リードオンリーサーバー
(この機能はPMPビルド12300以降で利用可能です)

リードオンリー(RO)サーバーは、ユーザーがPassword Manager Proでリードオンリー操作のみを実行できるようにし、データの修正実行を防止する冗長的なアプリケーションサーバーです。企業要件にあわせて、多数のリードオンリーサーバーをさまざまな場所で構成できます。リードオンリーサーバーのセットアップは、単一のセカンダリサーバーのみを構成できる高可用性セットアップとは異なります。構成されたリードオンリーサーバーはすべて、プライマリサーバーと接続、同期され、データの一貫性が確保されます。

注記:

  • Password Manager Proで、ユーザーは、リードオンリーサーバーからパスワードのみを取り込むことができます。
  • リードオンリーサーバーで実行する操作はすべて、プライマリサーバーに戻されて監査され、他のリードオンリーサーバーに複製されます。
  • プライマリサーバーが故障した場合、管理者は、リードオンリーサーバーをプライマリサーバーに変換し、他のすべてのリードオンリーサーバーが新しいプライマリサーバーに向くように再構成します。

下記の内容は、ビルド13100以降のビルドに適用されます。

  • Password Manager Proを使用することで、ユーザーは利用可能なリードオンリーサーバーを介して、RDP、SSHおよびVNCセッションを開始できます。
  • リードオンリーサーバーで記録されたセッション記録を再生するには、[セッションレコーディング]設定から、ネットワークパスを指定して記録用のストレージ設定を構成する必要があります。

下記の内容は、ビルド13140以降のビルドに適用されます。

  • ユーザーがリードオンリーサーバーのURLを使用してPassword Manager Proアプリケーションにアクセスすると、プライマリサーバーがアクティブな場合は自動的にプライマリサーバーにリダイレクトされます。プライマリサーバーが利用できない場合にのみ、リードオンリーサーバーへの直接アクセスが許可されます。

プライマリサーバーとリードオンリーサーバーのセットアップ

プライマリサーバーとリードオンリーサーバーを構成する前に、お使いの環境にリードオンリーサーバ―をインストールする必要があります。リードオンリーサーバーが正常にインストールされたら、プライマリとリードオンリーサーバーでの構成の変更方法について詳細に確認します。また、以下の手順で、現在のプライマリサーバーがダウンしたときにリードオンリーサーバーがプライマリサーバーの役割を担うようにします。

必要な手順

  1. 前提条件
  2. プライマリサーバーでのリードオンリーサーバー構成パックの作成
  3. リードオンリーサーバーのセットアップ
  4. リードオンリーサーバーをプライマリサーバーとして構成
  5. リードオンリーサーバーのクラスターからの削除
  6. リードオンリーサーバー監査の試行

1.前提条件

  1. サーバー環境にPostgreSQLデータベースの高可用性が構成されている場合は、リードオンリーサーバーを構成する前に高可用性の設定を削除します。これを行うには、次の手順を実行します。
  2. [管理]タブ→[設定][高可用性]に移動します。
  3. 使用可能なセカンダリサーバーの横にある編集アイコンをクリックします。開いたポップアップで、セカンダリサーバー名PMPHOSTに更新します。
  4. <Password Manager Pro_インストールディレクトリ>/confフォルダに移動し、pmp_rr.confファイルを削除します。
  5. <Password Manager Pro_インストールディレクトリ>/pgsql/binフォルダに移動し、Primary.confHAPrimary.confファイルを削除します。
  6. <Password Manager Pro_インストールディレクトリ>/pgsql/dataフォルダーに移動し、管理者権限で WordPad または Notepad++ でpg_hba.confファイルを開き、以下の変更を行います。
    1. 開いたファイルで、セカンダリ サーバーの詳細 (IP アドレス/ホスト名) を含む行を検索し、それに関連する行全体を削除します。
    2. 次に、ファイルを保存し、Password Manager Pro サービスを再起動して、リードオンリーサーバーの構成を続行します。

2.プライマリサーバーでのリードオンリーサーバー構成パックの作成

  1. <PMP_インストールディレクトリ>/binに移動します。
  2. プライマリサーバーで以下のコマンドを実行し、リードオンリーサーバーにコピーが必要なファイルを含むROPack.zip ファイルを作成します。
    • Windows:ROSetup.bat <IP_of_RO_Server> <userName> <password> <slotName>
    • Linux:ROSetup.sh <IP_of_RO_Server> <userName> <password> <slotName>

    3. 注記:

    • ROPack.zipを作成するとき、リードオンリーサーバーのすべてに、一意のslotNameが必要です。
    • 初めて複製パックを作成してリードオンリーサーバーを構成する場合、各自選択したuserNamepasswordを入力します。以降、追加の複製パックを生成するには、同じユーザー名とパスワードを入力する必要があります。Password Manager Proデータベースにはユーザー名とパスワードは保存されませんので、注意してください。そのため、これらを安全な場所に保存することを推奨します。

ここでは、

  1. IP_of_RO_Server - リードオンリーサーバーの有効なIPアドレス。
  2. userName - 複製に使用するユーザー名。

    制約:

    • すべてのリードオンリーサーバーにおいて単一のユーザー名とパスワードで十分です。
    • ユーザー名には、小文字、数字および下線のみ使用できます。
  3. password - 複製ユーザー用パスワード。
  4. slotName -複製用のリードオンリーサーバーのスロット名。

    制約:

    • 複製スロット名には、小文字、数字、および下線のみ使用できます。
    • 各リードオンリーサーバーに、一意のスロット名が必要です。

生成された複製パックのzipは、<PMP_インストールディレクトリ>/replicationフォルダにあります。

  1. プライマリサーバーで以下のコマンドを実行して、証明書をインポートします:

    Linux:

    • sh importCert.sh ../conf/ServerCer.cer
    • sh importCert.sh ../conf/CACert.pem
    • sh importCert.sh ../agent/ServerCer.cer

    Windows:

    • importCert.bat ..\conf \ServerCer.cer
    • importCert.bat ..\conf\CACert.pem
    • importCert.bat ..\agent\ServerCer.cer

    注記:カスタム証明書をインストールするには、上のコマンドで証明書のパスを置き換えます。

リードオンリー構成パックが正常に構成され、プライマリサーバーがセットアップされました。

3.リードオンリーサーバーのセットアップ

  1. リードオンリーサーバーの<PMP_インストールディレクトリ>に移動し、ROPack.zipファイルを抽出します。これにより、利用可能なプライマリサーバーのファイルに置き換わります。
  2. pmp_key.keyファイルをプライマリサーバーからリードオンリーサーバーにコピーし、<PMP_インストールディレクトリ>/conf/manage_key.confファイルのpmp_key.keyファイルのパスを更新します。

    注記:

    1. PMPのインストールにカスタムSSL証明書を使用している場合、SSL証明書をプライマリサーバーからコピーし、リードオンリーサーバーのパス<PMP_インストールディレクトリ>/confに貼り付けます。
    2. manage_key.confファイルがリードオンリーサーバーにない場合、manage_key.confという名前の新しいファイルを作成し、暗号化キーの場所を入力します。暗号化キーがリモートパスにある場合、パスはUNC形式で入力します。
  3. <PMP_インストールディレクトリ>/binに移動し、リードオンリーサーバーで以下のコマンドを実行して、証明書をインポートします:

    Linux:

    • sh importCert.sh ../conf/ServerCer.cer
    • sh importCert.sh ../conf/CACert.pem
    • sh importCert.sh ../agent/ServerCer.cer

    4. Windows:

    • importCert.bat ..\conf\ServerCer.cer
    • importCert.bat ..\conf\CACert.pem
    • importCert.bat ..\agent\ServerCer.cer

    注記:カスタム証明書をインストールするには、上のコマンドで証明書のパスを置き換えます。

リードオンリーサーバーが正常にセットアップされました。[管理]>[設定]>[リードオンリーサーバー]に移動すると、構成したリードオンリーサーバーをPassword Manager Proのインターフェイスで表示できます。

4.リードオンリーサーバーをプライマリサーバーとして構成

  1. プライマリサーバーとして変換するリードオンリーサーバーを停止します。
  2. standby.signalファイルを<PMP_インストールディレクトリ>/pgsql/data フォルダから削除します。
  3. <PMP_インストールディレクトリ>/pgsql/ext_confフォルダ内の、postgres_ext.confファイルを開きます。recovery props以下のすべてのエントリを削除します。
  4. <PMP_インストールディレクトリ>/conf/configurations.propertiesファイルのエントリreadonly.mode=trueを削除します。
  5. <PMP_インストールディレクトリ>/confフォルダ内の、serverstate.confファイルを開きます。roと検索し、それをmasterに変更します。
  6. Password Manager Proサーバーを起動します。これで、リードオンリーサーバーがプライマリサーバーとして起動します。
    リードオンリーサーバーが正常にプライマリサーバーとして構成されました。
  7. 次に、以下のコマンドを実行し、変換したリードオンリーサーバーのIPアドレスをデータベースから削除します。

    Windows:

    • <PMP_インストールディレクトリ>\bin\DeleteROServerIP.bat <IP_Address_of_RO_that_was_converted_to_Primary>
    • <PMP_インストールディレクトリ>\bin\DeleteSlot.bat <slotName_of_RO_that_was_converted_to_Primary>

    Linux:

    • <PMP_インストールディレクトリ>/bin/DeleteROServerIP.sh <IP_Address_of_RO_that_was_converted_to_Primary>
    • <PMP_インストールディレクトリ>/bin/DeleteSlot.sh <slotName_of_RO_that_was_converted_to_Primary>
  8. 続いて、手順1(プライマリサーバーでのリードオンリーサーバー構成パックの作成)と手順2 (リードオンリーサーバーのセットアップ)にしたがって、このプライマリサーバーと同期化する既存のリードオンリーサーバーを再構成します。

5.リードオンリーサーバーのクラスターからの削除

プライマリサーバーから以下のコマンドを実行し、リードオンリーサーバーをクラスターから削除します。

  1. 既存のリードオンリーサーバーを削除するコマンドは以下の通りです。

    Windows:

    <PMP_インストールディレクトリ>\bin\DeleteROServerIP.bat <RO_IP_Address>

    Linux:

    <PMP_インストールディレクトリ>/bin/DeleteROServerIP.sh <RO_IP_Address>

  2. リードオンリーサーバーに構成された既存のスロットを削除するコマンドは以下の通りです。

    Windows:

    <PMP_インストールディレクトリ>\bin\DeleteSlot.bat <RO Slot Name>

    Linux:

    <PMP_インストールディレクトリ>/bin/DeleteSlot.sh <RO Slot Name>

    3. 注: ビルド 12400 にアップグレードすると、リードオンリーサーバーで構成されている既存のスロットの削除が、PostgreSQL サーバーによって自動的に実行されます。

6.リードオンリーサーバー監査の試行

リードオンリーサーバーを有効にしている場合、リードオンリーサーバーの監査の全履歴が、リソース監査とユーザー監査タブ内の別の列に表示されます。監査についての詳細は、ここをクリックしてください。

トラブルシューティングのヒント

[管理]タブ→[設定]→[リードオンリーサーバー]の、リードオンリーサーバーのステータスが非アクティブである場合、以下の手順に従ってトラブルシューティングを行います。

プライマリサーバー:

  1. <PMP_インストールディレクトリ>/pgsql/dataフォルダに移動します。
  2. pg_hba.confファイルを開き、リードオンリーサーバーのIPアドレス複製ユーザー名が正しいか確認します。

リードオンリーサーバー:

  1. <PMP_インストールディレクトリ>/confフォルダに移動します。
    1. pg_hba.confファイルを開き、プライマリリードオンリーサーバーのIPアドレスが正しいか確認します。
    2. 次に、configuration.propertiesファイルを開き、値"readonly.mode=true"を確認します。
  2. <PMP_インストールディレクトリ>/pgsql/dataフォルダに移動します。
    1. pg_hba.confファイルを開き、プライマリサーバーIP、ポート、複製ユーザー名、パスワードおよびスロット名が正しいか確認します。

問題が解消しない場合は、ディレクトリパス<PMP_インストールディレクトリ>/logs<PMP_インストールディレクトリ>/pgsql/data/pg_logのログファイルを、passwordmanagerpro-support@manageengine.comにご送付いただき、詳しい対応方法についてお問い合わせください。