ctscfg 命令

在线编辑

用途

列示并修改集群安全服务配置文件的内容。

语法（ctscfg -a)

ctscfg -a { -c MPM_code } { -n MPM_name } { -o MPM_object_module } { -p MPM_priority } [ -f i | u | z ] [ -l ] [-h]

语法（ctscfg -d)

ctscfg -d { -c MPM_代码 | -n MPM_名称 } [-l] [-h]

ctscfg -u {{ -c MPM_code } | { -n MPM_name }} {{ -f i | u | z } | { -p MPM_priority }} [-l] [-h]

ctscfg -l

ctscfg -h

描述

ctscfg 命令列出并修改集群安全服务配置文件 ctsec.cfg的内容。此文件提供有关认证方法的配置信息，集群安全服务可将此方法用于客户机/服务器认证。每个认证方法都由机制可插入模块 (MPM) 处理。每个 MPM 配置都由 ctsec.cfg 文件中的一行条目定义。该条目包含有关下列内容的信息：

当集群安全服务为客户机/服务器认证选择认证方法时 MPM 的优先级
MPM 的数字代码，它在配置文件中的所有 MPM 之间为唯一代码
MPM 的助记符，它在配置文件中的所有 MPM 之间为唯一符号
二进制模块的名称，它实现 MPM 的功能
处理 MPM 时，由集群安全服务机制抽象层 (MAL) 使用的其他标志

集群安全服务在 /opt/rsct/cfg/ 目录中包含缺省 ctsec.cfg 文件。 ctscfg 命令不会修改此缺省配置文件。相反， ctscfg 会生成缺省 ctsec.cfg 文件的副本 (如果尚不存在) ，并将其复制到 /var/ct/cfg/ 目录。如果此文件的工作副本已存在并且有足够的空间，那么会将先前版本记录到 /var/ct/cfg/ctsec.cfg.bak。

使用此命令，系统管理员可以创建“空”安全子系统配置，在这种情况下没有配置安全 MPM。在此配置中，各方均被视为未认证。

标志

-a

将新 MPM 的新配置条目添加到 /var/ct/cfg/ 目录中 ctsec.cfg 文件的工作副本。如果该目录中没有工作副本，那么 ctscfg 将创建工作副本并对其进行修改。配置条目必须包括 MPM 优先级、数字代码、助记符、二进制对象和任何标志（可选）。此标志需要 -c， -n， -o和 -p 标志。

-c MPM_代码

指定安全子系统参阅此 MPM 使用的代码。 MPM_code 必须以十六进制值表示，格式为 "0xvalue" (例如"0x1a" 或 "0x9F")。此标志是 -a 和 -d 标志所必需的。

-d

从 /var/ct/cfg中的 ctsec.cfg 文件的工作副本中除去安全性 MPM 的现有条目。如果该目录中没有工作副本，那么 ctscfg 将创建工作副本并对其进行修改。必须指定 -c 标志或 -n 标志以指示要除去的条目。

-f 我 │ u │ z

指定将 MPM 添加到配置文件时安全子系统所需的标志。如果 MPM 具有任何其他标志，那么 -a 标志需要此选项; 如果调用者打算更新 MPM 标志，那么 -u 标志需要此选项。 MAL 支持这些其他标志：

i: 在将 MPM 装入进程的虚拟内存中时，指示 MAL 初始化 MPM。
u: 在不需要 MPM 时，指示 MAL 安全卸装 MPM。
z: 指定用于 MPM 的授权方法。具有与授权方法相同的助记符的 MPM 也必须存在并在 ctsec.cfg中进行配置。

必须在标志之间指定不带空格的标志 (例如-f iuz)。

-l

列出正在工作的 ctsec.cfg 文件的内容。如果此选项与 -a， -d或 -u一起指定，那么将列出生成的配置。

-n MPM_名称

指定用于安全 MPM 的助记符。助记符必须是短字符串值 (例如mymech)。此标志是 -a 和 -d 标志所必需的。

-o MPM对象模块

指定 MPM 的位置，包括子目录的完整路径。该 MPM 必须以文件形式存在。如果使用符号链接，那么该符号链接必须引用现有文件。路径必须表示为绝对路径 (例如，/usr/lib/mymech)。此标志是 -a 标志所必需的。

-p MPM_优先级

指定与此安全机制可插入模块 (MPM) 关联的优先级。较小的值具有更高的优先级。优先级值不需要具有连续性，但两个 MPM 无法共享优先级。优先级不允许负值和零值。如果调用者打算更新 MPM 优先级，那么 -a 标志和 -u 标志需要此选项。

-u

更新 /var/ct/cfg中 ctsec.cfg 文件的工作副本中 MPM 的现有配置条目。如果该目录中没有工作副本，那么 ctscfg 将创建工作副本并对其进行修改。必须由 MPM 助记符代码或助记符指定配置条目。可更新的唯一字段是 MPM 优先级和标志。此标志需要 -c 标志或 -n 标志 (以标识要修改的配置条目) 和 -f 标志或 -p 标志 (以指定用于更新所选配置条目的新值)。

-h

将命令的用法语句写到标准输出。

标准输出

当指定 -h 标志时，此命令用法语句将写入标准输出。

标准错误

有关任何检测到的故障情况的描述信息都写入标准错误。

退出状态

0: 命令成功完成。
4: 标志错误。提供的一个或多个标志无效或缺少值。
21: 配置错误。 MAL 配置文件内容无效或已损坏。
30: 锁定错误。锁定 MAL 配置文件期间发生错误。
36: 许可权错误。调用者无权列示或修改 MAL 配置文件。
105: 文件错误。读取或写入 MAL 配置文件期间发生错误。

文件

/var/ct/cfg/ctsec.cfg: MAL 配置文件的工作副本
/var/ct/cfg/ctsec.cfg.bak: 备份 MAL 配置文件的工作副本

安全性

使用此命令可列示和修改 MAL 配置文件。使用文件系统许可权位掩码 444 可保护由 RSCT 安装的 MAL 配置文件的缺省版本（也就是说，对所有人都是只读）。创建此文件的工作副本的管理员必须保留许可权位掩码才能维护系统的安全。

此命令使用 /var/ct/cfg/中 MAL 配置文件的工作副本。如果没有这样的工作副本，使用该命令可创建与缺省配置文件相同的所有权和许可权位掩码的文件。如果该命令的调用者没有执行此操作的许可权，那么该命令会返回许可权错误。

实现细节

此命令是 Reliable Scalable Cluster Technology (RSCT) 集群安全服务的一部分。它作为 AIX® 的 rsct.core.sec 文件集的一部分提供。

位置

/opt/rsct/bin/ctscfg

示例

要在 /opt/rsct/cfg/ 或 /var/ct/cfg/中列出 ctsec.cfg 文件的工作副本的内容，请输入:
```
/opt/rsct/bin/ctscfg -l
```
要将 HBA2 MPM 添加到 /var/ct/cfg/中 ctsec.cfg 文件的工作副本，请输入:
```
/opt/rsct/bin/ctscfg -a -n hba2 -p 2 -c 0x2 -o /opt/rsct/lib/hba2.mpm -f i
```
这会将以下记录添加到 /var/ct/cfg/中 ctsec.cfg 文件的工作副本中:
```
1      hba2        0x00002     /usr/lib/hba2.mpm       i
```
要从 /var/ct/cfg/, 中的 ctsec.cfg 文件的工作副本中删除 UNIX MPM ，请输入:
```
/opt/rsct/bin/ctscfg -d -n unix
```
要在 /var/ct/cfg/中使用 UNIX MPM 作为 ctsec.cfg 文件的工作副本中的新授权方法来更新 HBA2 MPM ，请输入:
```
/opt/rsct/bin/ctscfg -u -n hba2 -f iz [unix]
```
要将 HBA2 MPM 的优先级更新为 /var/ct/cfg/中 ctsec.cfg 文件的工作副本中的值 2 ，请输入:
```
/opt/rsct/bin/ctscfg -u -n hba2 -p 2
```