曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        Apache Ranger集成SafeNet Luna HSM
        發布時間:2019-12-02 14:09:27   閱讀次數:

        1-1912021Z342B1.png

        對于與HSM相關的Ranger KMS的任何設置/執行,請檢查“ java.security”文件以在提供商列表中包含“ LunaProvider”,以及將Luna的屬性“ createExtractableKeys”設置為true在步驟1.12中提及。另外,我們需要為每個KMS群集分別分配一個分區

        最新版本的SafeNet Luna HSM 客戶端安裝文件

        您可在下方留言,向我們攬閣信息獲取

        手動安裝Ranger KMS HSM

        1. 提取Ranger KMS tar

        2. 使用適當的屬性值安裝Ranger-kms

          1. 轉到ranger-kms文件夾并編輯install.properties(為以下給定的屬性輸入適當的值)

          2. db_root_user=

            db_root_password=

            db_host=

            db_name=

            db_user=

            db_password=

            HSM_TYPE=LunaProvider

            HSM_ENABLED=

            HSM_PARTITION_NAME=

            HSM_PARTITION_PASSWORD=

            KMS_MASTER_KEY_PASSWD=

            POLICY_MGR_URL=

            REPOSITORY_NAME=

            XAAUDIT.DB.IS_ENABLED=

            XAAUDIT.DB.FLAVOUR=

            XAAUDIT.DB.HOSTNAME=

            XAAUDIT.DB.DATABASE_NAME=

            XAAUDIT.DB.USER_NAME=

            XAAUDIT.DB.PASSWORD=

        3. 編輯“ hdfs-site.xml”

          1. 執行以下步驟:

            1. 轉到路徑:/usr/hdp/<version>/hadoop/conf/

            2. vim hdfs-site.xml

            3. 對于屬性“ dfs.encryption.key.provider.uri”,輸入"kms:// http@<ranger_kms host name>:9292/kms"

            4. 保存并退出

        4. 編輯“ core-site.xml”:

          1. 執行以下步驟:

            1. 轉到路徑:/usr/hdp/<version>/hadoop/conf/

            2. vim core-site.xml

            3. 對于屬性“ hadoop.security.key.provider.path”,輸入"kms:// http@<ranger_kms host name>:9292/kms"

            4. 保存并退出

        5. 重新啟動Namenode:

        6. su --l hdfs --c "/usr/hdp/<version>/hadoop/sbin/hadoop--daemon.sh stop namenode"

          su --l hdfs --c "/usr/hdp/<version>/hadoop/sbin/hadoop--daemon.sh start namenode"

        7. 通過以下命令運行安裝程序:./setup.sh

        8. 通過以下命令啟動KMS服務器:ranger-kms start


        安裝Ranger KMS HSM(Ambari)

        兩種方法都是可能的


        方法1 :(使用純文本密碼進行配置)

        1. 添加Ranger KMS服務

        2. 配置時,在“ custom dbks-site”accordion中添加與HSM相關的屬性。

          1. ranger.ks.hsm.enabled=true

          2. ranger.ks.hsm.partition.name=<Partition Name>

          3. ranger.ks.hsm.partition.password=<Partition Password>

          4. ranger.ks.hsm.type=LunaProvider

          1-191202154445260.png

        3. 單擊下一步,然后按照說明安裝Ranger KMS。


        方法2 :(不使用純文本密碼進行配置,并使用jceks)

        1. 添加Ranger KMS服務

        2. 配置時,在“ custom dbks-site”accordion中添加與HSM相關的屬性。

          1. ranger.ks.hsm.enabled = true

          2. ranger.ks.hsm.partition.name = <Partition Name>

          3. ranger.ks.hsm.partition.password = _

          4. ranger.ks.hsm.partition.password.alias = ranger.kms.hsm.partition.password

          5. ranger.ks.hsm.type = LunaProvider

          1-19120216100VQ.png

        3. 單擊下一步,然后按照說明安裝Ranger KMS。(請注意,Ranger KMS無法啟動,它將無法啟動)

        4. 在安裝了Ranger KMS的群集上執行以下命令:

        5. python /usr/hdp/current/ranger-kms/ranger_credential_helper.py -l "/usr/hdp/current/ranger-kms/cred/lib/*" -f /etc/ranger/kms/rangerkms.jceks -k ranger.kms.hsm.partition.password -v <Partition_Password> -c 1

        6. 在Ambari重新啟動KMS


        配置HSM HA

        對于此部分,您至少需要兩臺具有PED認證的Luna SA設備,或兩臺具有密碼認證的設備。

        1. 設置HA設備

          1. 按照步驟1(客戶端軟件安裝)中所述在兩個HA單元上執行網絡設置。

          2. 確保hsm showPolicies中的“允許克隆”和“允許網絡復制”策略為“開”

          3. 在您的Luna SA設備上初始化HSM。它們必須具有相同的克隆域–也就是說,如果它們經過PED認證,則必須共享相同的紅色域PED密鑰;如果經過密碼認證,則它們必須共享相同的域字符串。

          4. 在每個Luna SA上創建一個分區。它們不必具有相同的標簽,但必須具有相同的密碼。

          5. 記下在每個Luna SA上創建的每個分區的序列號(使用分區顯示)。

        2. 向Luna SA HA注冊客戶

          1. 繼續執行步驟2中所述的常規客戶端設置。(在客戶端和設備之間創建網絡信任鏈接)。

          2. 在兩個Luna SA上注冊您的客戶端計算機

          3. 使用./vtl verify命令進行驗證。它應該顯示在客戶端注冊的分區號

        3. 創建HA組

        4. 注意:請按照相應的步驟,根據您的客戶端版本形成HSM HA。

          1. 版本6

          2. HSM 版本6的客戶端軟件:

            1. 在(至少)兩個Luna設備上創建分區,并在這些分區和客戶端之間設置NTLS之后,使用LunaCM在客戶端上配置HA

              1. 轉到目錄:/ usr / safenet / lunaclient / bin /

              2. 選擇Lunacm:./lunacm

            2. 要在hagroup中添加成員,我們需要在客戶端上創建一個新組

              • haGroup creategroup -serialNumber <serial number> -l <label> -p <password>

              • 例如:lunacm:> haGroup creategroup -serialNumber 1047740028310 -l HAHSM3 -p S @ fenet123

            3. 使用hagroup addmember命令將新成員添加到hagroup客戶端中,這需要:

              1. 組的標簽(不要僅將組稱為“ HA”)。

              2. 第一個分區的序列號或第一個分區的插槽號。

              3. 分區的密碼。

              4. Lunacm還會為組本身生成并分配序列號

              5. hagroup addMember -group <groupname> -serialNumber <serial number>- password<password> 

                • 例如lunacm:> hagroup addMember -group rkmsgroup -serialNumber 1047749341551 -password S@fenet123

            4. 使用hagroup addmember命令將另一個成員添加到HA組。

              • hagroup addMember -group <serial number> -serialNumber <serial number>- password<password> 

              • 例如lunacm:> hagroup addMember -serialNumber 1047740028310 -g rkmslgroup -password S@fenet123

            5. 使用“ hagroup listGroups”命令檢查組中的組成員。

              • 例如lunacm:> hagroup listGroups

            6. 啟用HAOnly:

              • 例如lunacm:> hagroup HAOnly -enable

            7. 啟用HAgroup成員的同步

              •  hagroup synchronize -group <groupname> -password <password> -enable

              • 例如lunacm:> hagroup synchronize -group rkmslgroup -password S@fenet123 -enable

          3. 版本5

          4. HSM 版本5的客戶端軟件:

            1. 在(至少)兩個Luna設備上創建分區,并在這些分區和客戶端之間設置NTLS之后,使用LunaCM在客戶端上配置HA。

              • 轉到目錄:/usr/safenet/lunaclient/bin/

            2. 要在haadmin中添加成員,我們需要在客戶端上創建一個新組。

              • ./vtl haAdmin newGroup -serialNum <HA Group Number>-label<Groupname> -password <password>

              • 例如   ./vtl haAdmin newGroup -serialNum 156453092 -label myHAgroup -password S@fenet123

            3. 將成員添加到您的haadmin中。

              • ./vtl haAdmin addMember -group <HA Group Number> -serialNum <serial_number> -password <password>

              • 例如   ./vtl haAdmin addMember -group 1156453092 -serialNum 156451030 -password S@fenet123

            4. 啟用HAadmin成員同步。

              • ./vtl haAdmin synchronize -group <HA Group Number> -password <password>

              • 例如   ./vtl haAdmin synchronize -enable -group 1156453092 -password S@fenet123

            5. 啟用HAOnly。

              • ./vtl haAdmin HAOnly -enable

            6. 同步后檢查haadmin狀態。

              • ./vtl haAdmin show

              • 注意:同步后,請驗證kms主密鑰已復制到hsm ha組中注冊的兩個分區中。將主密鑰復制到另一個分區需要時間。


        安裝Ranger KMS HSM HA

        配置HSM HA之后,要在HSM HA模式下運行Ranger KMS,我們只需要在install.properties的“ HSM_PARTITION_NAME”屬性中指定上面創建的虛擬組名稱,然后設置并啟動Ranger KMS。


        注意:如“安裝Ranger KMS HSM”中所述,Ranger KMS的“ install.properties”中HSM的所有其他配置將保持不變。


        遷移

        從HSM到Ranger DB

        1. 如果正在運行,請停止Ranger KMS服務器。

        2. 轉到Ranger KMS目錄。例如:/usr/hdp/<version>/ranger-kms

          注意:數據庫詳細信息應該是KMS需要遷移到的正確數據庫文件(在Ranger KMS的xml配置文件中)。

        3. 運行:./HSMMK2DB.sh <provider> <HSM_PARTITION_NAME>

          例如:./HSMMK2DB.sh LunaProvider par19

        4. 輸入分區密碼。

        5. 遷移完成后,如果要根據新配置(啟用或禁用HSM)運行Ranger KMS,請根據需要更新Ranger KMS屬性。

        6. 啟動Ranger KMS。

          注意:遷移后,當Ranger KMS啟動且在禁用HSM的情況下運行良好時,如果不需要,則從HSM清除分區中的主密鑰對象,因為主密鑰已被遷移到數據庫。


        Ranger DB到HSM

        1. 如果正在運行,請停止Ranger KMS服務器。

        2. 轉到Ranger KMS目錄。例如:/usr/hdp/<version>/ranger-kms

          注意: 

          • -> Ranger KMS需要遷移的數據庫詳細信息應該是正確的。(在Ranger KMS的xml配置文件中)

          • -> HSM詳細信息應該是我們要遷移到的KMS HSM。

        3. 運行:./DBMK2HSM.sh <provider> <HSM_PARTITION_NAME>

          例如:./DBMK2HSM.sh LunaProvider par19

        4. 輸入分區密碼。

        5. 遷移完成后,如果要根據新配置(啟用或禁用HSM)運行Ranger KMS,請根據需要更新Ranger KMS屬性。

        6. 啟動Ranger KMS

          注意:在遷移后,如果啟用HSM且Ranger KMS啟動并運行良好,則由于不需要將主密鑰行從數據庫表“ ranger_masterkey”中刪除,因為主密鑰已被遷移到HSM。


        從HSM分區中清除對象

        1. SSH到HSM設備服務器

          例如:ssh admin@elab6.safenet-inc.com

          <出現提示時輸入HSM Appliance服務器的密碼>

        2. 檢查您要清除的分區對象,命令是

          Partition showContents -par <partition_name>

          例如:partition showContents -par par14

          <提示時輸入分區密碼>

          注意:請確保在步驟3之后從列表中列出的所有對象上面的命令將被銷毀。

        3. 使用以下命令從HMS分區中清除對象

          Partition clear -par <partition_name>

          <在出現提示時輸入分區密碼>

          <在出現提示時進行輸入>

          例如:partition clear -par par14


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精