作業環境
- Aruba ClearPass Policy Manager 6.7.X
ClearPass におけるクラスターとは
- ClearPass におけるクラスターは、以下画像のようにパブリッシャーを中心としてサブスクライバーが存在するハブアンドスポーク構成となっています
- クラスタ内には 1 台のパブリッシャーと 1 台以上のサブスクライバーが存在できます
- 設定データベースはパブリッシャーのみで管理され、各サブスクライバーへコピーされます
- パブリッシャーからサブスクライバーへコピーされる情報は以下です
- すべてのポリシー構成要素
- すべての監査データ
- すべてのIDストアデータ
- ゲストアカウント、エンドポイント、およびプロファイルデータ
- ランタイム情報
- 承認ステータス、ポスチャステータス、および役割
- 接続情報、NASの詳細
- SSLを介したポート5432でのデータベースレプリケーション
- SSLを介したポート443でのランタイムレプリケーション
- 以下の情報はサブスクライバーへコピーされません
- アクセストラッカーログとセッションログ
- 認証記録
- 会計記録
- システムイベント(イベントビューアデータ)
- システム監視データ
開放する必要のあるネットワークポート
パブリッシャーとサブスクライバーの間で開く必要のあるネットワークポートは以下の通りです。
ポート | プロトコル | 説明 |
80 | HTTP | 内部プロキシ |
123 | UDP | TNTP:時刻同期 |
443 | TCP | HTTPS:内部プロキシおよびサーバー間サービス |
5432 | TCP | PostgreSQL:データベースレプリケーション |
クラスター構成の事前準備
ClearPass 6.8 以降からは、パブリッシャーの HTTPS サーバ証明書をチェックする仕様になったため、パブリッシャーの証明書をサブスクライバーにインポートしておく必要があります。
証明書のエクスポート
まずパブリッシャーとするサーバの証明書をエクスポートします。
Chrome を使用する例を以下に記載します。
パブリッシャーとするサーバの管理画面にアクセスしている状態で Chrome のアドレス欄左の [保護されていない通信] をクリックし、続けて以下画像のように選択します。
以下画面では [次へ] をクリックします。
以下画面では [DER encoded binary X.509 (.CER)] を選択し [次へ] をクリックします。
以下画面では、証明書の保存先パスを指定して [次へ] をクリックします。
以下画面では [完了] をクリックします。
証明書のインポート
サブスクライバーへ証明書をインポートします。
サブスクライバーとするサーバの [管理 » 証明書 » 信頼リスト] 画面で [証明書の追加] をクリックします。
以下画面が表示されるためエクスポートした証明書を選択し [証明書の追加] をクリックします。
※Usage 項目が表示されるバージョンの場合は [Others] を選択します
クラスター構成手順
2台構成のクラスターを構築する例を記載します。
以下項目を設定していきます。
- サブスクライバーの作成
- クラスター全体バラメータの設定
- Virtual IP の設定
サブスクライバーの作成
サブスクライバーとするサーバの [管理 » サーバー・マネージャー » サーバー設定] 画面にて [サブスクライバーの作成] をクリックします。
以下画面が表示されるため以下項目を設定し [Save] をクリックします。
- パブリッシャーIPアドレス
- パブリッシャーとするサーバの IP アドレス
- パブリッシャー・パスワード
- パブリッシャーとするサーバの appadmin (CLIユーザ)のパスワード
- 各チェックボックス
- 空白のまま
以下の画面表示となりクラスター化処理が開始されるため、完了までしばらく待ちます。
以下の様に緑色のメッセージが表示されていれば順調に処理が進んでいます。
この時点でパブリッシャーとするサーバのダッシュボード画面および [管理 » サーバー・マネージャー » サーバー設定] 画面を確認すると以下の画像のようにサブスクライバーとするサーバの情報が表示され、同期処理が進んでいることを確認できます。
サブスクライバーとするサーバで以下の画面が表示されたらサブスクライバーの作成は完了です。
サブスクライバー側の管理画面ではログイン画面になります。
サブスクライバーのログイン画面では以下の様にパブリッシャーにログインするよう促すメッセージが表示されます。
この時点でパブリッシャーの管理画面では以下の様に表示されます。
クラスター全体パラメータの設定
パブリッシャーの [管理 » サーバー・マネージャー » サーバー設定] 画面にて [クラスター全体パラメータ―] をクリックします。
表示された画面にて [Standby Publisher] タブを開き以下の通り設定して [保存] をクリックします。
- Enable Publisher Failover → TRUE
- Designated Standby Publisher → サブスクライバーのホスト名
Virtual IP の設定
パブリッシャーの [管理 » サーバー・マネージャー » サーバー設定] 画面にて [Virtual IP Settings] をクリックします。
表示された画面にて以下の様に設定し [Save] をクリックします。
- Select IP version → IPv4
- Virtual IP → バーチャル IP
- Virtual Host ID → 1-255 の範囲内の未使用の任意の ID
- Primary Node
- Node → パブリッシャーのホスト名
- Interface → バーチャル IP に対応付けるインターフェース
- Primary Node
- Node → サブスクライバーのホスト名
- Interface → バーチャル IP に対応付けるインターフェース
- Enabled → チェック
設定後、以下の様に成功した旨のメッセージが表示されることを確認します。
必要に応じて、管理ポート用の Virtual IP と データポート用の Virtual IP の 2 つを設定します。
参考資料
―――――――――――――