Als das ftStorage-Array ursprünglich konzipiert wurde, ging man davon aus, dass Administratoren bei der Konfiguration des Arrays entweder die Befehlszeilenschnittstelle einer OpenVOS-Anmeldesitzung oder den OpenVOS-Konsolen-PC verwenden würden, um auf die GUI-Schnittstelle zuzugreifen. Viele Administratoren bevorzugen die GUI-Schnittstelle. Leider ist die Konsole mit dem Wartungsnetzwerk verbunden und befindet sich in der Nähe des Systems. Dies ist für die meisten Administratoren – insbesondere für Administratoren von Lights-Out-Installationen – unpraktisch. Es gibt jedoch mehrere Lösungen, die eine Fernverbindung zur GUI-Schnittstelle ermöglichen.
Remote-Desktop in die Konsolen
Da es sich bei der Konsole um einen PC handelt, besteht eine Lösung darin, einen weiteren Netzwerkadapter hinzuzufügen. Dieser zweite Adapter wird dann mit einem Netzwerk verbunden, das über Fernzugriff verfügt. Systemadministratoren verwenden dann einen Remote-Desktop-Client, um sich mit dem Konsolen-PC zu verbinden und sich effektiv vor den Bildschirm, die Tastatur und die Maus der Konsole zu setzen. Der Hauptvorteil dieses Ansatzes besteht darin, dass keine zusätzliche Software erforderlich ist, da die Remote-Desktop-Software bereits auf dem Konsolen-PC und wahrscheinlich auch auf der Workstation des Administrators installiert ist. Der größte Nachteil neben der Notwendigkeit, den Netzwerkadapter hinzuzufügen und mit dem Netzwerk zu verbinden, ist die geringe Sicherheit: Jeder, der Zugriff auf das Remote-Netzwerk hat, hat auch Zugriff auf den Konsolen-PC. Selbst wenn sie kein Login-Konto haben, können sie versuchen, sich in den PC und von dort aus in alle Geräte im Wartungsnetzwerk, einschließlich des OpenVOS-Systems, zu hacken.
Lokales Routing-
Hierbei wird davon ausgegangen, dass der Systemadministrator von einer Workstation aus arbeitet, die sich im selben lokalen Subnetz befindet wie das OpenVOS-System, das mit dem ftStorage-Array verbunden ist. Damit dies funktioniert, müssen drei Dinge konfiguriert werden. Erstens muss auf der Workstation des Administrators eine Route zum Speicherarray eingerichtet werden, wobei das OpenVOS-System als Gateway verwendet wird. Zweitens müssen Sie das ftStorage-Array so konfigurieren, dass es eine Standardroute hat, die das OpenVOS-System als Gateway verwendet. Drittens muss das OpenVOS-System so konfiguriert werden, dass es Pakete weiterleitet. Der Hauptvorteil dieses Ansatzes besteht darin, dass keine zusätzliche Software erforderlich ist. Die Nachteile sind, dass sich die Workstation des Administrators im selben Subnetz wie das OpenVOS-System befinden muss und dass OpenVOS so konfiguriert sein muss, dass es Pakete weiterleitet. Dies kann als Sicherheitsrisiko angesehen werden, da Sie OpenVOS im Allgemeinen nicht mitteilen können, welche Pakete weitergeleitet werden sollen und welche nicht (siehe jedoch „Eine hostbasierte Firewall für VOS“).
SSH-Tunneling von VOS
Wenn „OpenSSL und OpenSSH für VOS” auf dem OpenVOS-System installiert ist, kann ein Port-Forwarder erstellt werden, der es jedem mit TCP-Zugriff auf das OpenVOS-System ermöglicht, eine Verbindung zum ftStorage-Array herzustellen. Angenommen, das ftStorage-Array befindet sich unter 10.10.1.20, würde der Befehl wie folgt lauten
>system>openssl>bin>ssh -2TNxg -L 49876:10.10.1.20:80 [email protected]
Dabei ist USERNAME der Anmeldename des Administrators. Wenn der Administrator einen öffentlichen Schlüssel auf dem OpenVOS-System eingerichtet hat, kann er diesen Schlüssel zu seiner Datei „authorized_keys“ hinzufügen, sodass er nicht zur Eingabe eines Passworts aufgefordert wird. Das bedeutet, dass er den Befehl als gestarteten Prozess ausführen könnte. Siehe Einrichten von Stratus SSH für die Verwendung der Authentifizierung mit öffentlichem Schlüssel.
start_process '>system>openssl>bin>ssh -2TNxg -L 49876:10.10.1.20:80 [email protected]' -output_path foo.out -process_name foo
Sobald der Befehl ausgeführt wird, startet der Administrator seinen Browser auf seiner Workstation und gibt die URL „http://openvos-system-name:49876/“ ein, wobei OpenVOS-SYSTEM-NAME für den Namen oder die IP-Adresse des Systems steht.
Abbildung 1
Der Hauptvorteil dieses Ansatzes besteht darin, dass auf der Workstation keine zusätzliche Software erforderlich ist. Wenn SSH als gestarteter Prozess ausgeführt wird, muss es außerdem nur einmal gestartet werden und kann von mehreren Administratoren zu verschiedenen Zeiten verwendet werden. Der Hauptnachteil ist wiederum die geringe Sicherheit: Jeder, nicht nur registrierte Benutzer, der von einem beliebigen Ort aus über eine TCP-Verbindung zum OpenVOS-System verfügt, hätte Zugriff auf das ftStorage-Gateway. Es gibt keine Anmeldeautorisierung auf dem VOS-System, obwohl das ftStorage-Array eine Benutzer-ID und ein Passwort erfordert. Ich würde diesen Ansatz nicht ohne eine Firewall implementieren, die den lokalen Port schützt, der als empfangendes Ende des Tunnels ausgewählt wurde (wieder eine hostbasierte Firewall für VOS).
SSH-Tunneling von der Workstation
Auch hier gilt: Wenn „OpenSSL und OpenSSH für VOS” auf dem OpenVOS-System installiert ist, kann ein PC-basierter Tunnel eingerichtet werden, der Port-Forwarding vom PC aus ermöglicht. Der Hauptvorteil dieses Ansatzes ist die hohe Sicherheit, da für die Einrichtung des Tunnels eine VOS-Authentifizierung erforderlich ist und alle Pakete zwischen der Workstation und OpenVOS verschlüsselt werden. Der Hauptnachteil besteht darin, dass jeder Administrator den Tunnel jedes Mal neu einrichten muss, wenn er ihn verwenden möchte, und dass auf seiner Workstation SSH-Software installiert sein muss.
Es gibt mehrere SSH-Softwarepakete, mit denen ich vertraut bin. Wenn Sie lediglich einen SSH-Tunnel einrichten möchten, ist PuTTY am einfachsten zu verwenden. Es ist außerdem kostenlos und kann unter http://www.chiark.greenend.org.uk/~sgtatham/putty/ heruntergeladen werden.
Die folgenden Schritte können verwendet werden, um PuTTY 0.60 zu konfigurieren, die zum Zeitpunkt der Veröffentlichung dieses Blogs aktuelle Version von Putty.
Beim Start von PuTTY wird ein Konfigurationsdialogfeld angezeigt. Erweitern Sie im Kategoriebereich auf der linken Seite des Dialogfelds den Abschnitt „SSH“ und wählen Sie „Tunnel“ aus. Geben Sie in das Bearbeitungsfeld „Quellport“ die lokale Portnummer ein, auf der die Workstation empfangsbereit ist. In Abbildung 2 ist dies die Nummer 49876. Geben Sie in das Bearbeitungsfeld „Destination“ die IP-Adresse des ftStorage-Arrays, einen Doppelpunkt und die Portnummer 80 ein, in Abbildung 2 also 10.10.1.20:80. Klicken Sie auf die Schaltfläche „Add“, um diese Informationen aus den Bearbeitungsfeldern in die Anzeige „Forwarded Ports“ in der Mitte der rechten Seite des Dialogfelds zu übertragen.
Abbildung 2
Wählen Sie nun die Kategorie „SSH“ aus. Aktivieren Sie unter „Protokolloptionen“ die Optionen „Keine Shell oder Befehl starten“ und „Nur 2“. Das SSH-Protokoll Version 1 gilt nicht mehr als sicher und sollte niemals verwendet werden.
Abbildung 3
Gehen Sie nun zurück zur Kategorie „Sitzung“, geben Sie den Namen oder die IP-Adresse des OpenVOS-Systems ein und klicken Sie auf „Öffnen“.
Abbildung 4
PuTTY fordert Sie zur Eingabe des Benutzernamens und nach dem Herstellen der Verbindung zur Eingabe des Passworts auf. Wenn keine Fehler auftreten, können Sie das Fenster nun minimieren oder einfach im Hintergrund lassen. Schließen Sie das Fenster nicht, da Sie sonst die Verbindung verlieren.
Abbildung 5
Öffnen Sie schließlich einen Browser und geben Sie die URL 127.0.0.1:49876 ein.
Abbildung 6
Wenn Sie fertig sind, schließen Sie den Browser oder zumindest die Registerkarte, die mit dem ftStorage-Array verbunden ist, und schließen Sie dann das PuTTY-Fenster.