形式
rlogind [–a]
[–d] [–l] [–L]
[–m] [–n]
説明
rlogind プログラムは UNIX システムで一般に見られる
リモート・ログイン・コマンド rlogin のサーバーです。これは、リモート・ログイン要求の妥当性検査をし、
ターゲット・ユーザーのパスワードまたはパスワード・フレーズを検査します。ユーザーに対して z/OS シェル を開始し、データがワークステーションとシェルの間を移動するとき
に、ASCII と EBCDIC のコード・ページ変換を行います。
rlogind プログラムは、inetd デーモンにより
出される execl () を経由して制御を与えられます。
規則: rlogind は常に inetd から
/etc/inetd.conf ファイルを介して呼び出す必要があります。このプログラムはシェルから呼び出さないでください。 inetd は、rlogind に必要な特定のファイルとソケットをセットアップします。rlogind を直接呼び出すと、予測できない結果を生じます。
オプション
- –a
- 要求側の IP アドレスを、ローカル gethostbyname() ファイル
に対して検査するように指定します。このオプションは、rlogin プログラムが
.rhosts ファイルを認証には使用しないため、効力を持ちません。
- –d
- デバッグ・オプションを使用可能にするよう指定します。rlogin プロセスの
通知メッセージはシステム・ログに書き込まれます。
- –l
- 認証に .rhosts ファイルを使用しないことを指定します。
このオプションは、rlogin プログラムが
.rhosts ファイルを認証には使用しないため、効力を持ちません。
- –L
- /usr/sbin にある ruserok 出口の呼び出しが可能になります。
戻りコード・ゼロにより、パスワードまたはパスワード・フレーズの検査のバイパスが可能になります。ruserok 出口は
インストールの責任で指定する必要があります。
注: IBM® はこの機能の使用をお勧めしません。この機能を使用すると、セキュリティー・ホールが開いて、無許可ユーザー
がファイルおよび MVS™ データ・セットにアクセスして変更できるようになる
可能性があります。ruserok 出口で最も厳しい検査を行っても、
リモート・ユーザーがどれだか正確に識別できなくなるような、
既知の IP へのスプーフィング・アタックがあることに留意することが重要です。
IBM は、-L フラグは指定しないことをお勧めします。IBM は、
このオプションを使用した結果生じたセキュリティー問題の APAR はお受けしません。
-L フラグを指定すると /usr/sbin/ruserok が呼び出されて、
以下の受け渡しが行われます。
- プログラムの名前、/usr/sbin/ruserok
- クライアントの "hostname" または "hostname.domainname"
- スーパーユーザー・フラグ。ユーザーがスーパーユーザーになりたい場合は 1 に設定される整数
- クライアント・ユーザー名。クライアント・システムのユーザー名
- サーバー・ユーザー名。この (サーバーの) システムのユーザー名
ruserokプログラムが戻り値ゼロで終了すると、ユーザーはログインすることができます。それ以外では、通常のパスワードまたはパスワード・フレーズの検査が行われます。注: 機能クラスがアクティブで、BPX.DAEMON が定義されていれば、inetd と rlogind の両方の
ユーザー名が BPX.DAEMON を許可され、ruserok プログラム (inetd および rlogind に加えて) は
プログラム制御とマークされる必要があります。
- –m
- ユーザーのアドレス・スペースでのマルチプロセッシング・サポートを使用可能にするよう指定し
ます。–m オプションを使用すると、使用するシステム・リソースがより少なくて済み、エンド・ユーザーにとってよりよいパフォーマンスが得られます。
–m を指定しないと、各 rlogin 要求は 2 つの MVS アドレス・スペースを消費することになります。最初のアドレス・スペースは、ソケットへのユーザー接続を提供する rlogind コードで
、2 番目のものはユーザーのシェルです。このモードでは、すべてのシェル関数は標準に準拠する方法で作動します。
–m を指定すると、rlogin プロセスとシェル・プロセスはアドレス・スペースの複数処理
で
z/OS UNIX System Servicesのサポートを使用して、同じアドレス・スペースを共用します。
–m を使用すると、rlogin を経由してサポートされる
ユーザーの数が重複する可能性があります。
注: rlogind を –m オプション付きで使用すると、シェル・プロセスは、そのシェルを置換する setuid プログラムを実行
できません。これは、newgrp のような関数を失敗させます。この状態で、独自のアドレス・スペースで実行する 2 番目のシェルを作成したい場合があります。
- –n
- 転送 (レベル保持) 活動メッセージを使用不可にするよう指定します。メッセージはデフォルトにより使用可能にされます。
使用上の注意
- rlogind プログラムは
通常すべてのエラーおよび警告メッセージを ASCII に変換し、これらを発信元端末に送信します。
しかし、C ランタイム・ライブラリーがエラー・メッセージを書き込む場合
、rlogind プログラムは、代行受信してメッセージを ASCII に変換できません。
したがって、これらのメッセージは
/tmp/rlogind.stderr または
/tmp/rlogind2.stderr に書き込まれます。
これらの 2 つのファイルは /tmp で事前定義し、スーパーユーザー (UID 0) が所有する必要があります。これらのファイルの許可
は rw–rw–rw または rw––w––w– でなければなりません。さらに、/tmp ディレクトリー
のスティッキー・ビットを設定して、これらのファイル (および /tmp 内
の他のファイル) がファイルの所有者またはスーパーユーザー以外によって
除去されないようにする必要があります。
- rlogind は、ロケール関連の環境変数に指定されている
ロケール情報による影響は受けません。