Skip to main content

Lors de la conception initiale du ftStorage array, l'idée était que lorsqu'il était nécessaire de configurer quelque chose sur le tableau, les administrateurs utilisaient soit l'interface en ligne de commande d'une session de connexion OpenVOS, soit le PC de la console OpenVOS pour accéder à l'interface graphique. De nombreux administrateurs préfèrent l'interface graphique. Malheureusement, la console est connectée au réseau de maintenance et située à proximité du système. Cela la rend peu pratique pour la plupart des administrateurs - en particulier pour les installations de type "lights out". Il existe cependant plusieurs solutions qui permettent une connexion à distance à l'interface graphique.

Bureau à distance dans la console
Comme la console est un PC, une solution consiste à y ajouter un autre adaptateur réseau. Ce deuxième adaptateur est alors connecté à un réseau qui a un accès à distance. Les administrateurs système utilisent alors un client de bureau à distance pour se connecter au PC de la console et s'asseoir effectivement devant l'écran, le clavier et la souris de la console. Le principal avantage de cette approche est qu'aucun logiciel supplémentaire n'est nécessaire, le logiciel de bureau à distance se trouve déjà sur le PC console et se trouve probablement sur le poste de travail de l'administrateur. Le principal inconvénient, outre le fait qu'il faut bien sûr ajouter l'adaptateur réseau et le connecter au réseau, est la faiblesse de la sécurité ; toute personne ayant accès au réseau distant a accès au PC console. Même si elle n'a pas de compte de connexion, elle peut essayer de pirater le PC et, de là, tous les appareils du réseau de maintenance, y compris le système OpenVOS.

Routage local
Cela suppose que l'administrateur système travaille à partir d'un poste de travail qui se trouve sur le même sous-réseau local que le système OpenVOS connecté au tableau ftStorage. Trois choses doivent être configurées pour que cela fonctionne. Tout d'abord, sur le poste de travail de l'administrateur, une route allant vers la baie de stockage doit être configurée en utilisant le système OpenVOS comme passerelle. Deuxièmement, vous devez configurer la baie de stockage pour qu'elle ait une route par défaut qui utilise le système OpenVOS comme passerelle. Troisièmement, le système OpenVOS doit être configuré pour faire suivre les paquets. Le principal avantage de cette approche est qu'aucun logiciel supplémentaire n'est nécessaire. Les inconvénients sont l'exigence que le poste de travail de l'administrateur soit sur le même sous-réseau que le système OpenVOS et qu'OpenVOS soit configuré pour transmettre des paquets. Cela peut être considéré comme un risque pour la sécurité car, en général, vous ne pouvez pas dire à OpenVOS quels paquets doivent être transférés ou non (mais voir Un pare-feu basé sur l'hôte pour VOS).

Tunnel SSH de VOS
Si "OpenSSL et OpenSSH pour VOS" est installé sur le système OpenVOS, il est possible de créer un port forwarder qui permettrait à toute personne ayant un accès TCP au système OpenVOS de se connecter au tableau ftStorage. En supposant que le tableau ftStorage se trouve à 10.10.1.20, la commande serait

>system>openssl>bin>ssh -2TNxg -L 49876:10.10.1.20:80 USERNAME@127.0.0.1

Où NOM D'UTILISATEUR est le nom de connexion de l'administrateur. Si l'administrateur a configuré une clé publique sur le système OpenVOS, il peut ajouter cette clé à son fichier authorized_keys et il ne sera pas invité à entrer un mot de passe. Cela signifie qu'il peut exécuter la commande comme un processus lancé. Voir Configuration de Stratus STCP SSH pour utiliser l'authentification par clé publique.

start_process '>system>openssl>bin>ssh -2TNxg -L 49876:10.10.1.20:80 USERNAME@127.0.0.1' -output_path foo.out -process_name foo

Une fois la commande exécutée, l'administrateur démarre son navigateur sur son poste de travail et utilise l'URL "http://openvos-system-name:49876/", où OpenVOS-SYSTEM-NAME est le nom ou l'adresse IP du système.

Figure 1

Le principal avantage de cette approche est qu'aucun logiciel supplémentaire n'est nécessaire sur le poste de travail. De plus, si SSH est exécuté comme un processus lancé, il ne doit être lancé qu'une seule fois et peut être utilisé par plusieurs administrateurs à plusieurs reprises. Le principal inconvénient est, là encore, la faiblesse de la sécurité ; toute personne, et pas seulement les utilisateurs enregistrés, de n'importe quel endroit disposant d'une connectivité TCP au système OpenVOS aurait accès à la passerelle ftStorage. Il n'y a pas d'autorisation de connexion sur le système VOS, bien que la matrice ftStorage nécessite un identifiant et un mot de passe. Je ne mettrais pas en œuvre cette approche sans un pare-feu protégeant le port local sélectionné comme extrémité d'écoute du tunnel (là encore, un pare-feu basé sur l'hôte pour VOS).

Tunnelage SSH depuis le poste de travail
Encore une fois, si "OpenSSL et OpenSSH pour VOS" est installé sur le système OpenVOS, il est possible de mettre en place un tunnel basé sur le PC qui permettrait la redirection de port à partir du PC. Le principal avantage de cette approche est une sécurité forte, elle nécessite une authentification VOS pour mettre en place le tunnel et chiffre tous les paquets entre la station de travail et OpenVOS. Le principal inconvénient est que chaque administrateur doit configurer le tunnel chaque fois qu'il veut l'utiliser et qu'il a besoin d'un logiciel SSH installé sur son poste de travail.

Il existe plusieurs logiciels de sciences humaines que je connais bien. Si tout ce que vous envisagez de faire est de mettre en place un tunnel SSH, PuTTY est le plus simple à utiliser. Il est également gratuit ; vous pouvez le télécharger sur http://www.chiark.greenend.org.uk/~sgtatham/putty/.

Les étapes suivantes peuvent être utilisées pour configurer PuTTY 0.60 qui était la version actuelle de Putty au moment où ce blog a été publié...

Au démarrage de PuTTY, un dialogue de configuration s'affiche. Dans la section des catégories, dans la partie gauche de la boîte de dialogue, développez la section SSH et sélectionnez les tunnels. Dans la zone d'édition du port source, entrez le numéro du port local que le poste de travail écoutera, dans la figure 2, il s'agit de 49876. Dans la zone d'édition du port de destination, entrez l'adresse IP du tableau ftStorage, deux points et le numéro de port 80, 10.10.1.20:80 dans la figure 2. Appuyez sur le bouton d'ajout pour déplacer ces informations des boîtes d'édition vers l'affichage "Ports transférés" au milieu du côté droit de la boîte de dialogue.

Figure 2

Sélectionnez maintenant la catégorie SSH. Sous "Options de protocole", cochez les cases "Ne pas lancer de shell ou de commande du tout" et "2 seulement". La version 1 du protocole SSH n'est plus considérée comme sûre et ne doit jamais être utilisée.

Figure 3

Retournez maintenant à la catégorie Session et remplissez le Nom ou l'adresse IP du système OpenVOS et appuyez sur Ouvrir

Figure 4

PuTTY vous demandera le nom d'utilisateur et, après avoir établi la connexion, le mot de passe. À ce stade, en supposant qu'il n'y ait pas d'erreurs, vous pouvez minimiser la fenêtre ou la laisser en arrière-plan. Ne fermez pas la fenêtre ou vous perdrez votre connexion.

Figure 5

Enfin, ouvrez un navigateur et entrez l'URL 127.0.0.1:49876

Figure 6

Lorsque vous avez terminé, fermez le navigateur ou au moins l'onglet connecté au tableau ftStorage, puis fermez la fenêtre PuTTY.

2020 Stratus Technologies.