OpenWBEM

目錄

11.1. 安裝 OpenWBEM
11.2. 變更 OpenWBEM CIMOM 組態
11.3. 如需更多資訊

NovellŽ 已接納分散式管理任務推動小組 (Distributed Management Task Force, DMTF) 所擬定之網路企業管理 (Web-Based Enterprise Management, WBEM) 開放標準策略。應用這些策略可以大幅降低與管理網路中異質系統相關的複雜性程度。

以下內容將介紹根據 DMTF 標準所擬定之部分元件。認識這些元件和它們彼此之間的關聯,有助於您了解 OpenWBEM 是什麼,以及您要如何最有效地在網路中應用這項工具。

SUSEŽ Linux Enterprise Server 包含 OpenWBEM 計劃 的開放原始碼 CIMOM。

網路企業管理 (Web-Based Enterprise Management) 軟體選項包括了一組包含基本 Novell 提供者的套件,其中包括一些範例提供者,以及附隨 Novell 綱要的基礎組合。

由於 Novell 隨時與 OpenWBEM 和特定提供者開發同時演進,因此,我們會開發可提供下列重要功能的工具:

認識如何安裝和設定 OpenWBEM CIMOM 的方式,有助於您更有自信、更輕鬆地監控和管理網路中的異質系統。

安裝 OpenWBEM

若要安裝 OpenWBEM,請在安裝 SUSE Linux Enterprise Server 時選取 YaST 中的 WBEM 軟體選項或模式,或者選取它做為要安裝在已執行 SUSE Linux Enterprise Server 伺服器上的元件。這個軟體選項包含了下列套件:

cim-schema,也就是共用資訊模型 (CIM) 綱要:

此套件包含通用資訊模型 (CIM)。CIM 是描述網路或企業環境內所有管理資訊的模型。CIM 由規格和綱要所組成。其中的規格定義了與其他管理模型整合的詳細資訊。而綱要則會提供實際的模型描述。

openwbem,即網路企業管理 (WBEM) 實作:

此套件包含 OpenWBEM 的實作。OpenWBEM是指一組可協助部署分散式管理任務推動小組 (DMTF) CIM 和 WBEM 技術的軟體元件。如果您不清楚 DMTF 及其技術,請造訪 DMTF 網站

openwbem-base-providers:

這個套件包含針對 OpenWBEM CIMOM 所使用基本作業系統元件的 Novell Linux 測試工具,其中包括電腦、系統、作業系統和處理器等元件。

openwbem-smash-providers:

這個套件包含針對 OpenWBEM CIMOM 所使用伺服器硬體系統管理結構 (Systems Management Architecture for Server Hardware, SMASH) 提供者的 Novell Linux 測試工具。

yast2-cim,即 YaST2 - CIM 繫結功能:

此套件會將 CIM 繫結新增到 YaST2 (YaST2 是 SUSE 系統工具管理員的圖形使用者介面)。這些繫結功能會提供存取共用資訊模型物件管理員 (CIMOM) 的用戶端介面。

本節包含以下資訊:

啟動、停止 owcimomd,或是檢查其狀態

網路企業管理軟體完成安裝後,系統會預設啟動精靈 owcimomd。下表將說明如何啟動、停止和檢查 owcimomd 的狀態。

表格 11.1. 管理 owcimomd 的指令

任務

Linux 指令

啟動 owcimomd

以 root 身份,在主控台外圍程序中輸入 rcowcimomd start

停止 owcimomd

以 root 身份,在主控台外圍程序中輸入 rcowcimomd stop

檢查 owcimomd 狀態

以 root 身份,在主控台外圍程序中輸入 rcowcimomd status


確保安全的存取

OpenWBEM 的預設設定相當安全。然而,您可以檢閱下面項目,確保 OpenWBEM 元件的存取是否符合您組織的安全性需求。

憑證

安全通訊端層 (SSL) 傳輸必須使用憑證,才能執行安全通訊服務。當 OES 安裝完成時,OpenWBEM 便已產生自己的自簽憑證。

如有必要,您可以將預設憑證的路徑取代成購買的商用憑證路徑,或是取代成在 /etc/openwbem/openwbem.conf 檔案的 http_server.SSL_cert = path_filename 設定中所產生的其他憑證路徑。

預設產生的憑證會存放在下列位置:

/etc/openwbem/servercert.pem

如果要產生新憑證,請使用下列指令。執行這個指令便可取代目前的憑證,所以 Novell 會建議在產生新憑證之前先複製舊憑證作為備份。

以 root 的身份,在主控台外圍程序中輸入

sh/etc/openwbem/owgencert

如果您要變更 OpenWBEM 所使用的憑證,請參閱第 11.2.2 節「變更憑證設定」

OpenWBEM 預設接受來自安全連接埠 5989 的所有通俊。下表說明連接埠設定與建議組態。

表格 11.2. 埠通訊設定和建議組態

類型

備註和建議

5989

安全

OpenWBEM 通訊使用的安全埠會經過 HTTPS 服務。

此為預設的組態。

如果使用這項設定,當透過網際網路在伺服器和工作站之間傳送時,所有 CIMOM 和用戶端應用程式之間的通訊都會進行加密。使用者必須通過用戶端應用程式驗證,才可以檢視這份資訊。

Novell 建議維護在組態檔案中的這項設定。

為了使 OpenWBEM CIMOM 可以與必要的應用程式進行通訊,如果路由器和防火牆是位在用戶端應用程式和受監控節點之間,則其中的這個埠必須為開啟狀態。

5988

不安全

OpenWBEM 通訊使用的不安全埠會經過 HTTP 服務。

這項設定已預設為停用。

使用這項設定時,所有 CIMOM 和用戶端應用程式之間的通訊,在透過網際網路在伺服器和工作站之間傳送時,都會開放提供任何人檢視,而不用任何驗證。

Novell 建議只在嘗試為 CIMOM 相關問題除錯時使用這項設定。一旦問題獲得解決,請將不安全埠選項設回「停用」。

為了使 OpenWBEM CIMOM 可以與要求不安全存取權限之必要應用程式進行通訊,如果路由器和防火牆是位在用戶端應用程式和受監控節點之間,則其中的這個埠必須為開啟狀態。


如果您要變更預設的埠指定,請參閱第 11.2.3 節「變更埠設定」

驗證

SUSE Linux Enterprise Server 中的 OpenWBEM 已經預設並啟用下列驗證設定:

您可以變更其中任何一項預設設定。請參閱第 11.2.1 節「變更驗證設定」

  • http_server.allow_local_authentication = true

  • http_server.ssl_client_verification = disabled

  • http_server.use_digest = false

  • owcimomd.allow_anonymous = false

  • owcimomd.allowed_users = root

  • owcimomd.authentication_module = /usr/lib/openwbem/authentication/libpamauthentication.so

此 OpenWBEM CIMOM 已經預設啟用 PAM 功能;因此,本地 root 使用者可以使用本地 root 使用者認證向 OpenWBEM CIMOM 進行驗證。

設定記錄

您可以變更其中任何一項預設設定。若需要更多的資訊,請參閱第 11.2.4 節「變更預設的記錄設定」

根據預設,這時您要依照下面項目來設定 OpenWBEM 記錄功能。

  • log.main.components = *

  • log.main.level = ERROR

  • log.main.type = syslog

這表示 owcimomd 記錄已設定成移到 /var/log/messages 檔案或其他檔案,這將由 syslogd 的組態來決定。它會記錄全部元件 (owcimomd) 的所有錯誤。