ctsvhbac 命令
用途
验证本地系统上 RSCT 基于主机的认证 (HBA) 安全机制的配置。
语法
ctsvhbac [[-d | -h | -m | -s ] | [ -e msgnum[,msgnum...] [ -l { 1 | 2 | 3 | 4 } | -b ] [ -p pubkeyfile ] [ -q pvtkeyfile ] [ -t thlfile ]
描述
ctsvhbac 命令是基于 RSCT 主机的认证 (HBA) 安全性机制的验证实用程序。 使用 ctsvhbac 命令来验证本地系统是否具有可供 HBA 安全机制使用的配置和凭证文件及信息 (例如专用密钥和可信主机列表)。
此命令对 HBA 安全机制的配置执行以下系列测试:
- 验证 HBA 机制配置文件是否存在且是否能够被处理。
- 验证 HBA 专用密钥文件是否存在且是否能够被处理。
- 验证 HBA 公用密钥文件是否存在且是否能够被处理。
- 验证本地系统的公用和专用密钥是否成对,成对就意味着知道公用密钥是从专用密钥派生的。
- 验证 HBA 可信主机列表文件是否存在且是否能够被处理。
- 检查 HBA 可信主机列表的内容以了解所有主机名和网络地址是否受本地节点支持,方法是确定可信主机列表文件中是否存在它们的条目。 如果找到了主机名或网络地址,此命令将验证是否为该命令或地址列出了较早的测试中使用的相同公用密钥值。
命令用户可指定该命令中要使用的专用密钥文件、公用密钥文件和可信主机列表文件。 在缺省情况下,将从 HBA 安全机制的配置文件中抽取此信息。
标志
- -b
- 产生简要输出。 使用此选项时,该命令将仅显示测试的摘要输出和检测到的任何错误。 可通过不带此选项发出该命令确定任何错误的更多详细信息。 如果指定了 -l 选项,那么将忽略此选项。
- -d
- 显示成功执行此命令所需的探测列表。
- -e
- 指定此命令在执行过程中不显示的错误消息列表。 可能指定一个或多个消息号。 消息号的格式必须为 xxxx-yyy。 多条消息应以逗号(,)隔开,但不能有空格字符。
- -h
- 显示此命令的帮助消息。
- -l
- 允许“集群系统管理(CSM)探测基础结构”设置输出的详细信息级别。 接受的级别为:
- 1
- 详细方式。 显示命令目的摘要和所有测试的状态信息。
- 2
- 显示命令目的摘要和任何注意事项或任何测试中检测到的错误情况。
- 3
- 显示任何注意事项或任何测试中检测到的错误情况。
- 4
- 静默方式。 显示测试过程中检测到的错误。
- -m
- 显示此命令及其用途的详细描述。
- -p
- 指定此命令将使用的公用密钥文件的路径名。 如果未指定此选项,命令将使用当前为 HBA 安全机制配置的公用密钥文件。
- -q
- 指定此命令将使用的专用密钥文件的路径名。 如果未指定此选项,命令将使用当前为 HBA 安全机制配置的专用密钥文件。
- -s
- 显示此命令的目的摘要。
- -t
- 指定此命令将使用的可信主机列表文件的路径名。 如果未指定此选项,命令将使用当前为 HBA 安全机制配置的可信主机列表文件。
参数
无。
安全性
对 ctsvhbac 命令的许可权允许 bin 用户组的成员执行此命令。
退出状态
退出状态符合“CSM 探测基础结构”约定。
- 0
- 未检测到问题。 显示的消息不是信息性的,就是仅为不重要的警报。 无需管理干预。
- 10
- 未检测到问题,但发现某些项应该引起管理员的注意。 此本地系统支持的 IP 地址或主机名在可信主机列表中未列出,或列出时公用密钥值不正确时,最可能发生这种退出状态。 对于此退出状态,系统管理员应检查输出以确定检测到了哪些情况,以及这些情况是否需要更正操作。要更正报告的频率最高的情况:
- 确保已正确忽略了可信主机列表中没有的任何 IP 地址或主机名。 如果未正确忽略,那么更新本地系统上的可信主机列表。
- 修复使用不正确的公用密钥的本地 IP 地址和主机名的任何条目。
- 20
- 检测到一个或多个问题。 以下情况下将会发生此退出状态:
- HBA 安全机制配置不正确。
- 公用密钥和专用密钥可能不成对。
- 可信主机列表不包含本地系统支持的 IP 地址或主机名值。
除非更正了这些情况,否则使用 HBA 机制的认证请求在该系统上可能会失败。 对于此退出状态,系统管理员必须检查命令输出以验证和解决报告的问题。 要更正报告的问题,请遵循命令输出中列出的问题解决建议。
- 127
- 此命令中遇到意外故障。 对于此退出状态,管理员应验证本地系统上是否至少有一个网络接口已配置且活动。
限制
- 集群安全服务仅支持其自身的主机标识格式和可信主机列表文件格式。
- 可信主机列表仅可以使用该命令进行修改。
- 集群安全服务不提供自动实用程序用于在集群内创建、管理和维护可信主机列表。 这是系统管理员或集群管理软件的过程。
标准输出
当指定 -h 标志时,此命令的用法语句将写入标准输出。 当指定 -l 标志时,可信主机列表文件的内容将写入标准输出。
标准错误
有关任何检测到的故障情况的描述信息都写入标准错误。
示例
要验证 HBA 安全机制,请输入:
ctsvhbac------------------------------------------------------------------------
Host Based Authentication Mechanism Verification Check
Private and Public Key Verifications
Configuration file: /opt/rsct/cfg/ctcasd.cfg
Status: Available
Key Type: rsa512
RSA key generation method, 512-bit key
Private Key file: /var/ct/cfg/ct_has.qkf
Source: Configuration file
Status: Available
Key Type: rsa512
RSA key generation method, 512-bit key
Public Key file: /var/ct/cfg/ct_has.pkf
Source: Configuration file
Status: Available
Key Type: rsa512
RSA key generation method, 512-bit key
Key Parity: Public and private keys are in pair
Trusted Host List File Verifications
Trusted Host List file: /var/ct/cfg/ct_has.thl
Source: Configuration file
Status: Available
Identity: avenger.pok.ibm.com
Status: Trusted host
Identity: 9.117.10.4
Status: Trusted host
Identity: localhost
Status: Trusted host
Identity: 127.0.0.1
Status: Trusted host
Host Based Authentication Mechanism Verification Check completed位置
- /opt/rsct/bin/ctsvhbac
- 包含 ctsvhbac 命令
文件
- /opt/rsct/cfg/ctsec_map.global
- 缺省标识映射定义文件。 该文件包含 RSCT 集群可信服务请求的定义,以使这些系统能在安装软件之后立即正确地执行。 如果系统上存在集群范围的身份映射定义文件 /var/ct/cfg/ctsec_map.global ,那么将忽略此文件。 因此,任何位于该文件中的定义也应被包含在集群范围的标识映射定义文件中(如果该文件存在的话)。
- /var/ct/cfg/ctsec_map.local
- 集群范围的标识映射定义的本地覆盖。 不期望该文件中的定义在集群内的节点之间共享。
- /var/ct/cfg/ctsec_map.global
- 集群范围的标识映射定义。 该文件预期包含在集群内通用的标识映射定义。 如果该文件存在于系统上,缺省标识映射定义文件将被忽略。 因此,如果该文件存在,它也应包含任何也将在缺省标识映射定义文件中找到的条目。