Zum Hauptinhalt springen

Als das ftStorage-Array ursprünglich konzipiert wurde, war der Gedanke, dass Administratoren, wenn es notwendig war, etwas auf dem Array zu konfigurieren, entweder die Befehlszeilenschnittstelle von einer OpenVOS-Anmeldesitzung oder den OpenVOS-Konsolen-PC für den Zugriff auf die GUI-Schnittstelle verwenden würden. Viele Administratoren bevorzugen die GUI-Schnittstelle. Leider ist die Konsole mit dem Wartungsnetzwerk verbunden und befindet sich in der Nähe des Systems. Das macht sie für die meisten Administratoren unbequem - insbesondere für Administratoren von Lights-Out-Installationen. Es gibt jedoch mehrere Lösungen, die eine Fernverbindung zur GUI-Schnittstelle ermöglichen.

Remote Desktop in der Konsole
Da es sich bei der Konsole um einen PC handelt, besteht eine Lösung darin, ihr einen weiteren Netzwerkadapter hinzuzufügen. Dieser zweite Adapter wird dann an ein Netzwerk angeschlossen, das über einen Fernzugriff verfügt. Die Systemadministratoren verwenden dann einen Remote-Desktop-Client, um sich mit dem Konsolen-PC zu verbinden und sich praktisch vor den Bildschirm, die Tastatur und die Maus der Konsole zu setzen. Der Hauptvorteil dieses Ansatzes besteht darin, dass keine zusätzliche Software erforderlich ist, da sich die Remote-Desktop-Software bereits auf dem Konsolen-PC und wahrscheinlich auch auf dem Arbeitsplatz des Administrators befindet. Der größte Nachteil ist neben der Notwendigkeit, den Netzwerkadapter hinzuzufügen und mit dem Netzwerk zu verbinden, die schwache Sicherheit: Jeder, der Zugang zum entfernten Netzwerk hat, kann auf den Konsolen-PC zugreifen. Selbst wenn er kein Benutzerkonto hat, kann er versuchen, sich in den PC zu hacken und von dort aus in alle Geräte im Wartungsnetzwerk, einschließlich des OpenVOS-Systems.

Lokales Routing
Dies setzt voraus, dass der Systemadministrator von einer Workstation aus arbeitet, die sich im selben lokalen Subnetz befindet wie das OpenVOS-System, das an das ftStorage-Array angeschlossen ist. Damit dies funktioniert, müssen drei Dinge konfiguriert werden. Erstens muss auf der Workstation des Administrators eine Route zum Storage Array eingerichtet werden, die das OpenVOS-System als Gateway verwendet. Zweitens müssen Sie das ftStorage-Array so konfigurieren, dass es eine Standardroute hat, die das OpenVOS-System als Gateway verwendet. Drittens muss das OpenVOS-System für die Weiterleitung von Paketen konfiguriert werden. Der Hauptvorteil dieses Ansatzes ist, dass keine zusätzliche Software benötigt wird. Nachteilig ist, dass sich die Workstation des Administrators im gleichen Subnetz wie das OpenVOS-System befinden muss und dass OpenVOS für die Weiterleitung von Paketen konfiguriert werden muss. Dies kann als Sicherheitsrisiko betrachtet werden, da man OpenVOS im Allgemeinen nicht vorschreiben kann, welche Pakete weitergeleitet werden sollen und welche nicht (siehe jedoch Eine hostbasierte Firewall für VOS).

SSH-Tunneling von VOS aus
Wenn "OpenSSL und OpenSSH für VOS" auf dem OpenVOS-System installiert ist, ist es möglich, einen Port-Forwarder zu erstellen, der es jedem mit TCP-Zugang zum OpenVOS-System ermöglicht, sich mit dem ftStorage-Array zu verbinden. Unter der Annahme, dass sich das ftStorage-Array auf 10.10.1.20 befindet, würde der Befehl lauten

>system>openssl>bin>ssh -2TNxg -L 49876:10.10.1.20:80 USERNAME@127.0.0.1

Dabei ist USERNAME der Anmeldename des Administrators. Wenn der Administrator einen öffentlichen Schlüssel auf dem OpenVOS-System eingerichtet hat, kann er diesen Schlüssel zu seiner authorized_keys-Datei hinzufügen und wird nicht zur Eingabe eines Passworts aufgefordert. Das bedeutet, dass er den Befehl als gestarteten Prozess ausführen kann. Siehe Stratus STCP SSH einrichten, um die Authentifizierung mit öffentlichem Schlüssel zu verwenden.

start_process '>system>openssl>bin>ssh -2TNxg -L 49876:10.10.1.20:80 USERNAME@127.0.0.1' -output_path foo.out -process_name foo

Sobald der Befehl ausgeführt wird, startet der Administrator seinen Browser auf seiner Arbeitsstation und verwendet die URL "http://openvos-system-name:49876/", wobei OpenVOS-SYSTEM-NAME der Name oder die IP-Adresse des Systems ist.

Abbildung 1

Der Hauptvorteil dieses Ansatzes besteht darin, dass auf dem Arbeitsplatzrechner keine zusätzliche Software benötigt wird. Wenn SSH als gestarteter Prozess ausgeführt wird, muss es auch nur einmal gestartet werden und kann von mehreren Administratoren zu verschiedenen Zeiten verwendet werden. Der Hauptnachteil ist wiederum die schwache Sicherheit; jeder, nicht nur registrierte Benutzer, von überall, wo eine TCP-Verbindung zum OpenVOS-System besteht, könnte auf das ftStorage-Gateway zugreifen. Es gibt keine Login-Autorisierung auf dem VOS-System, obwohl das ftStorage-Array eine Benutzer-ID und ein Passwort erfordert. Ich würde diesen Ansatz nicht ohne eine Firewall implementieren, die den lokalen Port schützt, der als das abhörende Ende des Tunnels ausgewählt wurde (wiederum eine hostbasierte Firewall für VOS).

SSH-Tunnel von der Workstation aus
Wenn "OpenSSL und OpenSSH für VOS" auf dem OpenVOS-System installiert ist, ist es möglich, einen PC-basierten Tunnel einzurichten, der eine Portweiterleitung vom PC aus ermöglicht. Der Hauptvorteil dieses Ansatzes ist die hohe Sicherheit, denn er erfordert eine VOS-Authentifizierung, um den Tunnel einzurichten, und verschlüsselt alle Pakete zwischen der Workstation und OpenVOS. Der Hauptnachteil ist, dass jeder Administrator den Tunnel jedes Mal einrichten muss, wenn er ihn benutzen will, und dass er eine SSH-Software auf seiner Workstation installieren muss.

Es gibt mehrere SSH-Softwarepakete, mit denen ich vertraut bin. Wenn Sie lediglich die Einrichtung eines SSH-Tunnels planen, ist PuTTY am einfachsten zu benutzen. Es ist außerdem kostenlos; Sie können es von http://www.chiark.greenend.org.uk/~sgtatham/putty/ herunterladen.

Die folgenden Schritte können verwendet werden, um PuTTY 0.60 zu konfigurieren, die zum Zeitpunkt der Veröffentlichung dieses Blogs die aktuelle Version von Putty war.

Wenn PuTTY gestartet wird, erscheint ein Konfigurationsdialog. Erweitern Sie im Kategoriebereich auf der linken Seite des Dialogs den Abschnitt SSH und wählen Sie Tunnel. Geben Sie in das Eingabefeld für den Quellport die lokale Portnummer ein, an der die Workstation lauschen soll, in Abbildung 2 ist es 49876. Geben Sie in das Ziel-Eingabefeld die IP-Adresse des ftStorage-Arrays, einen Doppelpunkt und die Portnummer 80 ein, in Abbildung 2 10.10.1.20:80. Drücken Sie auf die Schaltfläche Hinzufügen, um diese Informationen aus den Eingabefeldern in die Anzeige "Weitergeleitete Ports" in der Mitte der rechten Seite des Dialogs zu übertragen.

Abbildung 2

Wählen Sie nun die Kategorie SSH. Aktivieren Sie unter "Protokolloptionen" die Kontrollkästchen "Überhaupt keine Shell oder keinen Befehl starten" und "Nur 2". SSH-Protokoll Version 1 gilt nicht mehr als sicher und sollte nicht verwendet werden.

Abbildung 3

Gehen Sie nun zurück in die Kategorie Sitzung und geben Sie den Namen oder die IP-Adresse des OpenVOS-Systems ein und drücken Sie auf Öffnen

Abbildung 4

PuTTY fragt nach dem Benutzernamen und nach dem Herstellen der Verbindung nach dem Passwort. Wenn keine Fehler aufgetreten sind, können Sie das Fenster minimieren oder im Hintergrund belassen. Schließen Sie das Fenster nicht, sonst verlieren Sie die Verbindung.

Abbildung 5

Öffnen Sie schließlich einen Browser und geben Sie die URL 127.0.0.1:49876 ein

Abbildung 6

Wenn Sie fertig sind, schließen Sie den Browser oder zumindest die Registerkarte, die mit dem ftStorage-Array verbunden ist, und schließen dann das PuTTY-Fenster.

© 2020 Stratus Technologies.