配置 CIS 服务

选择此选项可将 CIS 配置为单个节点或 NCS (Novell Cluster Services) 群集资源。

先决条件

  • 开始进行 CIS 配置前,请确保(在群集模式中)配置了数据库和基础结构服务。

  • 确保为群集配置保留群集资源主机名或 IP 地址。

  • 要使 CIS 服务器在群集环境中正常运行,请确保所有节点均使用 OES 2018 SP2 进行配置。必须在已安装 CIS 的服务器上安装和运行 Novell Cluster Services (NCS)。有关信息,请参阅 OES Cluster Services for Linux Administration Guide(《适用于 Linux 的 OES Cluster Services (NCS) 管理指南》)中的 Installing, Configuring, and Repairing Novell Cluster Services(安装、配置和修复 Novell Cluster Services (NCS))。

操作步骤

  1. 配置位置: 指定以下内容:

    将 CIS 配置为 NCS 群集资源: 在集群环境中配置 CIS。默认情况下,启用此选项。

    • 主机名称/IP 地址: 指定独立服务器的地址以及 CIS 服务器所属的 NCS 群集资源的资源或虚拟 IP 地址或主机名。

    • 配置路径: 指定储存 CIS 配置文件和日志文件的 NSS 媒体路径。例如,/media/nss/CISVOL1。

  2. 数据库: 指定以下内容:

    1. 选择 MariaDBMS SQL 数据库。

    2. 指定数据库主机名或 IP 地址和端口。默认情况下,MariaDB 和 MS SQL 的数据库端口分别为 3306 和 1433。

    3. 指定数据库的用户名和口令。

    4. 连接参数: 如果通过连接参数配置 MS SQL,请指定值。这不是必填字段。

    5. 使用保护连接: 启用或禁用要保护的数据库连接。默认情况下,禁用此选项。

      如果选择 MariaDB 数据库,请指定以下内容:

      注:确保将 MariaDB 客户端证书复制到 CIS 服务器。

      • 客户端 CA 证书文件路径: 指定 .pem 格式的客户端证书颁发机构 (CA) 文件的路径。

      • 客户端证书文件路径: 指定 .pem 格式的客户端证书文件的路径。

      • 客户端密钥文件路径: 指定 .pem 格式的与客户端证书相关的密钥文件路径。

  3. 基础结构服务器主机名/IP 地址: 指定所有已配置基础结构服务器 HA 节点的主机名或 IP 地址。用逗号隔开多个条目。

  4. 单击验证。如果存在错误,请确保先解决错误,然后再继续。

  5. 有环境的 CIS Admin 名称: 指定管理 CIS 服务器的用户的 LDAP 判别名 (DN)。例如,cn=admin,o=acme。

  6. Admin 口令: 指定 CIS 管理员的口令。

  7. 代理搜索环境: 指定可连接到 CIS 服务器的 OES 服务器的 NCP 服务器对象驻留的容器对象的 LDAP 判别名 (DN)。OES 服务器包括连接到 CIS 服务器的代理。CIS Admin 用户必须具备对此服务器环境的监督权限。

  8. 单击下一步。查看配置摘要,然后单击完成。这将在群集的第一个节点中配置 CIS。

  9. 配置 CIS 服务时,servercert.pemserverkey.pem 将复制到/etc/opt/novell/cis/certs 位置。将通过群集节点的主机名和 IP 地址配置 servercert.pem

    要将 CIS 服务器作为群集资源,则必须用新创建的 servercert.pem 文件替换它。要创建此证书文件,请参阅 CIS 管理指南。

  10. 要将其他节点配置为属于此 CIS 群集: 登录 iManager 并执行下列操作:

    1. 在“角色和任务”下,选择群集 > 我的群集,然后选择群集。

    2. 在“群集管理器”页面或“群集选项”页面中,选择群集资源以查看其属性,然后单击脚本选项卡。

    3. 单击装载脚本卸载脚本监视程序脚本链接查看或修改脚本。如果修改脚本,离开页面前,单击应用以保存更改。

      1. 编辑资源池的卸载脚本。在 NSS 卸载语句前添加下列行。

        ignore_error /usr/bin/systemctl stop oes-cis-fluentbit.serviceignore_error /usr/bin/systemctl stop oes-cis-auth.serviceignore_error /usr/bin/systemctl stop oes-cis-data.serviceignore_error /usr/bin/systemctl stop oes-cis-metadata.serviceignore_error /usr/bin/systemctl stop oes-cis-policy.serviceignore_error /usr/bin/systemctl stop oes-cis-mgmt.serviceignore_error /usr/bin/systemctl stop oes-cis-aggregator.serviceignore_error /usr/bin/systemctl stop oes-cis-collector.serviceignore_error /usr/bin/systemctl stop oes-cis-repaggregator.serviceignore_error /usr/bin/systemctl stop oes-cis-repcollector.serviceignore_error /usr/bin/systemctl stop oes-cis-gateway.serviceignore_error /usr/bin/systemctl stop oes-cis-configuration.service

      2. 编辑资源池的装载脚本。在 exit 0 语句前添加下列行。

        #update the links/bin/bash /opt/novell/cis/bin/update_cislinks.sh cis <New media path># start the servicesexit_on_error /usr/bin/systemctl start oes-cis-fluentbit.serviceexit_on_error /usr/bin/systemctl start oes-cis-configuration.serviceexit_on_error /usr/bin/systemctl start oes-cis-auth.serviceexit_on_error /usr/bin/systemctl start oes-cis-data.serviceexit_on_error /usr/bin/systemctl start oes-cis-metadata.serviceexit_on_error /usr/bin/systemctl start oes-cis-policy.serviceexit_on_error /usr/bin/systemctl start oes-cis-mgmt.serviceexit_on_error /usr/bin/systemctl start oes-cis-aggregator.serviceexit_on_error /usr/bin/systemctl start oes-cis-collector.serviceexit_on_error /usr/bin/systemctl start oes-cis-repaggregator.serviceexit_on_error /usr/bin/systemctl start oes-cis-repcollector.serviceexit_on_error /usr/bin/systemctl start oes-cis-gateway.service# wait before checking their statussleep 5# check the servicesexit_on_error /usr/bin/systemctl is-active oes-cis-fluentbit.serviceexit_on_error /usr/bin/systemctl is-active oes-cis-configuration.serviceexit_on_error /usr/bin/systemctl is-active oes-cis-auth.serviceexit_on_error /usr/bin/systemctl is-active oes-cis-data.serviceexit_on_error /usr/bin/systemctl is-active oes-cis-metadata.serviceexit_on_error /usr/bin/systemctl is-active oes-cis-policy.serviceexit_on_error /usr/bin/systemctl is-active oes-cis-mgmt.serviceexit_on_error /usr/bin/systemctl is-active oes-cis-aggregator.serviceexit_on_error /usr/bin/systemctl is-active oes-cis-collector.serviceexit_on_error /usr/bin/systemctl is-active oes-cis-repaggregator.serviceexit_on_error /usr/bin/systemctl is-active oes-cis-repcollector.serviceexit_on_error /usr/bin/systemctl is-active oes-cis-gateway.service# restart firewall if its runningsystemctl status SuSEfirewall2.serviceif [ $? -eq 0 ]; then ignore_error systemctl restart SuSEfirewall2.servicefi

      3. 编辑资源池的监视程序脚本。在 exit 0 语句前添加下列行。

        exit_on_error /usr/bin/systemctl is-active oes-cis-fluentbit.serviceexit_on_error /usr/bin/systemctl is-active oes-cis-auth.serviceexit_on_error /usr/bin/systemctl is-active oes-cis-data.serviceexit_on_error /usr/bin/systemctl is-active oes-cis-metadata.serviceexit_on_error /usr/bin/systemctl is-active oes-cis-policy.serviceexit_on_error /usr/bin/systemctl is-active oes-cis-mgmt.serviceexit_on_error /usr/bin/systemctl is-active oes-cis-aggregator.serviceexit_on_error /usr/bin/systemctl is-active oes-cis-collector.serviceexit_on_error /usr/bin/systemctl is-active oes-cis-repaggregator.serviceexit_on_error /usr/bin/systemctl is-active oes-cis-repcollector.serviceexit_on_error /usr/bin/systemctl is-active oes-cis-gateway.serviceexit_on_error /usr/bin/systemctl is-active oes-cis-configuration.service

      4. 使资源脱机并再次联机后,更改才会生效。

有关更多信息,请参见 法律声明.