Configurazione dell'autenticazione e della cifratura dei messaggi

Modifica online

Oltre all'autenticazione della connessione, è possibile proteggere i messaggi inviati tramite il daemon di comunicazioni cluster tra nodi cluster autenticando e codificando tali messaggi. È possibile utilizzare la codifica del messaggio con l'autenticazione del messaggio, ma non è possibile utilizzare la sola codifica del messaggio. L'autenticazione e la codifica del messaggio sono disabilitate per impostazione predefinita.

L'autenticazione dei messaggi e la codifica dei messaggi si basano sulla tecnologia secret key . Per l'autenticazione, il messaggio viene firmato e la firma viene codificata da una chiave quando viene inviata e la firma viene decodificata e verificata quando viene ricevuta. Per la codifica, l'algoritmo di codifica utilizza la chiave per rendere i dati illeggibili. Il messaggio viene codificato quando viene inviato e decodificato quando viene ricevuto.

L'autenticazione e la cifratura dei messaggi si basano sui servizi di sicurezza cluster (CtSec) in AIX®e utilizzano le chiavi di cifratura disponibili da Cluster Security Services. L'autenticazione del messaggio PowerHA® SystemMirror® utilizza il message digest versione 5 (MD5) per creare le firme digitali per il message digest. L'autenticazione dei messaggi utilizza i seguenti tipi di chiavi per codificare e decodificare le firme e i messaggi (se selezionati):

  • DES (Data Encryption Standard)
  • DES tripli
  • AES (Advanced encryption standard).

La modalità di autenticazione del messaggio è basata sull'algoritmo di codifica. La selezione di una modalità di autenticazione dei messaggi dipende dai requisiti di sicurezza per il cluster PowerHA SystemMirror .

L'autenticazione e la crittografia dei messaggi aumenta il sovraccarico richiesto per elaborare i messaggi e può influire sulle prestazioni di PowerHA SystemMirror . L'elaborazione di algoritmi di crittografia più sofisticati può richiedere più tempo rispetto a algoritmi meno complessi. L'autenticazione e la codifica del messaggio sono disabilitate per impostazione predefinita.

Il prodotto PowerHA SystemMirror non include le librerie di codifica. L'autenticazione e la cifratura dei messaggi si basano sui servizi di sicurezza cluster (CtSec) in AIX®e utilizzano le chiavi di cifratura disponibili da Cluster Security Services. Prima di poter utilizzare l'autenticazione e la codifica dei messaggi, i seguenti fileset AIX devono essere installati su ciascun nodo cluster:

  • Per la codifica dati con l'autenticazione del messaggio DES: rsct.crypt.des
  • Per l'autenticazione del messaggio Triple DES standard di crittografia dati: rsct.crypt.3des
  • Per la codifica dei dati con l'autenticazione dei messaggi AES (Advanced Encryption Standard): rsct.crypt.aes256

È possibile installare questi fileset dal CD-ROM AIX Expansion Pack.

Se si installano le serie di file di codifica AIX dopo aver eseguito PowerHA SystemMirror , riavviare il daemon delle comunicazioni cluster per consentire a PowerHA SystemMirror di utilizzare tali serie di file. Per riavviare il daemon delle comunicazioni cluster:

stopsrc -s clcomd
startsrc -s clcomd

Se la configurazione include etichette persistenti, assicurarsi che questa configurazione sia sincronizzata prima di continuare.

PowerHA SystemMirror fornisce un'interfaccia SMIT per configurare l'autenticazione e la codifica dei messaggi.

Per aprire l'interfaccia SMIT, immettere:
smit cspoc

Selezionare Sicurezza e utenti > PowerHA SystemMirror Cluster Security.

Importante: non eseguire altre attività di configurazione cluster durante la configurazione dell'autenticazione e della codifica dei messaggi per un cluster. Ciò potrebbe causare problemi di comunicazione tra i nodi. Assicurarsi che la configurazione della protezione sia completa e che il cluster sia sincronizzato prima di eseguire altre attività di configurazione.

Per ulteriori informazioni sulle opzioni di autenticazione e crittografia disponibili, consultare la documentazione CAA in Configurazione della sicurezza del cluster.