アダプターのインストールと操作に関する問題の解決

アダプターのインストールと操作上の問題をトラブルシューティングする場合に役立つ可能性のある情報を取得できます。

このタスクについて

「アダプター・ユーザー名」という言葉は、この手順全体で使用されています。 「アダプター・ユーザー名」は、管理者名用に IBM® Security Identity Governance and Intelligence サービス・フォームで提供されている UNIX アカウントです。このアカウントは、ターゲット・ワークステーションへの接続を開くためにアダプターによって使用されるアカウントです。
注: 次の手順は、AIX オペレーティング・システム用に作成されているため、他の UNIX または Linux オペレーティング・システムの場合は、正しいコマンドで更新する必要があります。

手順

  1. ログ・レベルを Debug に設定します。
    IBM Security Dispatcher インストールと構成のガイド」を参照してください。 可能な場合は、失敗した要求を含むログ・ファイルのみを取得します。
  2. ログ・ファイルからソフトウェア・バージョンを取得します。
    次の検索を実行します。
    表 1. ソフトウェア・バージョンの検索ストリング
    ソフトウェア ログ・ファイルの検索ストリング
    ディスパッチャー RMIDispatcherImpl: Starting
    アセンブリー・ライン UNIX/Linux Adapter AL version
    Posix コネクター Loaded com.ibm.di.connector.osconnector.PosixConnector
    RXA ライブラリー RXA Version
  3. オペレーティング・システムのバージョンを取得します。
    AIX ワークステーションで、以下のコマンドを発行します。 
    % instfix -i | grep AIX_ML
% oslevel -q –s
  4. OpenSSH バージョン 4.7 以降がインストールされていることを確認します。 このアダプターでは他のバージョンの OpenSSH であっても正しく機能する可能性はありますが、問題の原因が OpenSSH にあると特定された場合、サポートを受けるには OpenSSH バージョンの更新が必要な場合があります。
  5. OpenSSH の構成の問題については、以下の手順を実行します。
    1. sshd_config ファイルで、UsePrivilegeSeparation 属性が yes に設定されていることを確認します。
      UsePrivilegeSeparation のデフォルト値は yes です。 no に設定されている場合、アダプター・アカウントはロックされています。
    2. sshd_config ファイルの ClientAliveInterval 属性をコメント化するか、0 に設定します。
      ClientAliveInterval のデフォルト値は 0 です。
  6. リモート・ワークステーションで、次の SSH コマンドを発行して、結果を取得します。 
    % ssh username@ip-address "ssh -V"
    sudo が使用されている場合、以下のコマンドを発行します。 
    % ssh username@ip-address "sudo ls /tmp"
% ssh username@ip-address "which sudo"
    username は、アダプターのユーザー名です。 ip-address は、管理対象の UNIX システムの IP アドレスです。
  7. 調整の問題については、次の手順を実行します。
    1. AIXPConnRes.sh 調整ファイルをアダプターのソリューション・ディレクトリーから AIX /tmp ディレクトリーにコピーします。
    2. 「アダプターのユーザー名」を使用して、AIX システムにログインします。
    3. /tmp ディレクトリーにディレクトリーを変更します。
    4. AIXPConnRes.sh ファイル、chmod 777 AIXPConnRes.sh に対する実行権限を持っていることを確認します。
    5. 次のコマンドを実行し、recon.out ファイルを保存します。 
      AIXPConnRes.sh "grep -e :" true > recon.out 2>&1
      Linux システムでは、サービス・フォームの「ログイン失敗の照会に使用したコマンド」フィールドで指定されているコマンドに応じて、以下のいずれかのコマンドを使用します。 
      LinuxPConnRes.sh "grep -e :" true : "faillog -u %USER%"

LinuxPConnRes.sh "grep -e :" true : "faillock --user %USER%"

LinuxPConnRes.sh "grep -e :" true : "pam_tally2 --user %USER%"
      sudo が使用されていない場合、true の値を false に置き換えます。 False は、root ユーザー用の値です。
      すべての調整ファイルはアダプターのソリューション・ディレクトリーにあります。 以下の表には、さまざまなオペレーティング・システムの調整ファイルの名前がリストされています。
      表 2. 調整ファイル名
      プラットフォーム 調整ファイル名
      AIX ファイル・システム AIXPConnRes.sh
      非トラステッド HPUX HPNTrustPConnRes.sh
      トラステッド HPUX HPTrustPConnRes.sh
      シャドーなし Linux LinuxPConnRes.sh
      シャドーあり Linux LinuxShadowPConnRes.sh
      Solaris SolarisPConnRes.sh
  8. sudo の問題については、次の手順を実行します。
    1. インストール・ガイドの sudo セットアップを確認します。
      サポートされているオペレーティング・システムでのスーパーユーザーの作成を参照してください。
    2. アダプターのユーザー名を使用して、ターゲット・システムにログインします。
    3. sudo を使用して、ターゲット・システムで手動コマンドを実行します。
      例: 
      sudo mkuser test1
sudo passwd test1
sudo rmuser test1
  9. SSH の問題については、sshsudo を使用して、ターゲット・システムで手動コマンドを実行します。
    例えば、ターゲット・システムへの接続があるシステムにログインして、以下のコマンドを発行します。
    sudo ユーザーの場合
    ssh user@target "sudo mkuser test1"
ssh user@target "sudo passwd test1"
ssh user@target "sudo rmuser test1"
    sudo ユーザー以外の場合
    ssh user@target "mkuser test1"
ssh user@target "passwd test1"
ssh user@target "rmuser test1"