Japan
サイト内の現在位置を表示しています。
Cluster WebUIへの接続をパスワードで制御する方法(Windows/Linux)
CLUSTERPRO オフィシャルブログ ~クラブロ~
はじめに
CLUSTERPROの管理GUIであるCluster WebUIには、アクセスの制限と利用可能なユーザモードを制御するための機能があります。この機能には、接続元クライアントのIPアドレスにより制御する方法と、パスワードによって認証/制御する方法が用意されています。
今回は、Cluster WebUIへの接続をパスワードで制御する方法についてご紹介します。
この記事の内容
1. パスワードによる接続の制御について
Cluster WebUIにはクラスターの操作や設定などを行うためのユーザモードが4つあります。ユーザモードの種類は以下の通りです。
ユーザモード | 説明 |
---|---|
操作モード | サーバーやリソースの起動や停止など、クラスターの管理と操作が可能です。 |
設定モード | クラスター構成の編集や設定のインポート、エクスポート等が可能です。 |
検証モード | 操作モードと同様に、ステータスの確認や操作が可能です。加えてモニタリソースに擬似障害を発生させて動作検証が可能です。 |
参照モード | クラスターのステータスの確認のみ可能です。サーバーやリソースの起動・停止操作は行えません。 |
Cluster WebUIへの接続をパスワードにより制御する場合は、使用するパスワードによって全てのユーザモードを使用可能にするか、参照モードのみ使用可能にするかを制御することが可能です。
また、認証方式にはクラスタパスワード方式とOS認証方式の2つの方式があります。クラスタパスワード方式はCLUSTERPRO X 4.0以降、OS認証方式はCLUSTERPRO X 4.2以降で設定が可能です。
1.1 クラスタパスワード方式
設定した操作用パスワード、参照用パスワードで認証する方式です。操作用パスワードで認証した場合は全てのユーザモードを使用可能、参照用パスワードで認証した場合は参照モードのみ使用可能です。パスワードはCLUSTERPROの構成情報に保存されます。
1.2 OS認証方式
OSのユーザー、パスワードで認証する方式です。パスワードを変更する場合、OSのユーザーのパスワードを変更するだけで完了するため、CLUSTERPROのパスワードの設定作業の手間が省けます。
クラスターの操作権限はOSのグループごとに設定するため、ユーザーはグループに所属させておく必要があります。クラスターにグループおよび操作権の有無を設定することで、グループごとに使用可能なユーザモードを制御します。操作権がある場合は全てのユーザモードが使用可能、操作権がない場合は参照モードのみが使用可能です。
- ※OS認証方式の場合、Cluster WebUIとクラスターサーバーの通信時に認証情報が外部へ漏洩することを防ぐため、HTTPSを用いた接続を推奨しています。HTTPSの接続の設定方法については以下の記事をご覧ください。
2. OS認証方式の事前準備
OS認証方式の場合は、事前準備として認証に使用するグループとユーザーを作成します。既存のグループとユーザーも使用可能ですが、今回は新しくグループとユーザーを作成する手順を説明します。
2.1 Windowsの準備
Windowsでは、クラスターサーバーがワークグループに所属しているか、ドメインに所属しているかによって設定方法が異なります。
2.1.1 クラスターサーバーがワークグループに所属している場合
すべてのクラスターサーバーで、グループ名とユーザー名がそれぞれ共通となるように設定します。今回は、デフォルトのワークグループを使用し、以下のようにグループとユーザーを作成します。
■ ワークグループ名:WORKGROUP
・すべてのユーザモードが使用可能なグループ
グループ名 :clpgroup_admin
所属ユーザー:work_user1
パスワード :<任意のパスワード>
・参照モードのみ使用可能なグループ
グループ名 :clpgroup_user
所属ユーザー:work_user2
パスワード :<任意のパスワード>
グループとユーザーの設定方法は以下となります。
- ① Windows管理ツールから、「コンピューターの管理」をクリックします。
- ② 「ローカルユーザーとグループ」でユーザー(work_user1)を作成します。
- ③ グループ(clpgroup_admin)を作成します。この時、作成するグループに②で作成したユーザー(work_user1)を追加します。
work_user2や、clpgroup_userも同様の手順で作成します。
2.1.2 クラスターサーバーがドメインに所属している場合
Active Directoryサーバー(以降、ADサーバー)で、ドメイン環境下のグループとユーザーの設定をします。事前にAD・DNSサーバーを構築し、クラスターサーバーをドメインに所属させています。今回は、ドメイン名は「clptest.com」とし、以下のグループとユーザーを作成します。
■ ドメイン名:clptest.com
・すべてのユーザモードが使用可能なグループ
グループ名 :clpgroup_admin
所属ユーザー:domain_user1
パスワード :<任意のパスワード>
・参照モードのみ使用可能なグループ
グループ名 :clpgroup_user
所属ユーザー:domain_user2
パスワード :<任意のパスワード>
- ① AD・DNSサーバーで、サーバーマネージャーを開き、右上のツールから「Active Directoryユーザーとコンピューター」を選択します。
- ② ユーザー(domain_user1)、グループ(clpgroup_admin)を作成します。
- ③ 作成したグループにユーザーを追加します。
domain_user2や、clpgroup_userも同様の手順で作成します。
2.2 Linuxの準備
Linuxでは、すべてのクラスターサーバーで、グループ名とユーザー名がそれぞれ共通となるように設定します。以下ではコマンドにより各設定を行いますが、その際、管理者権限を持つユーザーで実行します。
・すべてのユーザモードが使用可能なグループ
グループ名 :clpgroup_admin
所属ユーザー:work_user1
パスワード :<任意のパスワード>
・参照モードのみ使用可能なグループ
グループ名 :clpgroup_user
所属ユーザー:work_user2
パスワード :<任意のパスワード>
作成手順は以下の通りです。
- ①ユーザー(work_user1)を作成します。
- ②ユーザー(work_user1)のパスワードを設定します。
- ③グループ(clpgroup_admin)を作成します。
- ④作成したグループ(clpgroup_admin)にユーザー(work_user1)を追加します。
work_user2や、clpgroup_userも同様の手順で作成します。
3. CLUSTERPROの設定手順
Cluster WebUIへの接続をパスワードにより制御する設定を有効化します。設定手順はWindowsとLinuxで共通です。
今回は以下の環境で設定を行います。
■ Windowsの環境
・Windows Server 2022
・CLUSTERPRO X 5.2 for Windows (内部バージョン:13.20)
■ Linuxの環境
・Red Hat Enterprise Linux 8.6.0
・CLUSTERPRO X 5.2 for Linux (内部バージョン:5.2.0-1)
- ※以降のCluster WebUIのキャプチャはCLUSTERPRO X 5.2 for Windowsのものです。
3.1 設定ファイルのバックアップ
パスワードによる接続の制御を有効化した場合、ログイン可能なパスワードの紛失やOSのグループを誤って削除してしまった場合にCluster WebUIにログインできなくなります。その場合、Cluster WebUIで設定変更ができないため、事前にパスワード設定前の設定ファイルのバックアップをとることを推奨します。
設定モードでページ左上の「設定のエクスポート」をクリックします。
zip形式で設定ファイルがダウンロードされます。これでバックアップは完了です。
設定を元に戻したい場合は、クラスターサーバーにログインして、ダウンロードした設定ファイル(zipファイル)を任意の場所に保存して展開します。その後、clpcfctrl --pushコマンドを実行してパスワード設定前の設定ファイルを反映します。コマンドはWindows・Linux共通となります。
例)
これにより、バックアップした設定ファイルが各クラスターサーバーに反映され、パスワード設定前の状態に戻すことができます。
3.2 パスワード設定画面
設定ファイルのバックアップ取得後、パスワードによる接続制御の設定画面へ移動します。
Cluster WebUIで設定モードに変更後、「クラスタのプロパティ」(歯車マーク)をクリックします。
「WebManager」タブに移動し、「パスワードによって接続を制御する」の「設定」をクリックします。
3.3 クラスタパスワード方式
パスワード設定画面で「クラスタパスワード方式」を選択し、操作用または参照用パスワード横の「変更」をクリックします。
新しいパスワードを設定します。既に設定しているパスワードがある場合、古いパスワードを入力する必要があります。
操作用または参照用パスワードの内、どちらか一方のパスワードのみを設定した場合、もう一方のパスワードは未設定となりパスワード入力無しで接続可能となります。
設定が完了したら、クラスターに設定を反映します。反映後にはCluster WebUIから切断されますので、ブラウザで再読み込みをしてください。
3.4 OS認証方式
パスワード設定画面で「OS認証方式」を選択し、「追加」をクリックします。
グループ名を設定します。追加したユーザーが所属しているグループ名を入力します。
今回は、「2. OS認証方式の事前準備」で作成したグループ(clpgroup_adminやclpgroup_user)を入力します。
グループの追加後、グループに対して操作権を設定します。
「操作権」のチェックボックスをオンにするとすべてのユーザモードが使用可能、チェックボックスをオフにすると参照モードのみ使用可能となります。操作権は登録しているグループの内、少なくとも1つのグループに付与する必要があります。
設定が完了したら、クラスターに設定を反映します。反映後にはCluster WebUIから切断されますので、ブラウザで再読み込みをしてください。
4. 動作確認
Cluster WebUIに設定したユーザ、パスワードでログインし、設定した権限で操作できることを確認します。
Cluster WebUIに接続します。ユーザやパスワードの入力画面が表示されます。クラスタパスワード方式とOS認証方式で入力画面が異なります。
- ・クラスタパスワード方式の場合
権限を選択し、設定したパスワードを入力します。
「操作可能」を選択した場合は、操作用パスワードに設定したパスワード、「参照可能」を選択した場合は、参照用パスワードに設定したパスワードを入力します。
「3.3 クラスタパスワード方式」で、パスワードを未設定としたモードでログインする場合は、パスワード欄に何も入力せずにログインします。
- ・OS認証方式の場合
設定したユーザとパスワードを以下のように入力します。
■ Windows
- ・ユーザ
ワークグループの場合:登録したグループに所属するユーザ名
例)work_user1
ドメインの場合 :<ドメイン名>\<ユーザー名>
例)clptest.com\domain_user1 - ・パスワード
登録したグループに所属しているユーザに対するパスワード
■ Linux
- ・ユーザ
登録したグループに所属するユーザ名
例)work_user1 - ・パスワード
登録したグループに所属しているユーザに対するパスワード
ログイン後、操作権限(ユーザモード)を確認します。
- ・操作用パスワードや操作権があるグループのユーザーでログインした場合
ユーザモードが操作モードになっており、クラスターの操作ができることを確認します。
- ・参照用パスワードや操作権がないグループのユーザーでログインした場合
ユーザモードが参照モードになっており、クラスターの参照のみができることを確認します。
クラスタパスワード方式を設定している場合、参照用パスワードでログインしてから操作モード等に切り替えようとすると、操作用パスワードの入力を求められます。
まとめ
今回は、Cluster WebUIへの接続をパスワードで制御する方法をご紹介しました。
セキュリティの観点から接続の制御が必要になった際に、ご紹介した設定方法をご活用ください。
お問い合わせ