「クラスターの作成」ウィザード: セキュリティーの構成

このページでは、セキュリティー・レベルや、安全なクラスター通信に使用する証明書および暗号鍵を含め、新規クラスターのセキュリティーを構成します。

特定のクラスター環境の要求に基づいてクラスターのセキュリティー・プロパティーを構成します。 ウィザードでは、ベスト・プラクティスに基づいたデフォルト値が示されます。

フィールド

構成するセキュリティー設定により、PowerHA® SystemMirror がクラスター通信の保護に使用するセキュリティー・レベルおよびメソッドが決まります。

レベル
クラスターのセキュリティー・レベルは、クラスターに使用する全体的な保護レベルを決定します。 新規クラスター用に以下のいずれかのセキュリティー・レベルを選択してください。
このレベルのセキュリティーでは、ハートビート認証のみが行われます。 これがデフォルト・オプションです。

セキュリティー・レベルにこの設定を使用すると、クラスター通信の最小限のセキュリティーが設定されます。 このセキュリティー・レベルで交換される大半のパケットでは、パケット保全性に最も重点が置かれます。 パケット保全性は、パケットを完全に暗号化する代わりに、パケットのハッシュを行うことで実現されます。 クラスターが信頼性の高いネットワーキング環境に展開されていれば、このセキュリティー・レベルは十分にお客様のニーズに対応可能と考えられます。

このレベルのセキュリティーでは、ハートビート認証に加えて、クラスター・イベント通信などの一部のメッセージの暗号化が行われます。

セキュリティー・レベルにこの設定を使用すると、一部の通信パケットは暗号化されますが、他のパケットは保全性検査付きで交換されます。

このレベルのセキュリティーでは、ハートビート認証に加えて、カーネル・インターフェースを含むすべてのメッセージの暗号化が行われます。

セキュリティー・レベルにこの設定を使用すると、ほぼすべてのクラスター通信が暗号化されます。 このレベルのセキュリティーを使用すると、詳細な暗号化により、通信パフォーマンスが低下するおそれがあります。

なし
このレベルのセキュリティーでは、どのクラスター通信パケットに対しても暗号化またはハッシュは行われません。 このセキュリティー・レベルを選択した場合、他のセキュリティー・プロパティーを構成することはできません。
構成
このプロパティーに選択する値は、クラスターが認証に使用する証明書のタイプと、関連する公開鍵/秘密鍵ペアを指示します。 PowerHA SystemMirror は、この鍵ペアを使用して、ノード間で配布される対称鍵を保護および暗号化します。 これらの対称鍵は、クラスター通信を暗号化および保護するために使用されます。

環境内に既に存在するインフラストラクチャーに基づいて、クラスターのセキュリティーをデプロイするために必要な証明書のタイプを選択します。 デフォルトでは、ウィザードによって内部鍵ペアが作成されます。 ただし、Open Secure Shell (SSH) 鍵ペアまたは独自のユーザー定義鍵情報を使用することを選択できます。

新規クラスター用に以下のいずれかの構成オプションを選択してください。

PowerHA 証明書/鍵
自己生成した証明書および関連する公開鍵/秘密鍵ペアを使用するには、クラスター内のノードにこのオプションを選択します。 このオプションにより、PowerHA SystemMirror は、鍵ペアを動的に生成し、必要に応じてクラスター内の他のノードとその鍵を交換することができます。 このオプションでは、信頼できるネットワーキング環境が前提となっています。 この値がデフォルト・オプションです。
SSH 証明書/鍵
PowerHA SystemMirror で、さまざまなノード上の SSH デーモンを保護するために構成された公開鍵/秘密鍵ペアを使用できるようにするには、このオプションを選択します。
ユーザー定義証明書/鍵
選択した証明書および秘密鍵ペアが含まれている特定のファイルをご使用の環境で使用するには、このオプションを選択します。 このオプションを選択した場合は、「証明書」および関連する「鍵」プロパティーの絶対パスとファイル名も指定してください。 パスおよびファイル名は、クラスター内の各ノードに存在する必要があります。 また、このファイルには各ノードに関する情報が含まれていることが必要です。
証明書
ユーザー定義証明書がある場所の絶対パスおよびファイル名を指定します。 このフィールドは、「構成」プロパティーが「ユーザー定義証明書/鍵」値に設定されている場合にのみ使用可能です。
ユーザー定義証明書に関連付けられている鍵がある場所の絶対パスおよびファイル名を指定します。 このフィールドは、「構成」プロパティーが「ユーザー定義証明書/鍵」値に設定されている場合にのみ使用可能です。
対称アルゴリズム
クラスター内の通信を暗号化するためにクラスター内のノード間で共有する、対称鍵の生成に使用するアルゴリズムを指定します。 対称鍵の生成に使用する、以下のいずれかのアルゴリズムを選択してください。
Data Encryption Standard (DES)
56 ビット対称鍵を生成します。 この値がデフォルト・オプションです。
Triple Data Encryption Algorithm (3DES)
3 つの DES 鍵を使用して、より長い、安全な対称鍵を生成します。
Advanced Encryption Standard (AES)
最小サイズが 128 ビットの対称鍵を生成し、最も強い暗号セキュリティーを提供します。
非対称アルゴリズム
PowerHA SystemMirror がノードを識別し、クラスター全体で対称鍵を安全に交換するために使用する非対称アルゴリズムを指示します。
証明書を自動的に配布する
クラスター作成時に、クラスター内のノードの証明書を自動配布するかどうかを選択します。
猶予期間 (hh:mm:ss)
時、分、および秒単位で時間の長さを指定します。 この値は、期限切れの対称鍵または公開鍵からのメッセージが、有効とされ、クラスター内のノードで受け入れられる期間です。 定期リフレッシュ・レートに基づいて新しい鍵が生成されると、暗号鍵は、対称鍵であるか証明書からの公開鍵であるかにかかわらず、期限切れになります。 猶予期間を設定することで、以前の鍵で既に暗号化されているメッセージは、指定した期間だけ有効なままになります。 デフォルトは 24 日間です。

猶予期間を構成するには、「証明書を自動的に配布する」プロパティーに「はい」を選択する必要があります。

クラスター・セキュリティーについて詳しくは、AIX® インフォメーション・センターの『クラスター・セキュリティーの管理』トピックを参照してください。