizi WBEM in esecuzione nella nPartition remota dovrà essere impostato come true. Questa è l'impostazione predefinita, ma potrebbe essere stata modificata da un amministratore di sistema. In HP-UX, per controllare o modificare l'impostazione di questo parametro, utilizzare il comando cimconfig(1M). Dopo una qualsiasi modifica alla configurazione, riavviare il server CIM. In Windows, modificare il file %PEGASUS_HOME%\cimserver_planned.conf e riavviare il servizio Pegasus/WMI Mapper.
Se non si è connessi come utente privilegiato, con Partition Manager sarà possibile solamente visualizzare le informazioni. Non sarà possibile compiere operazioni che modificano la nPartition remota o il complesso a cui appartiene. Partition Manager utilizza Secure Socket Layer (SSL) per le connessioni tra il client ed il provider di servizi WBEM. Le connessioni SSL devono essere attivate nel provider di servizi WBEM (il parametro enableHttpsConnection deve essere impostato come true). In HP-UX, per controllare o modificare l'impostazione di questo parametro, utilizzare il comando cimconfig(1M). Dopo una qualsiasi modifica alla configurazione, riavviare il server CIM. In Windows, modificare il file %PEGASUS_HOME%\cimserver_planned.conf e riavviare il servizio Pegasus/WMI Mapper. Per impostazione predefinita, Partition Manager convalida i certificati utilizzati per le connessioni SSL. Ciò significa che l'archivio dei certificati attendibili del client deve contenere il certificato del server della nPartition remota. Per le istruzioni sull'importazione e l'importazione dei certificati, vedere oltre la sezione Gestione dei certificati SSL.
Se il proprio ambiente non richiede la protezione aggiuntiva fornita dalla convalida dei certificati, è possibile disattivare questa funzione. Per fare ciò, modificare il file delle proprietà di CIM:
[Windows:]
C:\hp\hpsmh\tomcat\webapps\parmgr\WEB-INF\lib\cim.properties
[HP-UX:]
/opt/hpsmh/tomcat/webapps/parmgr/WEB-INF/lib/cim.properties
Rimuovere il prefisso di commento (//) dalla seguente riga del file:
//TrustManager=org.snia.wbemcmd.xml.DontValidateCertificate
Per ulteriori informazioni sulla configurazione del provider di servizi WBEM, consultare le manpage di cimconfig(1M) e cimserver(1M).
Gestione dei certificati SSLPer attivare in Partition Manager la convalida dei certificati SSL, è necessario esportare i certificati del server dal provider di servizi WBEM della nPartition remota a cui si desidera connettersi, ed importarli nell'archivio dei certificati della nPartition dove Partition Manager è in esecuzione. Seguire la procedura descritta oltre. Procedura 4 Ottenimento del file del certificato da provider di servizi WBEM Individuare nella nPartition remota a cui si desidera connettersi il file dei certificati del provider di servizi WBEM (cert.pem). Per trovare il file corretto, aprire il file di configurazione del provider di servizi WBEM:
[Windows:] %PEGASUS_HOME%\cimserver_current.conf
[HP-UX:] $PEGASUS_HOME/cimserver_current.conf L'ubicazione del file dei certificati del server è configurata con l'impostazione sslCertificateFilePath. Normalmente, è impostata come:
[Windows:] C:\hp\sslshare\cert.pem
[HP-UX:] /etc/opt/hp/sslshare/cert.pem Se non fosse presente l'impostazione sslCertificateFilePath, il file dei certificati del server predefinito è:
[Windows:] %PEGASUS_HOME%\server.pem
[HP-UX:] $PEGASUS_HOME/server.pem Copiare nel sistema client il file dei certificati individuato nella fase 1 (cert.pem oppure server.pem).
Procedura 5 Importazione del file del certificato nel client Importare il certificato nell'archivio dei certificati di Partition Manager: [Windows:]
%JAVA_HOME%\bin\keytool -import \
-alias nome_host_server \
-file cert.pem \
-keystore %SystemDrive%\hp\sslshare\parmgr.keystore
[HP-UX:]
$JAVA_HOME/bin/keytool -import \
-alias nome_host_server \
-file cert.pem \
-keystore /etc/opt/hp/sslshare/parmgr.keystore
Alla richiesta, digitare la password per l'archivio dei certificati. Se il file parmgr.keystore ancora non dovesse esistere, perché si tratta del primo certificato importato, questo comando creerà un nuovo file dell'archivio dei certificati. In tal caso, la password specificata sarà quella assegnata a questo archivio dei certificati.
Per consentire la convalida dei certificati per i comandi partition(1) usati da Partition Manager, accodare il contenuto di cert.pem al file:
[Windows:] %SystemDrive%\hp\sslshare\client.pem
[HP-UX:] /var/opt/wbem/client.pem In Microsoft® Windows®, riavviare il servizio “HP System Management Homepage” (SysMgmtHP), oppure riavviare Windows.
Privilegio di configurazione della nPartition
Quando si esegue Partition Manager nella nPartition locale, oppure durante la connessione tramite WBEM ad una nPartition remota, la possibilità di eseguire operazioni di configurazione in un complesso dipende dall'impostazione del privilegio di configurazione della nPartition. Per i dettagli, consultare la sezione privilegio di configurazione.
Filtri IP e firewall
I filtri IP ed i firewall di rete bloccano alcuni tipi di pacchetti IP in ingresso ed in uscita. Se si utilizzano questi prodotti, assicurarsi che siano soddisfatti i seguenti requisiti.
Le porte 2301 e 2381 non devono essere disattivate. Queste porte sono utilizzate per eseguire HP System Management Homepage con un browser Web.
Le porte utilizzate da WBEM non devono essere disabilitate. Partition Manager invia tutte le richieste WBEM alla porta 5989. Le porte utilizzate per restituire le risposte a parmgr sono negoziate dal kernel al momento della ricezione della risposta. Non sarà possibile utilizzare Partition Manager se WBEM è stato disattivato.
Per ulteriori informazioni sui filtri IP in HP-UX, consultare ipf(8).
Bastille
Bastille è uno strumento di rafforzamento della sicurezza di sistema, che migliora la protezione dell'host HP-UX. Configura processi daemon, impostazioni di sistema e firewall in modo che siano più sicuri. Può arrestare i processi e strumenti non necessari come rcp(1) e rlogin(1), e limitare le vulnerabilità di alcuni servizi Internet comuni, come i server Web e DNS.
Una delle funzioni utilizzate da Bastille per proteggere il sistema sono i filtri IP. Per i requisiti sull'utilizzo dei filtri IP con Partition Manager, consultare la sezione precedente. Se si utilizza l'interfaccia utente interattiva di Bastille, al momento di rispondere alle domande poste da Bastille, tenere presenti questi problemi.
Bastille dispone inoltre di tre opzioni di protezione al momento dell'installazione, a cui corrispondono i seguenti file in /etc/opt/sec_mgmt/bastille.
- HOST.config
Protezione su base host, senza configurazione di IPFilter. L'uso di questa configurazione non avrà conseguenze su Partition Manager.
- MANDMZ.config
Protezione abbastanza stretta, ma che lascia aperte le porte di rete utilizzate comunemente da strumenti e protocolli di amministrazione. Ad esempio, utilizzando questa configurazione WBEM sarà in grado di funzionare.
L'esecuzione di Partition Manager con questa configurazione richiede l'utilizzo di SSH, oppure l'abilitazione delle porte 2301 e 2381.
Per consentire l'esecuzione di Partition Manager in un sistema in cui sono state disabilitate le porte 2301 e 2381, modificare i filtri IP aggiungendo la voce:
pass in quick proto tcp from any to any port = 2301
flags S/0xff keep state keep frags
pass in quick proto tcp from any to any port = 2381
flags S/0xff keep state keep frags
a /etc/opt/sec_mgmt/bastille/ipf.customrules prima di eseguire Bastille.
Per ulteriori informazioni, consultare ipf(5).
- DMZ.config
Una protezione stretta. L'esecuzione di Partition Manager con questa configurazione richiede l'utilizzo di SSH.
Inoltre, Bastille comporta delle conseguenze sull'utilizzo di Partition Manager nell'amministrazione remota di un sistema in cui è stato installato Bastille. Dopo l'usuale trasferimento dei certificati, Partition Manager funzionerà come descritto prima se se sono state utilizzate le configurazioni HOST.config oppure MANDMZ.config. Tuttavia, la configurazione DMZ.config blocca il traffico WBEM, impedendo così a Partition Manager di gestire remotamente il sistema.
Per ulteriori informazioni su Bastille, consultare bastille(1M) e la guida utente di Bastille, installata in /opt/sec_mgmt_bastille/docs/user_guide.txt.
Problemi di prestazioni
Potrebbe verificarsi un evidente ritardo la prima volta che si apre una visualizzazione di Partition Manager dopo l'avvio o il riavvio di Servlet Engine su base Tomcat. Ciò è dovuto alla compilazione iniziale di Java Server Pages. Dopo che una data visualizzazione è stata presentata, le visualizzazioni successive saranno decisamente più rapide.
Quando si amministra un complesso partizionabile remoto, le prestazioni peggiorano quando la connessione di rete avviene a grandi distanze, ad esempio amministrando un complesso partizionabile remoto in California da un sistema situato a New York. Inoltre, quando si amministra un sistema remoto, è possibile migliorare le prestazioni connettendosi ad una nPartition remota, invece che connettendosi direttamente al processore di servizio del sistema remoto.
Quando si amministra un sistema remoto, è possibile migliore le prestazioni eseguendo il browser Web nel sistema locale, invece che eseguirlo remotamente nel server X locale.
nPartition Provider mantiene una cache delle informazioni dei sistemi amministrati. questa cache sarà cancellata quando nPartition Provider è chiuso dal provider di servizi WBEM. Le prestazioni potrebbero essere ridotte quando si amministra un sistema per la prima volta, o immediatamente dopo il riavvio del provider di servizi WBEM. Le sessioni di amministrazione successive del medesimo sistema saranno più veloci.
|