サイト内の現在位置を表示しています。

Cluster WebUIへの接続をパスワードで制御する方法(Windows/Linux)

CLUSTERPRO オフィシャルブログ ~クラブロ~

はじめに

CLUSTERPROの管理GUIであるCluster WebUIには、アクセスの制限と利用可能なユーザモードを制御するための機能があります。この機能には、接続元クライアントのIPアドレスにより制御する方法と、パスワードによって認証/制御する方法が用意されています。

今回は、Cluster WebUIへの接続をパスワードで制御する方法についてご紹介します。

この記事の内容

1. パスワードによる接続の制御について

Cluster WebUIにはクラスターの操作や設定などを行うためのユーザモードが4つあります。ユーザモードの種類は以下の通りです。

ユーザモード 説明
操作モード サーバーやリソースの起動や停止など、クラスターの管理と操作が可能です。
設定モード クラスター構成の編集や設定のインポート、エクスポート等が可能です。
検証モード 操作モードと同様に、ステータスの確認や操作が可能です。加えてモニタリソースに擬似障害を発生させて動作検証が可能です。
参照モード クラスターのステータスの確認のみ可能です。サーバーやリソースの起動・停止操作は行えません。

Cluster WebUIへの接続をパスワードにより制御する場合は、使用するパスワードによって全てのユーザモードを使用可能にするか、参照モードのみ使用可能にするかを制御することが可能です。
また、認証方式にはクラスタパスワード方式とOS認証方式の2つの方式があります。クラスタパスワード方式はCLUSTERPRO X 4.0以降、OS認証方式はCLUSTERPRO X 4.2以降で設定が可能です。

1.1 クラスタパスワード方式

設定した操作用パスワード、参照用パスワードで認証する方式です。操作用パスワードで認証した場合は全てのユーザモードを使用可能、参照用パスワードで認証した場合は参照モードのみ使用可能です。パスワードはCLUSTERPROの構成情報に保存されます。

1.2 OS認証方式

OSのユーザー、パスワードで認証する方式です。パスワードを変更する場合、OSのユーザーのパスワードを変更するだけで完了するため、CLUSTERPROのパスワードの設定作業の手間が省けます。

クラスターの操作権限はOSのグループごとに設定するため、ユーザーはグループに所属させておく必要があります。クラスターにグループおよび操作権の有無を設定することで、グループごとに使用可能なユーザモードを制御します。操作権がある場合は全てのユーザモードが使用可能、操作権がない場合は参照モードのみが使用可能です。

  • OS認証方式の場合、Cluster WebUIとクラスターサーバーの通信時に認証情報が外部へ漏洩することを防ぐため、HTTPSを用いた接続を推奨しています。HTTPSの接続の設定方法については以下の記事をご覧ください。

2. OS認証方式の事前準備

OS認証方式の場合は、事前準備として認証に使用するグループとユーザーを作成します。既存のグループとユーザーも使用可能ですが、今回は新しくグループとユーザーを作成する手順を説明します。

2.1 Windowsの準備

Windowsでは、クラスターサーバーがワークグループに所属しているか、ドメインに所属しているかによって設定方法が異なります。

2.1.1 クラスターサーバーがワークグループに所属している場合

すべてのクラスターサーバーで、グループ名とユーザー名がそれぞれ共通となるように設定します。今回は、デフォルトのワークグループを使用し、以下のようにグループとユーザーを作成します。

■ ワークグループ名:WORKGROUP

・すべてのユーザモードが使用可能なグループ
  グループ名 :clpgroup_admin
  所属ユーザー:work_user1
  パスワード :<任意のパスワード>

・参照モードのみ使用可能なグループ
  グループ名 :clpgroup_user
  所属ユーザー:work_user2
  パスワード :<任意のパスワード>

グループとユーザーの設定方法は以下となります。

  • Windows管理ツールから、「コンピューターの管理」をクリックします。
  • 「ローカルユーザーとグループ」でユーザー(work_user1)を作成します。

ローカルユーザーの設定

  • グループ(clpgroup_admin)を作成します。この時、作成するグループに②で作成したユーザー(work_user1)を追加します。

ローカルグループの作成

work_user2や、clpgroup_userも同様の手順で作成します。

2.1.2 クラスターサーバーがドメインに所属している場合

Active Directoryサーバー(以降、ADサーバー)で、ドメイン環境下のグループとユーザーの設定をします。事前にAD・DNSサーバーを構築し、クラスターサーバーをドメインに所属させています。今回は、ドメイン名は「clptest.com」とし、以下のグループとユーザーを作成します。

■ ドメイン名:clptest.com

・すべてのユーザモードが使用可能なグループ
  グループ名 :clpgroup_admin
  所属ユーザー:domain_user1
  パスワード :<任意のパスワード>

・参照モードのみ使用可能なグループ
  グループ名 :clpgroup_user
  所属ユーザー:domain_user2
  パスワード :<任意のパスワード>

  • AD・DNSサーバーで、サーバーマネージャーを開き、右上のツールから「Active Directoryユーザーとコンピューター」を選択します。

  • ユーザー(domain_user1)、グループ(clpgroup_admin)を作成します。

ドメインユーザーの作成
ドメインユーザーのパスワード設定
ドメイングループの作成

  • 作成したグループにユーザーを追加します。

ドメイングループにユーザーを追加する

domain_user2や、clpgroup_userも同様の手順で作成します。

2.2 Linuxの準備

Linuxでは、すべてのクラスターサーバーで、グループ名とユーザー名がそれぞれ共通となるように設定します。以下ではコマンドにより各設定を行いますが、その際、管理者権限を持つユーザーで実行します。

・すべてのユーザモードが使用可能なグループ
  グループ名 :clpgroup_admin
  所属ユーザー:work_user1
  パスワード :<任意のパスワード>

・参照モードのみ使用可能なグループ
  グループ名 :clpgroup_user
  所属ユーザー:work_user2
  パスワード :<任意のパスワード>

作成手順は以下の通りです。

  • ユーザー(work_user1)を作成します。
# adduser work_user1

  • ユーザー(work_user1)のパスワードを設定します。
# passwd work_user1

  • グループ(clpgroup_admin)を作成します。
# groupadd clpgroup_admin

  • 作成したグループ(clpgroup_admin)にユーザー(work_user1)を追加します。
# usermod -g clpgroup_admin work_user1

work_user2や、clpgroup_userも同様の手順で作成します。

3. CLUSTERPROの設定手順

Cluster WebUIへの接続をパスワードにより制御する設定を有効化します。設定手順はWindowsとLinuxで共通です。
今回は以下の環境で設定を行います。

■ Windowsの環境

・Windows Server 2022
・CLUSTERPRO X 5.2 for Windows (内部バージョン:13.20)

■ Linuxの環境

・Red Hat Enterprise Linux 8.6.0
・CLUSTERPRO X 5.2 for Linux (内部バージョン:5.2.0-1)

  • 以降のCluster WebUIのキャプチャはCLUSTERPRO X 5.2 for Windowsのものです。

3.1 設定ファイルのバックアップ

パスワードによる接続の制御を有効化した場合、ログイン可能なパスワードの紛失やOSのグループを誤って削除してしまった場合にCluster WebUIにログインできなくなります。その場合、Cluster WebUIで設定変更ができないため、事前にパスワード設定前の設定ファイルのバックアップをとることを推奨します。

設定モードでページ左上の「設定のエクスポート」をクリックします。

zip形式で設定ファイルがダウンロードされます。これでバックアップは完了です。

設定を元に戻したい場合は、クラスターサーバーにログインして、ダウンロードした設定ファイル(zipファイル)を任意の場所に保存して展開します。その後、clpcfctrl --pushコマンドを実行してパスワード設定前の設定ファイルを反映します。コマンドはWindows・Linux共通となります。

例)

clpcfctrl --push -x <設定ファイルの格納フォルダー/ディレクトリ>

これにより、バックアップした設定ファイルが各クラスターサーバーに反映され、パスワード設定前の状態に戻すことができます。

3.2 パスワード設定画面

設定ファイルのバックアップ取得後、パスワードによる接続制御の設定画面へ移動します。
Cluster WebUIで設定モードに変更後、「クラスタのプロパティ」(歯車マーク)をクリックします。

「WebManager」タブに移動し、「パスワードによって接続を制御する」の「設定」をクリックします。

パスワード設定画面への遷移

3.3 クラスタパスワード方式

パスワード設定画面で「クラスタパスワード方式」を選択し、操作用または参照用パスワード横の「変更」をクリックします。

操作用・参照用パスワードの変更

新しいパスワードを設定します。既に設定しているパスワードがある場合、古いパスワードを入力する必要があります。

新しいパスワードの設定

操作用または参照用パスワードの内、どちらか一方のパスワードのみを設定した場合、もう一方のパスワードは未設定となりパスワード入力無しで接続可能となります。
設定が完了したら、クラスターに設定を反映します。反映後にはCluster WebUIから切断されますので、ブラウザで再読み込みをしてください。

3.4 OS認証方式

パスワード設定画面で「OS認証方式」を選択し、「追加」をクリックします。

OS認証方式でグループを追加

グループ名を設定します。追加したユーザーが所属しているグループ名を入力します。
今回は、「2. OS認証方式の事前準備」で作成したグループ(clpgroup_adminやclpgroup_user)を入力します。

グループの入力

グループの追加後、グループに対して操作権を設定します。
「操作権」のチェックボックスをオンにするとすべてのユーザモードが使用可能、チェックボックスをオフにすると参照モードのみ使用可能となります。操作権は登録しているグループの内、少なくとも1つのグループに付与する必要があります。

操作権の設定

設定が完了したら、クラスターに設定を反映します。反映後にはCluster WebUIから切断されますので、ブラウザで再読み込みをしてください。

4. 動作確認

Cluster WebUIに設定したユーザ、パスワードでログインし、設定した権限で操作できることを確認します。

Cluster WebUIに接続します。ユーザやパスワードの入力画面が表示されます。クラスタパスワード方式とOS認証方式で入力画面が異なります。

  • クラスタパスワード方式の場合
    権限を選択し、設定したパスワードを入力します。
    「操作可能」を選択した場合は、操作用パスワードに設定したパスワード、「参照可能」を選択した場合は、参照用パスワードに設定したパスワードを入力します。
    「3.3 クラスタパスワード方式」で、パスワードを未設定としたモードでログインする場合は、パスワード欄に何も入力せずにログインします。

クラスタパスワード方式のパスワード入力画面

  • OS認証方式の場合
    設定したユーザとパスワードを以下のように入力します。

■ Windows

  • ユーザ
    ワークグループの場合:登録したグループに所属するユーザ名
               例)work_user1
    ドメインの場合   :<ドメイン名>\<ユーザー名>
               例)clptest.com\domain_user1
  • パスワード
    登録したグループに所属しているユーザに対するパスワード

■ Linux

  • ユーザ
    登録したグループに所属するユーザ名
               例)work_user1
  • パスワード
    登録したグループに所属しているユーザに対するパスワード

OS認証方式のパスワード入力画面

ログイン後、操作権限(ユーザモード)を確認します。

  • 操作用パスワードや操作権があるグループのユーザーでログインした場合
    ユーザモードが操作モードになっており、クラスターの操作ができることを確認します。

  • 参照用パスワードや操作権がないグループのユーザーでログインした場合
    ユーザモードが参照モードになっており、クラスターの参照のみができることを確認します。

クラスタパスワード方式を設定している場合、参照用パスワードでログインしてから操作モード等に切り替えようとすると、操作用パスワードの入力を求められます。

参照モード→操作モード切替時のパスワード入力

まとめ

今回は、Cluster WebUIへの接続をパスワードで制御する方法をご紹介しました。
セキュリティの観点から接続の制御が必要になった際に、ご紹介した設定方法をご活用ください。

本記事の構成をご検討の際は、CLUSTERPROのpopup試用版を用いて検証した後、ご提案・構築ください。

お問い合わせ

CLUSTERPROに関するお問い合わせは、popupお問い合わせ窓口までお問い合わせください。