unix.map 文件
用途
定义通过基于 UNIX 主机的认证 (HBA) 安全性机制用于节点上的服务提供者应用程序的操作系统标识。
描述
使用集群安全服务库的应用程序必须从该库所支持的安全机制获取身份。 这些身份特定于集群安全服务所支持的各个安全机制。 由于集群安全服务支持多个安全机制和多个应用程序,因此在代表集群安全服务库与特定安全机制进行交互时,必须通知集群安全服务库要用于应用程序的身份。
集群安全服务库所使用的缺省安全性机制是 HBA 机制。 unix.map 文件定义核心集群应用程序在与 HBA 机制交互时使用的身份。 集群安全服务库期望在 /var/ct/cfg/unix.map (首选) 或 /opt/rsct/cfg/unix.map (缺省值) 中找到此文件。
此文件是 ASCII 文本格式的,并且可以使用标准文本编辑器进行修改。 但是,不应修改此文件,除非集群软件服务提供程序指示管理员执行此操作。 如果要修改此配置文件,那么不应直接修改缺省 /opt/rsct/cfg/unix.map 文件。 而是应该将该文件复制到 /var/ct/cfg/unix.map,并对此副本进行修改。 永远不应该修改缺省配置文件。
此文件中的所有条目都使用以下格式:
SERVICE:service_name:user_name_running_the_service- 属性
- definition
- 服务
- 必需关键字
- 服务名称
- 指定通常用来指代应用程序的名称。 例如,该名称可能是系统资源控制器用来引用此应用程序的名称。
- 运行服务的用户名
- 指定用于执行该应用程序进程的操作系统用户身份。 它是在 ps 命令输出中显示的应用程序进程的所有者身份。
安全性
- 所有系统用户都可以读取缺省身份映射定义文件 /opt/rsct/cfg/ctsec_map.global ,但许可权会阻止任何系统用户修改此文件。
- 创建覆盖身份映射定义文件 /var/ct/cfg/ctsec_map.global 和 /var/ct/cfg/ctsec_map.local时,请确保这些文件可以由任何系统用户读取,但只能由 root 用户或未授予普通系统用户的其他限制性用户身份进行修改。
- 缺省情况下,这些文件位于本地安装的文件系统中。 虽然可以在联网文件系统上安装 /var/ct/cfg 目录,但建议不要使用此做法。 如果 /var/ct/cfg/ctsec_map.local 文件驻留在联网文件系统中,那么有权访问该联网目录的任何节点都将假定这些定义仅在实际共享时特定于该节点。
限制
除非集群软件服务提供程序指示管理员执行此操作,否则不应修改此文件。 对此文件进行不正确的修改将导致此文件中列出的应用程序以及可能是它们的客户机应用程序的认证失败。 如果要修改此配置文件,那么不应直接修改缺省 /opt/rsct/cfg/unix.map 文件。 而是应该将该文件复制到 /var/ct/cfg/unix.map,并对此副本进行修改。 永远不应该修改缺省配置文件。
示例
此示例显示该配置文件的缺省内容:
SERVICE:ctrmc:root
SERVICE:rmc:root
SERVICE:ctloadl:loadl
SERVICE:ctdpcl:root
SERVICE:ctpmd:root位置
- /var/ct/cfg/unix.map
- 包含 unix.map 文件
文件
- /opt/rsct/cfg/unix.map
- unix.map 文件的缺省位置