PAM による GUI の認証

SPS for Linux は、Linux Standard Base (LSB) で提供されている Pluggable Authentication Module (PAM) を利用するようになりました。SPS では、以前 /opt/LifeKeeper/website/passwd に置かれていた個別のパスワードファイルを現在は使用していません。それに代わり、ユーザは、システムの PAM 設定に対して識別および認証されます。権限のレベルは、PAM が提供するグループメンバシップから決定されます。

GUI にアクセスするには、ユーザは LifeKeeper の次の 3 つのグループのいずれかのメンバーである必要があります: lkadmin、lkoper または lkguest。これらのグループのメンバシップは、クラスタ全体で使用されているユーザアカウントデータベースのタイプに応じた適切な方法により、システム管理者が設定してください。

LifeKeeper のこれら 3 つのグループには、それぞれの権限セットが用意されています (権限テーブル を参照)。

  1. クラスタ全体にわたって Administrator (管理者) の権限を持つユーザ (lkadmin) は、GUI から可能な動作のすべてを実行できます。
  2. 1 台のサーバ上で Operator (オペレータ) の権限を持つユーザ (lkoper) は、LifeKeeper の設定やステータスの情報を表示でき、そのサーバ上のリソースを in service や out of service にできます。
  3. 1 台のサーバ上で Guest (ゲスト) の権限を持つユーザ (lkguest) は、そのサーバの LifeKeeper の設定やステータスの情報を表示できます。

GUI パッケージのインストール時に、そのシステムの root ユーザはシステムのローカルグループデータベースの lkadmin グループに自動的に追加されるので、 root は、そのサーバから GUI アプリケーションまたは Web クライアント経由で LifeKeeper のすべての作業を実行できます。 root 以外のユーザに LifeKeeper GUI クライアントの使用を許可するように計画している場合は、ユーザを適切なグループに追加することにより LifeKeeper GUI のユーザを設定する必要があります。

NIS、LDAP、AD などの非ローカルデータベースを使用するように PAM を設定している場合は、それらのデータベースでアカウントが正しく設定されていることをシステム管理者は確認する必要があります。上記のグループが存在していなければなりません。また、LifeKeeper GUI へのログインが許可されているユーザがそれらのグループの 1 つに属するメンバでなければなりません。これらのグループは、リモートデータベース内のみに作成する必要があり、ローカルの /etc/group ファイルからは削除する必要があります。

クラスタ内のシステムで異なる「root」パスワードを使用している場合、LK GUI のログインは失敗します。クラスタ内の各システムの root パスワードを同一にすれば、LK GUIに「root」でログインできます。

注記: 混乱を避け整合性を保つため、LDAP、NIS、AD などのより複雑な PAM 設定を利用する場合は、SPS のインストールまたはアップグレードを実行する前に、すべてのユーザアカウントおよび LifeKeeper グループアカウントを準備しておいてください。

最良の方法は、常にクラスタ全体を単位として許可を付与することです。サーバ単位で許可を付与することもできますが、ユーザを混乱させてしまい、管理作業が実行できなくなります。

フィードバック

お役に立ちましたか?

はい いいえ
お役に立ちましたか
理由をお聞かせください
フィードバックありがとうございました

このトピックへフィードバック

送信