Befehl "ctsidmck"

Zweck

Überprüft die Identitätszuordnung für die Clustersicherheitsbibliothek.

Syntax

ctsidmck -h │ -i │ { [ -dl │ -dm │ -dh ] -m Sicherheitsmechanismus Netz-ID }

Beschreibung

Ein Systemadministrator kann den Befehl ctsidmck verwenden, um die Zuordnung zu überprüfen, die die Clustersicherheitsbibliothek (libct_sec) für eine bestimmte Sicherheitsnetz-ID erhalten würde.

Die Clustersicherheitsbibliothek erstellt durch den Austausch von Daten zwischen einem Client eines vertrauenswürdigen Service und dem Server des vertrauenswürdigen Service einen Sicherheitskontext. Während der Erstellung des Sicherheitskontextes versucht die Clustersicherheitsbibliothek, die Sicherheitsnetzidentität der Clientanwendung einer Identität zuzuordnen, die möglicherweise auf dem Serverknoten vorhanden ist und als zugeordnete Identität bezeichnet wird. Die Clustersicherheitsbibliothek verwendet die zugeordnete Identität später auf dem Server in Berechtigungsfunktionen, wie z. B. der Zugriffssteuerungsprüfung. Ob die Clientanwendung eine zugeordnete Identität auf dem Server hat, hängt davon ab, ob die folgenden Definitionsdateien für die Identitätszuordnung auf dem Server vorhanden sind und ob einer der Einträge in diesen Dateien der Sicherheitsidentität entspricht, die von der Clientanwendung verwendet wird:

/opt/rsct/cfg/ctsec_map.global
/var/ct/cfg/ctsec_map.local
/var/ct/cfg/ctsec_map.global

Die Position der Definitionen innerhalb dieser Dateien ist wichtig: Einträge am Anfang der Datei werden vor Einträgen am Ende der Datei verarbeitet. Die Definitionsregeln lassen auch die Verwendung von Platzhaltern für Eintragsinformationen und die Erweiterung bestimmter reservierter Wörter zu. Wenn eine Definition in einer dieser Dateien nicht ordnungsgemäß angegeben ist, ist das Zuordnungsergebnis unter Umständen nicht das erwartete. Das Zuordnungsergebnis ist möglicherweise auch nicht das erwartete, wenn eine Definition hinter einer anderen Definition positioniert ist, die eine Sicherheitsnetzidentität erfolgreich zuordnen kann.

Mit diesem Befehl kann ein Administrator überprüfen, ob von der Clustersicherheitsbibliothek die richtige Identitätszuordnungsdefinition verwendet wird, um eine Sicherheitsnetzidentität zuzuordnen. Dieser Befehl muss auf dem System ausgeführt werden, das als Server dient. Durch die Angabe einer Sicherheitsnetzidentität mit diesem Befehl auf dem Server kann der Administrator die zugeordnete Identität für diese Sicherheitsnetzidentität auf diesem System und den zum Abrufen dieser Zuordnung verwendeten Eintrag aus den Definitionsdateien für die Identitätszuordnung bestimmen.

Flags

-h

Schreibt den Verwendungshinweis für den Befehl in die Standardausgabe.

-i

Zeigt eine Liste der unterstützten Sicherheitsmechanismen auf diesem System an. Der Befehl untersucht die Konfiguration der Clustersicherheitsbibliothek auf diesem Knoten, ruft eine Liste der unterstützten Sicherheitsmechanismen ab und zeigt diese Liste an. Die Mechanismen werden nach den mnemonischen Zeichen aufgelistet, die die Clustersicherheitsbibliothek für die Referenz dieser Mechanismen verwendet.

-d

Gibt den Detaillierungsgrad der Befehlsausgabe an. Sie können einen der folgenden drei Werte für den Detaillierungsgrad angeben:

low (l): Der Befehl zeigt nur die zugeordnete Identität für Netz-IDan. Dies ist der Standarddetaillierungsgrad.
medium (m): Der Befehl zeigt die zugeordnete Identität für Netz-IDsowie den Eintrag aus den Definitionsdateien für die Identitätszuordnung an.
high (h): Der Befehl zeigt alle Einträge aus den Definitionsdateien für die Identitätszuordnung an, die verarbeitet werden, bis eine zugeordnete Identität für Netz-ID gefunden wird oder bis alle Einträge verarbeitet wurden.

-m sicherheitsmechanismus

Gibt den Sicherheitsmechanismus an, der zum Erstellen für Netz-ID angegebenen Sicherheitsidentität verwendet wurde. Sicherheitsmechanismus steht für ein mnemonisches Zeichen, das von der Clustersicherheitsbibliothek für die Referenz dieses Sicherheitsmechanismus verwendet wird. Dieses Flag muss angegeben werden, wenn die Flags -h und -i nicht angegeben werden.

Verwenden Sie das Flag -i , um eine Liste der von diesem System unterstützten Sicherheitsmechanismen anzuzeigen.

Parameter

Netz-ID: Gibt die zuzuordnende Sicherheitsnetz-ID an. Hierbei muss es sich um eine Identität handeln, die von einer Clientanwendung eines vertrauenswürdigen Service angenommen werden kann.

Sicherheit

Dieser Befehl kann nur vom Rootbenutzer und von Mitgliedern der Benutzergruppe "system" ausgeführt werden. Er ist ausschließlich für den Administrator bestimmt, der mit diesem Befehl die Sicherheitskonfiguration des Systems überprüfen kann. Da die Ausgabe dieses Befehls als Mittel für die Sabotage oder Umgehung der Systemsicherheit genutzt werden könnte, sollten die Berechtigungen für diesen Befehl nicht geändert werden.

Exitstatus

0: Dieser Befehl hat eine zugeordnete Identität für Netz-ID gefunden.
3: Dieser Befehl hat einen Fehler bei der Ausführung des MPM (Mechanism Pluggable Module) der Clustersicherheitsbibliothek für den angeforderten Sicherheitsmechanismus einen Fehler festgestellt. ctsidmck konnte in diesem Fall keine mögliche zugeordnete Identität für Netz-ID suchen. Möglicherweise gibt es zu diesem Fehler eine Ausgabe, in der die Art des MPM-Fehlers beschrieben wird. Ziehen Sie diese Ausgabe zur Ausführung möglicherweise empfohlener Aktionen heran.
4: Der Aufrufer hat diesen Befehl nicht ordnungsgemäß aufgerufen. Erfolgreiche Flags oder Parameter wurden weggelassen oder es wurden Flags verwendet, die sich gegenseitig ausschließen. ctsidmck wurde beendet, ohne zu versuchen, eine zugeordnete Identität für Netz-IDzu suchen.
6: Eine Speicherzuordnungsanforderung ist während der Ausführung dieses Befehls fehlgeschlagen. ctsidmck konnte in diesem Fall keine mögliche zugeordnete Identität für Netz-ID suchen.
21: Dieser Befehl hat keine der Definitionsdateien für die Identitätszuordnung auf dem lokalen System gefunden. ctsidmck konnte in diesem Fall keine mögliche zugeordnete Identität für Netz-ID suchen. Vergewissern Sie sich, dass mindestens eine Definitionsdatei für die Identitätszuordnung auf dem System vorhanden ist.
22: Dieser Befehl konnte das MPM (Mechanism Pluggable Module) der Clustersicherheitsbibliothek für den angeforderten Sicherheitsmechanismus nicht dynamisch laden. Mögliche Gründe sind, dass das Modul fehlt oder beschädigt ist oder dass eine der gemeinsam genutzten Bibliotheken, die von diesem Modul verwendet werden, fehlt oder beschädigt ist. ctsidmck konnte in diesem Fall keine mögliche zugeordnete Identität für Netz-ID suchen. Möglicherweise gibt es zu diesem Fehler eine Ausgabe, in der die Art des MPM-Fehlers beschrieben wird. Ziehen Sie diese Ausgabe zur Ausführung möglicherweise empfohlener Aktionen heran.
37: Mindestens eine der Definitionsdateien für die Identitätszuordnung auf dem System scheint beschädigt zu sein. Der Befehl konnte in diesem Fall die zugeordnete Identität für Netz-ID nicht suchen. Vergewissern Sie sich, dass keine der Identitätszuzordnungsdateien beschädigt oder abgeschnitten ist oder Syntaxfehler enthält.
38: Der Befehl ctsidmck hat keine zugeordnete Identität für Netz-ID gefunden. Keiner der Einträge in den Definitionsdateien für die Identitätszuordnung enthält eine zugeordnete Identität für die angegebene Sicherheitsnetzidentität.

Einschränkungen

Dieser Befehl funktioniert nur für MSS-formatierte Schlüsseldateien.

Standardausgabe

Der Befehl ctsidmck schreibt alle zugeordneten Identitäten, die für die Sicherheitsnetz-ID gefunden wurden, in die Standardausgabe. Wenn ein mittlerer oder hoher Detaillierungsgrad angefordert wird, werden auch alle von diesem Befehl angezeigten Definitionen in die Standardausgabe geschrieben.

Wenn das Flag -h angegeben ist, wird der Verwendungshinweis für diesen Befehl in die Standardausgabe geschrieben.

Standardfehlerausgabe

Es werden beschreibende Informationen für eine erkannte Fehlerbedingung in die Standardfehlerausgabe geschrieben.

Beispiele

Geben Sie Folgendes ein, um vor der Überprüfung einer Identitätszuordnung eine Liste der vom System unterstützten Sicherheitsmechanismen abzurufen:
```
ctsidmck -i
```
Geben Sie Folgendes ein, um nur die zugeordnete Identität für den RSCT-HBA-Mechanismus security network identity zathras@greatmachine.epsilon3.orgabzurufen:
```
ctsidmck -m unix zathras@greatmachine.epsilon3.org
```
Geben Sie Folgendes ein, um alle Identitätszuordnungsdefinitionen anzuzeigen, die der Befehl beim Suchen nach einer zugeordneten Identität für die Sicherheitsnetzidentität glorfindel@rivendell.elvin.net@endordes HBA-Mechanismus überprüft:
```
ctsidmck -d h -m unix glorfindel@rivendell.elvin.net@endor
```

Position

/opt/rsct/bin/ctsidmck: Enthält den Befehl ctsidmck

Dateien

/opt/rsct/cfg/ctsec_map.global: Die Standarddefinitionsdatei für die Identitätszuordnung. Diese Datei enthält Definitionen, die die die vertrauenswürdigen Services des RSCT-Clusters benötigen, damit diese Systeme unmittelbar nach der Softwareinstallation ordnungsgemäß ausgeführt werden können. Diese Datei wird ignoriert, wenn die clusterweite Definitionsdatei für die Identitätszuordnung /var/ct/cfg/ctsec_map.global auf dem System vorhanden ist. Deshalb sollten alle Definitionen aus dieser Datei auch in die clusterweite Definitionsdatei mit den Identitätszuordnungen eingefügt werden, falls diese Datei vorhanden ist.
/var/ct/cfg/ctsec_map.local: Wird zum lokalen Überschreiben der clusterweiten Identitätszuordnungsdefinitionen verwendet. Es wird davon ausgegangen, dass die Definitionen in dieser Datei nicht von mehreren Knoten im Cluster gemeinsam genutzt werden.
/var/ct/cfg/ctsec_map.global: Die clusterweiten Identitätszuordnungsdefinitionen. Es wird erwartet, dass diese Datei Identitätszuordnungsdefinitionen enthält, die einheitlich im gesamten Cluster verwendet werden. Wenn diese Datei auf dem System vorhanden ist, wird die Standarddefinitionsdatei mit den Identitätszuordnungen ignoriert. Wenn diese Datei vorhanden ist, sollte sie auch alle Einträge enthalten, die in der Standarddefinitionsdatei mit den Identitätszuordnungen enthalten sind.