【Aruba ClearPass】クラスターを構成する設定【パブリッシャー/サブスクライバー】

インフラサーバ

作業環境

  • Aruba ClearPass Policy Manager 6.7.X

ClearPass におけるクラスターとは

  • ClearPass におけるクラスターは、以下画像のようにパブリッシャーを中心としてサブスクライバーが存在するハブアンドスポーク構成となっています
  • クラスタ内には 1 台のパブリッシャーと 1 台以上のサブスクライバーが存在できます
  • 設定データベースはパブリッシャーのみで管理され、各サブスクライバーへコピーされます
  • パブリッシャーからサブスクライバーへコピーされる情報は以下です
    • すべてのポリシー構成要素
    • すべての監査データ
    • すべてのIDストアデータ
      • ゲストアカウント、エンドポイント、およびプロファイルデータ
    • ランタイム情報
      • 承認ステータス、ポスチャステータス、および役割
      • 接続情報、NASの詳細
    • SSLを介したポート5432でのデータベースレプリケーション
    • SSLを介したポート443でのランタイムレプリケーション
  • 以下の情報はサブスクライバーへコピーされません
    • アクセストラッカーログとセッションログ
    • 認証記録
    • 会計記録
    • システムイベント(イベントビューアデータ)
    • システム監視データ

開放する必要のあるネットワークポート

パブリッシャーとサブスクライバーの間で開く必要のあるネットワークポートは以下の通りです。

ポートプロトコル説明
80HTTP内部プロキシ
123UDPTNTP:時刻同期
443TCPHTTPS:内部プロキシおよびサーバー間サービス
5432TCPPostgreSQL:データベースレプリケーション

クラスター構成の事前準備

ClearPass 6.8 以降からは、パブリッシャーの HTTPS サーバ証明書をチェックする仕様になったため、パブリッシャーの証明書をサブスクライバーにインポートしておく必要があります。

証明書のエクスポート

まずパブリッシャーとするサーバの証明書をエクスポートします。

Chrome を使用する例を以下に記載します。

パブリッシャーとするサーバの管理画面にアクセスしている状態で Chrome のアドレス欄左の [保護されていない通信] をクリックし、続けて以下画像のように選択します。

以下画面では [次へ] をクリックします。

以下画面では [DER encoded binary X.509 (.CER)] を選択し [次へ] をクリックします。

以下画面では、証明書の保存先パスを指定して [次へ] をクリックします。

以下画面では [完了] をクリックします。

証明書のインポート

サブスクライバーへ証明書をインポートします。

サブスクライバーとするサーバの [管理 » 証明書 » 信頼リスト] 画面で [証明書の追加] をクリックします。

以下画面が表示されるためエクスポートした証明書を選択し [証明書の追加] をクリックします。
※Usage 項目が表示されるバージョンの場合は [Others] を選択します

クラスター構成手順

2台構成のクラスターを構築する例を記載します。

以下項目を設定していきます。

  • サブスクライバーの作成
  • クラスター全体バラメータの設定
  • Virtual IP の設定

サブスクライバーの作成

サブスクライバーとするサーバの [管理 » サーバー・マネージャー » サーバー設定] 画面にて [サブスクライバーの作成] をクリックします。

以下画面が表示されるため以下項目を設定し [Save] をクリックします。

  • パブリッシャーIPアドレス
    • パブリッシャーとするサーバの IP アドレス
  • パブリッシャー・パスワード
    • パブリッシャーとするサーバの appadmin (CLIユーザ)のパスワード
  • 各チェックボックス
    • 空白のまま

以下の画面表示となりクラスター化処理が開始されるため、完了までしばらく待ちます。

以下のようなエラーとなる場合があります。設定が間違っていないにもかかわらずこのエラーとなる場合は、サブスクライバーとするサーバを再起動するとエラーが解消する場合があるため、必要に応じて再起動を試してみてください。

以下の様に緑色のメッセージが表示されていれば順調に処理が進んでいます。

この時点でパブリッシャーとするサーバのダッシュボード画面および [管理 » サーバー・マネージャー » サーバー設定] 画面を確認すると以下の画像のようにサブスクライバーとするサーバの情報が表示され、同期処理が進んでいることを確認できます。

サブスクライバーとするサーバで以下の画面が表示されたらサブスクライバーの作成は完了です。

サブスクライバー側の管理画面ではログイン画面になります。
サブスクライバーのログイン画面では以下の様にパブリッシャーにログインするよう促すメッセージが表示されます。

この時点でパブリッシャーの管理画面では以下の様に表示されます。

クラスター全体パラメータの設定

パブリッシャーの [管理 » サーバー・マネージャー » サーバー設定] 画面にて [クラスター全体パラメータ―] をクリックします。

表示された画面にて [Standby Publisher] タブを開き以下の通り設定して [保存] をクリックします。

  • Enable Publisher Failover → TRUE
  • Designated Standby Publisher → サブスクライバーのホスト名

Virtual IP の設定

パブリッシャーの [管理 » サーバー・マネージャー » サーバー設定] 画面にて [Virtual IP Settings] をクリックします。

表示された画面にて以下の様に設定し [Save] をクリックします。

  • Select IP version → IPv4
  • Virtual IP → バーチャル IP
  • Virtual Host ID → 1-255 の範囲内の未使用の任意の ID
  • Primary Node
    • Node → パブリッシャーのホスト名
    • Interface → バーチャル IP に対応付けるインターフェース
  • Primary Node
    • Node → サブスクライバーのホスト名
    • Interface → バーチャル IP に対応付けるインターフェース
  • Enabled → チェック

設定後、以下の様に成功した旨のメッセージが表示されることを確認します。

必要に応じて、管理ポート用の Virtual IP と データポート用の Virtual IP の 2 つを設定します。

参考資料

Deploying ClearPass Clusters

―――――――――――――

タイトルとURLをコピーしました