NaviSECCli – czyli EMC i linia komend


 

Niniejszym wpisem chciałbym rozpocząć wpisy/porady dotyczące macierzy (choć jak niektórzy wolą – magazynów danych) spod znaku firmy EMC. Nie wdając się w dyskusje o wyższości sprzętu jednej firmy nad sprzętem innej firmy, chciałbym przejść do zagadnień praktycznych zarządzania macierzami EMC. Na pierwszy ogień wędruje zatem narzędzie NaviSECCli, służące do zarządzania magazynami danych z linii komend.

NaviSECCli – początki

Choć generalnie nie mam powodów do narzekań na wsparcie firmy EMC, o tyle czasem poruszanie się po ich stronie: support.emc.com przyprawia mnie o dreszcze i białą gorączkę. Jeśli jesteście klientami korzystającymi z rozwiązań firmy EMC, a nie macie jeszcze konta na stronie wsparcia, to czym prędzej udajcie się na wspomnianą wyżej stronę – zarejestrujcie się i spróbujcie znaleźć narzędzie o którym będzie obecny wpis. Jeśli uda się Wam zrobić to w mniej niż 5 minut – dobra Wasza! :)
Po ściągnięciu i zainstalowaniu (wiecie – next, next, next, finish – tu nawet nie ma o czym napisać ;)), czas na pierwsze chwile z NaviSECCli. Na pierwszy ogień w samej podstawowej konfiguracji zachęcałbym do utworzenia profilu z hasłem do logowania się do urządzeń.

Logowanie do urządzenia z użyciem NaviSECCli

Zanim jednak przystąpimy do samej procedury logowania należy określić w jaki sposób to zrobimy. EMC oferuje bowiem 3 „zakresy” logowania (cyferki w nawiasie używane są podczas korzystania z NaviSECCli):

  • Local (1) – służący do zarządzania jednym konkretnym systemem;
  • Global (0) – służący do zarządzania wszystkimi systemami w ramach jednej „domeny storage”;
  • LDAP (2) – to w zasadzie jedynie sposób uwierzytelnienia i autoryzacji dostępu do zarządzania systemem. W tym przypadku także mamy możliwość wyboru czy nasze konto domenowe ma zarządzać pojedynczym systemem czy też całą „domeną storage”.

Tak wygląda standardowe okno logowania do EMC Unisphere – czyli wersji graficznej/www systemu zarządzania sprzętem EMC:
EMC Unisphere
Jak widać tu z logowaniem nie powinno być żadnych – nawet najmniejszych problemów, o tyle z logowaniem podczas korzystania z narzędzia w linii komend jest już nieco więcej problemów. Po pierwsze tak naprawdę nie logujemy się za pomocą NaviSecCli do urządzenia jak przez ssh do switcha, albo innego linuksa, tylko wydajemy jednorazową komendę. Tak więc wykonanie dwóch komend będzie wymagało dwukrotnego użycia narzędzia EMC. Składania bowiem jest następująca:

NaviSecCli.exe -user użytkownik -password hasło -scope zakres -h IP komenda

Podawanie hasła za każdym razem wydaje się być nieefektywne oraz kłopotliwe, bo w samej komendzie umieszczamy nasze hasło (więc jeśli ktoś w dobrym momencie wykona odpowiednią komendę w PowerShell, otrzyma hasło do zarządzania naszym sprzętem. Tak więc wydanie takiego polecenia:

NaviSECCli.exe -user Piotr -password Specowy -scope 0 -h 192.168.11.135 faults -list

Może zostać przechwycone w PowerShell:
naviseccli
W warstwie sieciowej jest już lepiej, gdyż pakiety przechwycone w Wireshark wskazują na to, iż cała komunikacja z wykorzystaniem NaviSECCli odbywa się protokołem TLS. Nie mniej jednak komu chciałoby się za każdym razem klepać 24-znakowe hasła (bo takich używacie prawda?). Tu z pomocą przychodzi opcja utworzenia sobie profilu (pliku) logowania.

NaviSECCli – profil logowania

Decydując się na korzystanie z wygodniejszego rozwiązania przechowywania danych do logowania w zaszyfrowanym profilu (pliku) musimy wydać następującą komendę:

NaviSECCLi.exe -AddUserSecurity -Scope zakres -Password hasło -user użytkownik

Po wydaniu tego polecania w katalogu domowym naszego użytkownika pojawią się dwa szyfrowane pliki:

  • SecuredCLISecurityFile.xml
  • SecuredCLIXMLEncrypted.key

odpowiedzialne za uwierzytelnienie i autoryzację naszego użytkownika na macierzach EMC. Jeśli wszystko poszło dobrze kolejne komendy możemy już wykonywać w sposób następujący:

NaviSECCli -h IP komenda

Prawda, że prościej? I tym razem nie dajemy możliwości podsłuchania hasła nawet w zrzucie procesów. Warto także wspomnieć, że narzędzie NaviSECCli jest dostępne na platformy Windowsowe jak i Linuksowe.
To pierwszy z wpisów o urządzeniach firmy EMC, jako, że pracuję z nimi na co dzień, postaram się pisać więcej (słowo klucz – postaram się ;) ).
PS. Jeśli purystów językowych drażni używanie słowa – storage, to… przykro mi :-)


Podobne Tematy: