PassMan hibatűrés (HA) beállítás
FIGYELEM
A HA (Cluster-módban) történő telepítéséhez az összes cluster-tag legyen elérhető, hogy a telepítő a beállításokat minden node-ra átmásolhassa!
Belépés a Padmin-ba
A PassMan Cluster (HA) módban történő telepítéséhez lépjünk be a Padmin-ba. Az első cluster-tag IP címét nyissuk meg először a böngészőben, https:// előtaggal együtt (esetünkben https://192.168.85.11/padmin).
Még nincs érvényes, az adott vállalat számára kibocsájtott tanúsítvány feltöltve a rendszerbe, így 'self-sign tanúsítvány hibát' fogunk kapni. Ezt elfogadva jutunk a Padmin belépő oldalára.
Itt válasszuk a 'Speciális' gombot, és a lent megjelenített link segítségével menjünk tovább:
A megjelenő bejelentkező ablakon írjuk be az alapértelmezett manager felhasználónevet és a hozzá tartozó Admin1234 jelszót.
FONTOS!
Biztonsági szempontból fontos, hogy a jelszót az első belépés után változtassuk meg!
Jelszóváltoztatást a képernyő jobb felső sarkában tehetjük meg, a Manager menüpont alatt.
3. Hálózati beállítások
Első belépéskor az alap konfigurálási folyamatot kell elvégeznünk a bal oldalt látható pontokon végighaladva.
Ennek az első lényeges része a Hálózati beállítások. Itt meg kell adnunk a számítógép saját, statikus IP címét; majd a Gateway-t és a DNS-t.
Végül: VERIFY, majd SAVE.
A 'New' gombbal több DNS szervert is meg lehet adni. (ezt később is megtehetjük)
pma01-testG85 pma02-testG85 pma03-testG8
Miután beállítottuk az IP címeket, nyomjuk meg a SAVE gombot. Változás esetén a rendszer átirányít az előzőleg beállított IP címre.
Ez esetben ismét be kell jelentkeznünk a Padmin-ba.Ezt a PassMan HA (Cluster) minden tagján el kell végeznünk, mielőtt tovább haladnánk!
4. Új PassMan Cluster létrehozása
Az első Node Padmin-jában menjünk a bal oldalt látható Mode menüpontra.
Válasszuk a cluster módot és jelöljük be, hogy: New Cluster.
Töltsük ki az adatokat. (a böngésző ablakaiból is kimásolhatjuk az Node IP-ket).
A Cluster IP lesz az a cím, ahol el tudjuk majd érni a teljes rendszert. Ez a Node IP-ktől eltérő szabad IP legyen, azonos alhálózatból. (pl. 85-ös háló alatt).
A Node IP mezőkben szépen másoljuk bele a klaszter tagok IP címeit.
FONTOS!
Az IP címek megadását kiemelt körültekintéssel végezzük, mert az itt beállított IP címeket NEM lehet később megváltoztatni!
Javasolt a telepítés során snapshot-okat készíteni a beállított host-okról, mert egyes beállítások nem visszavonhatók!
Ha meggyőződtünk adataink helyességéről, akkor nyomjuk meg a SAVE gombot.
Ez a folyamat eltarthat pár percig. Legyünk türelemmel.
A Cluster hibamentes létrejötte esetén zöld siker-üzenetet jelenik meg a képernyőn (logokkal együtt).
5. Node-ok hozzáadása a Cluster-hez
Ezt követően a két másik gépet is hozzá kell adnunk a klaszterhez (a mi esetünkben a második és harmadik tagot: a pma02 .182 és pma03 .193-as végű gépeket).
A másik két Node Padmin-jában menjünk a mode beállításhoz, és adjuk meg a Cluster IP címet, majd nyomjunk SAVE gombot. (esetünkben ehhez: 192.168.85.14)
/ itt már természetesen nem választjuk ki, hogy: New Cluster /
FONTOS!
Most már létrehoztuk a PassMan klasztert, és hozzáadtuk a tagokat is.
Ebben az állapotban még nem használható a PassMan felület, mert hiányzik a licenckulcs és nincs titkosítva az adatbázis!
6. Licenc-kulcs megadása
Látogassuk meg a Cluster IP címen található Padmin-t: https:// kezdéssel és /padmin -nal az URL végén (esetünkben https://192.168.85.14/padmin).
A licenc beállítása bal oldalt a License (Licensz) menüpontban található. A művelet minden tag-on le fog futni.
7. Titkosított adatbázis létrehozása
1. A bal oldali menüből válasszuk ki a 3. Database Initialize menüpontot.
Itt állíthatjuk be, hogy a PassMan automatikusan generáljon-e azonosítókat (amit csak hash-elt formában tárolunk, ezért nem visszafejthető), vagy mi egyedileg akarjuk meghatározni azokat.
Válasszuk ki a számunkra megfelelő beállítást, ha kell, akkor adjuk meg az adatokat majd nyomjuk meg az 'INITIALIZE' gombot.
Általában 1 percen belül létrejön a titkosított PassMan adatbázis, majd a rendszer kiírja (visszajelzi) a belépéshez szükséges azonosítóinkat (egyszeri alkalommal!) .
Rendszer által generált azonosítók esetén a PassMan felhasználónév admin lesz, míg széfnyitáshoz az initial felhasználónevet (és jelszavát) kell megadnunk.
FONTOS!
Ezeket az információkat CSAK megjelenítjük, de nem tároljuk! Az azonosítók ismerete nélkül a rendszer nem indítható, és a PassMan-t ÚJRA KELL TELEPÍTENI kezdő állapotból, mert a létrehozott titkosított adatbázis elérhetetlenné válik!
Abban az esetben, ha menet közben vesznek el az azonosítók: a PassMan által tárolt adatok elérhetetlennél válnak!
Kérjük, jegyezze fel és tárolja biztonságos helyen a kulcsokat!
8. Újraindítás
Utolsó lépésként a Cluster-t újra kell indítani, hogy az összes beállítás érvényesülhessen.
- Ellenőrzésképpen lépjünk be ismét a Cluster IP Padmin-jába, és tekintsük meg az oldalsó menüt. Ez már nem a kezdeti (telepítési) opció-lista lesz.
Ha eddig nem tettük meg, akkor állítsuk be a időzónánkat.
System Settings / Time And NTP Servers
Válasszuk ki a megfelelő időzónánkat, majd mentsünk.
8. Belépés a PassMan-ba
Az újraindítás után a klaszter IP címből képzett URL-rel a PassMan bejelentkező oldalára kerülünk (https://192.168.85.14/ vagy https://192.168.85.14/passman).
Itt a nemrégiben megmutatott (és általunk elmentett) azonosítókkal tudunk belépni.
- Ezután a Széfet kell kinyitni a gép által megmutatott 2. azonosító párossal:
Széfnyitási javaslat klaszter mód esetén
Klaszter mód esetén javasolt mindhárom tagon kinyitni a széfet!
Ebben az esetben valamely tag leállása esetén a bejelentkezett felhasználók a még működő tagokon található széf valamelyikét használhatják, így nem kell egy esetleges hiba esetén széfnyitással foglalkozni, mert a rendszer hibatűrő.
3. Belépés után érdemes rögtön további Széf felhasználót létrehozni, aki szintén képes lesz majd nyitni a virtuális páncélszekrényt.
Javasoljuk, hogy a kezdeti felhasználót és jelszavát páncélszekrényben őrizzék vészhelyzet esetére.
Fontos, hogy széfet csak az a felhasználó nyithat, aki az azonosítók ismeretén kívül jogosultságot is kapott a műveletre.
Ezzel az alaprendszer installáció, alapkonfiguráció befejeződött. Most már használható a PassMan, kezdődhet a titkok rögzítése.
Jelszavakat importálásához vegyünk fel egy új felhasználót, adjunk neki a Széf struktúrán teljes jogosultságot, mert a kezdeti (szuperadmin) felhasználó nem importálhat.
Új felhasználót azért is érdemes létrehozni, hogy az eredeti fiók 'vésztartalék célra' megmaradjon (esetleg ha egy téves multifaktor-beállítás esetén kizárnánk magunkat).
A Padmin-ban pedig további konfigurációkat is elvégezhetünk:
pl. külső 'syslog' szerver beállítása, Idő/NTP szerver újra-konfigurálása, email-szerver megadása, komponensek leállítása, újraindítása, státusz információk lekérdezése, adatmentés, rendszer-frissítés.