ctsvhbal 命令

在线编辑

用途

显示本地系统可用于在 RSCT 基于主机的认证 (HBA) 安全机制凭证中标识自身的可能标识。

语法

ctsvhbal [[ -d | -h | -m | -s ] | [ -e msgnum[,msgnum...]] [ -l { 1 | 2 | 3 | 4 } | -b ]

描述

ctsvhbal 命令是基于 RSCT 主机的认证 (HBA) 安全性机制的验证实用程序。 它显示本地系统可用于在 HBA 凭证中标识自身的可能标识。

根据应用程序所选择的方法,HBA 安全机制可能使用主机名或者网络地址值作为凭证中标识信息的一部分。 如果本地系统要为来自远程系统的请求提供服务,那么该远程系统至少要有一个网络地址和主机名出现在本地系统上的受信主机列表中。 要验证该远程系统能够成功地认证本地系统,系统管理员将使用 RSCT 集群安全命令的组合:
  1. 在本地系统和远程系统上,发出 ctsvhbac 命令以验证每个系统都具有有效的 HBA 安全机制配置。
  2. 在本地系统上,发出 ctsvhbal 命令以确定 HBA 安全机制将用于向远程系统标识此主机的值。
  3. 在远程系统上,发出 ctsvhbar 命令并指定本地系统主机名或 IP 地址,以确定远程系统将用于验证从本地系统传输的 HBA 凭证的值。
  4. 比较 ctsvhbalctsvhbar 命令输出以确定两个系统是否使用同一方案进行主机名解析。 如果输出中未显示完全匹配的主机名,请修复主机名解析方案,并重复上述步骤,直到这两个命令都生成完全匹配。
完成这些步骤验证了在单个方向上的认证成功;换句话说,该过程仅仅验证了远程系统能够认证来自本地系统的请求。 因为 RSCT 子系统经常使用相互认证,因此系统管理员也应该验证本地系统能够成功地认证远程系统。 要完成该验证,需要执行以下附加步骤:
  • 在远程系统上,发出 ctsvhbal 命令以确定 HBA 安全机制将用于向本地系统标识该主机的值。
  • 在本地系统上,发出 ctsvhbar 命令并指定远程系统主机名或 IP 地址,以确定本地系统将用于验证从远程系统传输的 HBA 凭证的值。
  • 比较 ctsvhbalctsvhbar 命令输出以确定两个系统是否使用同一方案进行主机名解析。 如果输出中未显示完全匹配的主机名,请修复主机名解析方案,并重复上述步骤,直到这两个命令都生成完全匹配。
完成这些附加步骤即验证了当流量在相反方向(从远程系统到本地系统)中流动时认证成功。

更多详细指示信息和实例,请参阅 RSCT Administration Guide 中的 cluster security topics。

标志

-b
产生简要输出。 使用此选项时,该命令将仅显示为本地系统找到的主机标识和检测到的任何错误。 如果指定了 -l 选项,那么将忽略此选项。
-d
显示成功执行此命令所需的探测列表。
-e
指定此命令在执行过程中不显示的错误消息列表。 可能指定一个或多个消息号。 消息号的格式必须为 xxxx-yyy。 多条消息应以逗号(,)隔开,但不能有空格字符。
-h
显示此命令的帮助消息。
-l
允许“集群系统管理(CSM)探测基础结构”设置输出的详细信息级别。 接受的级别为:
1
详细方式。 显示命令目的摘要和所有测试的状态信息。
2
显示命令目的摘要和任何注意事项或任何测试中检测到的错误情况。
3
显示任何注意事项或任何测试中检测到的错误情况。
4
静默方式。 显示测试过程中检测到的错误。
-m
显示此命令及其用途的详细描述。
-s
显示此命令的目的摘要。

参数

无。

安全性

ctsvhbal 命令的许可权允许 bin 用户组的成员执行此命令。

退出状态

退出状态符合“CSM 探测基础结构”约定。
0
未检测到问题。 显示的任何消息都是信息性的。 无需管理干预。
10
未检测到问题,但本地系统无法将自己认证到任何远程系统。 本地系统没有任何活动的网络接口,而后者是 RSCT 允许的配置。 然而,对于此退出状态,系统管理员应验证此配置是否适合。
20
检测到一个或多个问题。 本地系统使用的主机名解析机制无法获取该本地系统支持的网络接口的主机名。 除非更正了这种情况,否则使用 HBA 机制的认证请求在该系统上可能会失败。 对于此退出状态,系统管理员应遵循命令输出中列出的问题解决建议。
127
此命令中遇到意外故障。

限制

  • 集群安全服务仅支持其自身的主机标识格式和可信主机列表文件格式。
  • 可信主机列表仅可以使用该命令进行修改。
  • 集群安全服务不提供自动实用程序用于在集群内创建、管理和维护可信主机列表。 这是系统管理员或集群管理软件的过程。

标准输出

当指定 -h 标志时,此命令的用法语句将写入标准输出。 当指定 -l 标志时,可信主机列表文件的内容将写入标准输出。

标准错误

有关任何检测到的故障情况的描述信息都写入标准错误。

示例

要显示本地系统可用于在 HBA 凭证中标识自身的可能标识,请输入:
ctsvhbal

输出类似于:

ctsvhbal: The Host Based Authentication (HBA) mechanism identities for 
the local system are:

                  Identity:  zathras.pok.ibm.com

                  Identity:  9.127.100.101  

ctsvhbal: At least one of the above identities must appear in the 
trusted host list on the node where a service application resides in order 
for client applications on the local system to authenticate successfully. 
Ensure that at least one host name and one network address identity from the 
above list appears in the trusted host list on the service systems used by 
applications on this local system.

位置

/opt/rsct/bin/ctsvhbal
包含 ctsvhbal 命令

文件

/opt/rsct/cfg/ctcasd.cfg
ctcasd 守护程序的缺省配置
/var/ct/cfg/ctcasd.cfg
ctcasd 守护程序的配置,可由系统管理员修改