ctsidmck 命令
用途
验证集群安全性库标识映射。
语法
ctsidmck -h | -i | {[ -dl | -dm | -dh ] -m security_机制 network_ID }
描述
系统管理员可以使用 ctsidmck 命令来验证集群安全库 (libct_sec) 将获取的特定安全网络标识的映射。
集群安全性库通过可信服务的客户机和可信服务的服务器之间的交换建立安全上下文。 在安全上下文创建期间,集群安全性库尝试将客户机应用程序安全性网络身份映射到可以在服务器节点上存在的标识,称为已映射标识。 集群安全性库稍后将在授权功能,比如访问控制验证的服务器中使用映射标识。 客户机应用程序是否在服务器上具有已映射标识取决于服务器上是否存在以下标识映射定义文件,以及这些文件中的任何项是否都与客户机应用程序使用的安全标识相对应:
- /opt/rsct/cfg/ctsec_map.global
- /var/ct/cfg/ctsec_map.local
- /var/ct/cfg/ctsec_map.global
定义在这些文件中的位置很重要;处于文件报头的条目将在位于靠近文件尾端的条目之前处理。 定义规则还允许对条目信息使用通配符和对某些保留字进行扩展。 如果定义未正确指定在这些文件的一个文件,那么映射可能不能达到预期效果。 并且,如果一个定义位于另一个可以成功映射安全性网络标识的定义之后,映射结果也可能不能达到预期效果。
此命令允许管理员验证集群安全性库是否使用了正确的标识映射定义来映射安全性网络标识。 该命令应该在将作为服务器运行的系统上执行。 通过为该命令指定一个服务器上的安全性网络标识,管理员可以确定该安全性网络身份在该系统上将有何种映射的标识,以及从标识映射定义文件中使用了何种条目来获得该映射。
标志
- -h
- 将命令的用法语句写到标准输出。
- -i
- 显示该系统上受支持的安全机制的列表。 该命令检查位于该节点上的集群安全性库的配置,获得受支持的安全机制的列表,并显示该列表。 这些机制由集群安全性库用来指代这些机制的记忆存换器列出。
- -d
- 指定命令输出中的详细信息的级别。 允许三种详细信息级别之一:
- low (l): 此命令将仅显示 network_ID的映射标识。 这是缺省详细信息级别。
- medium (m): 此命令将显示 network_ID的映射标识以及生成映射的身份映射定义文件中的条目。
- high (h): 此命令将显示身份映射定义文件中处理的每个条目,直到找到 network_ID 的映射身份为止,或者直到处理所有条目为止。
- -m 安全机制
- 指定由 network_ID 提供的用来创建安全性网络标识的安全机制。 security_mechanism
是一个被集群安全性库用来指代该安全机制的记忆存换器。 当未提供 -h 和 -i 标志时,必须指定此标志。
使用 -i 标志来显示此系统支持的安全性机制的列表。
参数
- 网络标识
- 指定要映射的安全性网络标识。 这应是可以被可信服务的客户机应用程序采取的标识。
安全性
该命令仅由 root 用户和系统用户组的成员执行。 它意在仅供管理员使用,用来验证系统的安全配置。 因为该命令的输出可以被用作确定怎样破坏或危害一个系统安全性的手段,所以该命令的许可权不应被更改。
退出状态
- 0
- 该命令成功找到了 network_ID 的已映射标识。
- 3
- 该命令检测到在与所请求的安全机制相应的集群安全性库机制可插拔模块(MPM)的操作中的故障。 在此情况下, ctsidmck 无法搜索 network_ID 的可能映射身份。 该故障可能伴随描述输出,指出 MPM 故障的性质。 查阅该输出并执行任何建议的操作。
- 4
- 调用程序不正确地调用了该命令,省略了必需标志和参数,或使用了互斥的标志。 ctsidmck 已终止,但未尝试查找 network_ID的映射身份。
- 6
- 该命令操作过程期间内存分配请求失败。 在此情况下, ctsidmck 无法搜索 network_ID 的可能映射身份。
- 21
- 该命令不能在本地系统上定位任何标识映射定义文件。 在此情况下, ctsidmck 无法搜索 network_ID 的可能映射身份。 验证系统上至少存在一个标识映射定义文件。
- 22
- 该命令不能动态装入与请求的安全性机制相应的集群安全性库机制可插拔模块(MPM)。 模块可能缺少、毁坏或该模块使用的共享库之一缺少或被毁坏。 在此情况下, ctsidmck 无法搜索 network_ID 的可能映射身份。 该故障可能伴随描述输出,指出 MPM 故障的性质。 查阅该输出并执行任何建议的操作。
- 37
- 至少系统上的标识映射定义文件中有一个表现为被毁坏。 命令在这种情况下不能够为 network_ID 搜索可能的映射标识。 验证没有任何标识映射文件被毁坏、截短或包含语法错误。
- 38
- ctsidmck 命令无法为 network_ID 定位映射标识。 没有任何标识映射定义文件中的条目为指定的安全性网络标识产生了映射标识。
限制
该命令仅用于 MSS 格式的密钥文件。
标准输出
ctsidmck 命令将为安全网络标识找到的任何映射标识写入标准输出。 如果请求了中或高级的详细信息,任何该命令显示的定义也将被写入标准输出。
当指定 -h 标志时,此命令的用法语句将写入标准输出。
标准错误
有关任何检测到的故障情况的描述信息都写入标准错误。
示例
- 要在验证标识映射之前获得本地系统支持的安全性机制的列表,请输入:
ctsidmck -i - 要仅获取 基于 RSCT 主机的认证 (HBA) 机制 安全网络身份 zathras@greatmachine.epsilon3.org的映射身份,请输入:
ctsidmck -m unix zathras@greatmachine.epsilon3.org - 要查看命令在搜索 HBA 机制的安全网络标识 glorfindel@rivendell.elvin.net@endor的映射标识时检查的每个标识映射定义,请输入:
ctsidmck -d h -m unix glorfindel@rivendell.elvin.net@endor
位置
- /opt/rsct/bin/ctsidmck
- 包含 ctsidmck 命令
文件
- /opt/rsct/cfg/ctsec_map.global
- 缺省标识映射定义文件。 该文件包含 RSCT 集群可信服务请求的定义,以使这些系统能在安装软件之后立即正确地执行。 如果系统上存在集群范围的身份映射定义文件 /var/ct/cfg/ctsec_map.global ,那么将忽略此文件。 因此,任何位于该文件中的定义也应被包含在集群范围的标识映射定义文件中(如果该文件存在的话)。
- /var/ct/cfg/ctsec_map.local
- 集群范围的标识映射定义的本地覆盖。 不期望该文件中的定义在集群内的节点之间共享。
- /var/ct/cfg/ctsec_map.global
- 集群范围的标识映射定义。 该文件预期包含在集群内通用的标识映射定义。 如果该文件存在于系统上,缺省标识映射定义文件将被忽略。 因此,如果该文件存在,它也应包含任何也将在缺省标识映射定义文件中找到的条目。