こんにちはネットワールドストレージ担当です。
今回はFCSWについてのご紹介です。
FCSWを頻繁に構築される方は気にならないかもしれませんが、久しぶりに構築してみたらなんか色々変わっていて、思い通りに構築が進まなかった...なんてことになることがあります。
そんなことが無いようにFabric OS 9.2.2と直近の注意点をまとめご紹介します。
ゾーニング関係は変わっていませんが、それ以外の部分の変更が直近のFabric OSでは段階的に入っています。
その大本となるのがSecure Modeという機能です。
Secure Modeはセキュリティの強化機能になります。
この機能により暗号化通信を行わないプロトコルは無効化されています。
そのためFTP、Telnet、SNMPv1、Syslog(non-secure)はデフォルトの状態では利用できません。
またFabric OS 9.2.2ではパスワードが12文字以上かついままでより複雑なパスワードでなければ設定できなくなっています。
Secure Modeは有効に状態で運用することが推奨のようですが、FTPはファームウェアアップグレードやsupportsaveの保存に利用したいですし、SNMPv1やSyslogを使いたい方もいるかと思います。
パスワードについてはFCSWだけ特別複雑なパスワードにしても他が強めなパスワードでなければ片手落ちになりますし、構築時は特定のパスワードでお客様に引継ぎを行い、本番運用する際のパスワードは別途設定して頂くということもあるかと思います。
ということでFTP、SNMPV1、Syslog、パスワードポリシーの変更方法について今回はご紹介します。
Telnetも有効化する方法もありますが、TelnetはSSHがデフォルトで有効なので、困る人はいないだろうということで省略します。
FTP/Syslog(non-secure)有効化
FTPとSyslog(non-secure)はSecure Modeを無効化する必要があります。Syslogは昔ながらの514ポートの方は無効化されていますが、セキュアオプション(デフォルト 6514)の方でしたら利用可能です。
セキュアオプションを使用したSyslogは以下のように設定します。
>syslogadmin --set [IPアドレス] -secure -port [ポート番号]
ではSecure Modeの無効化の前に状態確認です。
> configure --show -module CHS -key cfgload.secure
Key Name Value
Enable secure switch mode(cfgload.secure) 1
Enable secure...の部分か値が1であることからSecure Modeが有効であることが確認できます。
続いて、Secure Modeの無効化の方法ですが、以下のコマンドを実行します。
> configure --set -module CHS -key cfgload.secure -value 0
確認の仕方は事前と同じコマンドを実行すれば確認可能です。
> configure --show -module CHS -key cfgload.secure
Key Name Value
Enforce secure config Upload/Download(cfgload.secure) 0
EnableのところがEnforceになり、値は1から0へ変わりました。
これでFTP/Syslogの設定は完了です。
一時的にFTPを使用したいだけであれば、FTPを利用し終わったあとに-value 1で設定変更を再度行ってください。
SNMPv1設定方法
SNMPv1はSecure Modeを無効化しなくとも利用は可能です。
ただし昨今のFabric OSではSNMPv1は無効化されているので、有効化を行う必要があります。まずは状態確認です。
> snmpconfig --show snmpv1
SNMPv1 community and trap recipient configuration:
Community 1:
No trap recipient configured yet
Community 2:
No trap recipient configured yet
Community 3:
No trap recipient configured yet
Community 4:
No trap recipient configured yet
Community 5:
No trap recipient configured yet
Community 6:
No trap recipient configured yet
SNMPv1:Disable
末尾のDisableの部分からSNMPv1が無効化されていることが確認できます。
この状態でもコミュニティ名や通知するMIBの設定はできてしまいますが、Disableの状態ではSNMPトラップが通知されることはありませんので注意です。
SNMPv1を有効化します。
> snmpconfig --enable snmpv1
続いて状態確認です。
> snmpconfig --show snmpv1
SNMPv1 community and trap recipient configuration:
Community 1:
No trap recipient configured yet
Community 2:
No trap recipient configured yet
Community 3:
No trap recipient configured yet
Community 4:
No trap recipient configured yet
Community 5:
No trap recipient configured yet
Community 6:
No trap recipient configured yet
SNMPv1:Enabled
末尾がEnableに変わっていればSNMPv1の有効化は完了です。
最近のFabric OSではSNMPv1は設定時に以下のようなメッセージが表示されます。紹介しておいてなんですが、今後使えなくなることが決まっているようなので、できるならSNMPv3を使用した方が良いと思います。
Warning: The SNMPv1 is deprecated. Please use SNMPv3. Support for SNMPv1 will be removed in a future release.
パスワードポリシーの変更
Fabric OS 9.2.2のデフォルトでは以下の要件を満たしたパスワードでなければなりません。
- 最小12文字
- 小文字、大文字、数字、記号を含む
- AAAなど同じ文字が連続していない
- ABCなどASCIIコードで文字が連続していない
これ見てどう思いますか?本番用のパスワードを設定する時もそうですし、構築用に簡単なパスワードなんて全然設定できません...パスワードなんて考えながら設定するものではなく、言われた値を入れるだけの簡単な作業なのにFabric OS 9.2.2からはこれに苦労させられます。
諸刃の剣ではありますが、少し緩めたいなら以下の片方か両方を変更するとだいぶ設定しやすくなります。どちらもFabric OS 9.2.2より以前のパスワードポリシーに近づける設定です。
文字数を減らす
> passwdcfg --set -minlength 8
文字の繰り返しチェックを無効化
> passwdcfg --set -repeat 1
パスワードポリシー変更のご利用は計画的に!
SANのいいところは構築する側の目線では枯れた技術なので、安定していること、トラブルが発生してもLANに比べると複数ベンダーを挟むことが少ないので、切り分けが容易と思っていたのですが、こういった細かい変更によって、仕様変更を知らないがために...余計なトラブルに巻き込まれる可能性があります。新バージョンを導入の際は最低限リリースノートを見て変更点を把握した上で作業に臨む方が安全なのでしょうね。
基本中の基本ですがConnectrixはそれを思い出させてくれるそんな製品なのかもしれません。
Networld Techのブログ一覧はこちら!
