PAM による GUI の認証

SPS for Linux は、Linux Standard Base (LSB) で提供されている Pluggable Authentication Module (PAM) を利用するようになりました。SPS では、以前 /opt/LifeKeeper/website/passwd に置かれていた個別のパスワードファイルを現在は使用していません。それに代わり、ユーザーは、システムの PAM 設定に対して識別および認証されます。権限のレベルは、PAM が提供するグループメンバーシップから決定されます。

GUI にアクセスするには、ユーザーは LifeKeeper の次の 3 つのグループのいずれかのメンバーである必要があります: lkadmin、lkoper または lkguest。これらのグループのメンバーシップは、クラスター全体で使用されているユーザーアカウントデータベースのタイプに応じた適切な方法により、システム管理者が設定してください。

LifeKeeper のこれら 3 つのグループには、それぞれの権限セットが用意されています (権限テーブル を参照)。

  1. クラスター全体にわたって Administrator (管理者) の権限を持つユーザー (lkadmin) は、GUI から可能な動作のすべてを実行できます。
  2. 1 台のサーバー上で Operator (オペレータ) の権限を持つユーザー (lkoper) は、LifeKeeper の設定やステータスの情報を表示でき、そのサーバ上のリソースを in service や out of service にできます。
  3. 1 台のサーバー上で Guest (ゲスト) の権限を持つユーザー (lkguest) は、そのサーバーの LifeKeeper の設定やステータスの情報を表示できます。

GUI パッケージのインストール時に、そのシステムの root ユーザーはシステムのローカルグループデータベースの lkadmin グループに自動的に追加されるので、 root は、そのサーバーから GUI アプリケーションまたは Web クライアント経由で LifeKeeper のすべての作業を実行できます。 root 以外のユーザーに LifeKeeper GUI クライアントの使用を許可するように計画している場合は、ユーザーを適切なグループに追加することにより LifeKeeper GUI のユーザーを設定する必要があります。

NIS、LDAP、AD などの非ローカルデータベースを使用するように PAM を設定している場合は、それらのデータベースでアカウントが正しく設定されていることをシステム管理者は確認する必要があります。上記のグループが存在していなければなりません。また、LifeKeeper GUI へのログインが許可されているユーザーがそれらのグループの 1 つに属するメンバーでなければなりません。これらのグループは、リモートデータベース内のみに作成する必要があり、ローカルの /etc/group ファイルからは削除する必要があります。

クラスター内のシステムで異なる「root」パスワードを使用している場合、LK GUI のログインは失敗します。クラスター内の各システムの root パスワードを同一にすれば、LK GUIに「root」でログインできます。

最良の方法は、常にクラスター全体を単位として許可を付与することです。サーバー単位で許可を付与することもできますが、ユーザーを混乱させてしまい、管理作業が実行できなくなります。

フィードバック

フィードバックありがとうございました

このトピックへフィードバック

送信