EIM et POWER HA

IBM i, configuration, commandes, ...
Répondre
cmasse
Site Admin
Messages : 813
Enregistré le : mer. 14 févr. 2007, 18:00:03
Localisation : Nantes
Contact :

EIM et POWER HA

Message par cmasse »

Pour un client ayant mis en place un SSO avec EIM et utilisant POWERHA, comment répliquer la config EIM ?

je ne trouve pas de préco IBM *officielles*.

je vois trois axes de recherche :

1/ recréer la bibliothèque du serveur LDAP dans l'iASP répliqué
(nous n'avons pas le choix de l'iASP lors de la config initiale)

2/ sauvegarder, restaurer cette bibliothèque tous les soirs

3/ dupliquer le contenu par réplication de serveur LDAP à serveur LDAP
http://www-01.ibm.com/support/docview.w ... d6006c3ce6

Il y a en plus qq paramètres dans l'IFS qui doivent pouvoir n'être copié qu'une seule fois.


Quelqu'un a-t-il un retour d'expérience sur ce thème ?

Christian
Christian Massé (Volubis.fr)

Fabrice
Messages : 93
Enregistré le : lun. 09 févr. 2009, 09:19:42

(sans texte)

Message par Fabrice »

Christian,

Il n'y a pas de préconisation officielle d'IBM pour "répliquer" EIM par PowerHA car il n'y a pas de lien direct entre les 2.
PowerHA réplique les pages ou les secteurs d'un iASP, et le Cluster Administrative Domain propage des informations du Sysbas, mais les infos EIM ne sont pas dans le périmètre du Cluster Administrative Domain.

Il ne faut en aucun cas tenter de recréer les bibliothèques EIM dans l'iASP répliqué, cela peut poser de gros problèmes lors du démarrage de l'iASP miroir. On peut éventuellement les sauvegarder sur l'iASP dans un fichier de sauvegarde ou en bande virtuelle, mais surtout pas sous forme de bibliothèque.

Par contre il existe une procédure officielle de sauvegarde des infos de EIM.
Dans les grandes lignes, il faut sauvegarder les points suivants :
- bibliothèque QUSRDIRDB
- bibliothèque QUSRDIRCL
- répertoire /QIBM/UserData/OS400/DirSrv
- User space QUSRSYS/QGLDCFG
- Liste de validation QUSRSYS/QGLDVLDL

Procédure officielle
Backup and recovery of EIM domain data:
How you save your EIM data depends on how you decide to manage this aspect of the directory server that acts as the domain controller for your EIM data.

One way to back up the data, especially for disaster recovery purposes is to save the database library. By default, this is QUSRDIRDB. If changelog is enabled, then you should also save the library QUSRDIRCL. The directory server on the system where you want to restore the library must have the same LDAP schema and configuration as the original directory server. The files that store this information are in /QIBM/UserData/OS400/DirSrv. Additional configuration data is stored in QUSRSYS/QGLDCFG (*USRSPC object) and QUSRSYS/QGLDVLDL (*VLDL object). In order to have a complete backup of everything for your directory server, you must save both libraries, the integrated file system files, and the QUSRSYS objects.

For example, you could use an LDIF file to save all or part of the directory server contents. To back up the domain information for a IBM Tivoli Directory Server for i5/OS domain controller complete these steps:
1. In System i Navigator, expand Network > Servers > TCP/IP.
2. Right-click the Directory Server, select Tools, then select Export file to display a page that allows you to specify what parts of the directory server contents to export to a file.
3. Transfer the export file to the System i platform that you want to use as your backup directory server.
4. In System i Navigator on the backup server, expand Network > Servers > TCP/IP.
5. Right-click the Directory Server, select Tools, then select Import to load the contents of the
transferred file to the new directory server.

Another method you may consider for saving your EIM domain data, is to configure and use a replica directory server. All changes to EIM domain data are automatically forwarded to the replica directory server so that if the directory server that hosts the domain controller fails or loses EIM data, you can retrieve the data from the replica server.

How you configure and use a replica directory server varies depending on the type of replication model that you choose to use.


Backup and recovery of EIM configuration information:

Should your system go down, you may need to restore EIM configuration information for that system.
This information cannot be saved and restored easily across systems.
These options are available to you to save and restore EIM configuration:
- Use the Save Security Data (SAVSECDTA) command on each system to save EIM and other important configuration information. Then restore the QSYS user profile object on each system.
Note: You must use the SAVSECDTA command and restore the QSYS user profile object on each
system with an EIM configuration individually. You may experience problems if you try to recover the QSYS user profile object on one system when it was saved on a different system.
- Either rerun the EIM Configuration wizard or you manually update the EIM Configuration folder
properties. To make this process easier, you should save your EIM implementation planning work
sheets or make a record of the EIM configuration information for each system.

Additionally, you need to consider and plan how to back up and recover you network authentication
service data if you configured network authentication service as part of implementing a single sign-on environment.
PowerHA est un cluster composé de 2, 3 ou 4 nodes, généralement 2. EIM doit être configuré sur tous les nodes du cluster, les profils étant propagés par le Cluster Administrative Domain.

cmasse
Site Admin
Messages : 813
Enregistré le : mer. 14 févr. 2007, 18:00:03
Localisation : Nantes
Contact :

sauvegarde EIM

Message par cmasse »

Merci Fabrice.

j'avais bien vu ces éléments, je pensais qu'il pouvait y avoir plus simple.

je suis surpris que POWERHA propose la réplication des profils et pas des éléments associés(si on choisi de faire du SSO, répliquer les profils seulement ça ne sert à rien...)


pour info sur les dernières versions, les objets

User space QGLDCFG
Liste de validation QGLDVLDL

sont dans une bibliothèque à part QUSRDIRCF.

je me dirige donc vers une sauvegarde/restauration des bibliothèques et des répertoires de l'IFS quotidienne.
Christian Massé (Volubis.fr)

Fabrice
Messages : 93
Enregistré le : lun. 09 févr. 2009, 09:19:42

Re: sauvegarde EIM

Message par Fabrice »

cmasse a écrit : je suis surpris que POWERHA propose la réplication des profils et pas des éléments associés(si on choisi de faire du SSO, répliquer les profils seulement ça ne sert à rien...)
Bonjour,

PowerHA ne réplique que les iASP, pour le SYSBAS (ASP système), c'est la focntion Cluster Administrative Domain qui se charge de propager (et non pas répliquer) certains objets importants qui ne peuvent pas être stockés dans l'iASP.

Apparu en V5R4, cette fonction prend en charge les points suivants :
- Profils utilisateur (*USRPRF)
- Classes (*CLS)
- Descriptions de travail (*JOBD)
- Descriptions d’ASP (*ASPDEV)
- Valeurs système (*SYSVAL)
- Attributs réseau (*NETA)
- Variables d’environnements (*ENVVAR)
- Attributs TCP/IP (*TCPA)

En V6R1, les points suivants ont été ajoutés :
Descriptions de sous-système (*SBSD)
- Descriptions de serveurs réseau (*NWSD) de type *WINDOWSNT, *IXSVR et *ISCSI
- Configurations NWS (*NWSCFG)
- Descriptions de device NWSH (*NWSHDEV)
- Descriptions d’espaces de stockage NWS (*NWSSTG)
- Descriptions de lecteurs de bande (*TAPDEV)
- Descriptions de lecteurs optique (*OPTDEV)
- Descriptions de lignes Ethernet (*ETHLIN)
- Descriptions de lignes Token-Ring (*TRNLIN)

Et en V7R1, les ajouts étaient :
- Listes d’autorisations (*AUTL)
- Descriptions d’imprimantes (*PRTDEV)

Tout ce qui est dans le SYSBAS et qui n'est pas inclus dans le Cluster Administrative Domain et que l'on souhaite "répliquer" doit être effectué manuellement.
On peut par exemple envisager dans le cas d'un Cluster PowerHA, sauvegarder les bibliothèques du paramétrage EIM dans des save files sur l'iASP, ces derniers seront alors répliqués sur la machine de backup sous forme d'iASP. Il ne reste plus qu'en cas de bascule, à restaurer les bibliothèques depuis les save files sur l'iASP miroir.

Par contre, il faudrait valider que la restauration de ces environnements suffit à reconfigurer le SSO sur un autre système. Comment se comporte le serveur kerberos, est-ce que les jetons SSO ne sont pas propres à un système (n° de série) ???

cmasse
Site Admin
Messages : 813
Enregistré le : mer. 14 févr. 2007, 18:00:03
Localisation : Nantes
Contact :

Réplication EIM et Kerberos

Message par cmasse »

Merci de tes précisions.

EN fait dans le cadre d'un SSO basé sur EIM, c'est le kerberos du serveur Windows (AD) qui génère les tickets.
Kerberos sur IBMi se contentant de valider (accepter) le ticket ou pas.

Il sont basés sur le nom(FQDN) du système auquel on souhaite accéder.

Bonne idée, le SAVF dans l'iASP, ça va éviter un transfert type FTP ou SAVRSTLIB et SAVRST pour l'IFS.


Christian
Christian Massé (Volubis.fr)

Répondre