ctsvhbar 命令

在线编辑

用途

返回 RSCT 基于主机的认证 (HBA) 安全机制在本地节点上,用于验证来自指定主机的凭证的主机名。

语法

ctsvhbar [[ -d | -h | -m | -s ] | [ -e msgnum[,msgnum...]] [ -l { 1 | 2 | 3 | 4 } | -b ] {hostname | address} [hostname... | address...]

描述

ctsvhbar 命令是基于 RSCT 主机的认证 (HBA) 安全性机制的验证实用程序。 请在需要确定 HBA 安全机制使用哪一个主机名来验证来自远程系统的凭证时使用此命令。

根据应用程序所选择的方法,HBA 安全机制可能使用主机名或者网络地址值作为凭证中标识信息的一部分。 如果本地系统要为来自远程系统的请求提供服务,那么该远程系统至少要有一个网络地址和主机名出现在本地系统上的受信主机列表中。 要验证该远程系统能够成功地认证本地系统,系统管理员将使用 RSCT 集群安全命令的组合:
  1. 在本地系统和远程系统上,发出 ctsvhbac 命令以验证每个系统都具有有效的 HBA 安全机制配置。
  2. 在本地系统上,发出 ctsvhbal 命令以确定 HBA 安全机制将用于向远程系统标识此主机的值。
  3. 在远程系统上,发出 ctsvhbar 命令并指定本地系统主机名或 IP 地址,以确定远程系统将用于验证从本地系统传输的 HBA 凭证的值。
  4. 比较 ctsvhbalctsvhbar 命令输出以确定两个系统是否使用同一方案进行主机名解析。 如果输出中未显示完全匹配的主机名,请修复主机名解析方案,并重复上述步骤,直到这两个命令都生成完全匹配。
完成这些步骤验证了在单个方向上的认证成功;换句话说,该过程仅仅验证了远程系统能够认证来自本地系统的请求。 因为 RSCT 子系统经常使用相互认证,因此系统管理员也应该验证本地系统能够成功地认证远程系统。 要完成该验证,需要执行以下附加步骤:
  • 在远程系统上,发出 ctsvhbal 命令以确定 HBA 安全机制将用于向本地系统标识该主机的值。
  • 在本地系统上,发出 ctsvhbar 命令并指定远程系统主机名或 IP 地址,以确定本地系统将用于验证从远程系统传输的 HBA 凭证的值。
  • 比较 ctsvhbalctsvhbar 命令输出以确定两个系统是否使用同一方案进行主机名解析。 如果输出中未显示完全匹配的主机名,请修复主机名解析方案,并重复上述步骤,直到这两个命令都生成完全匹配。
完成这些附加步骤即验证了当流量在相反方向(从远程系统到本地系统)中流动时认证成功。

更多详细指示信息和实例,请参阅 RSCT Administration Guide 中的 cluster security topics。

标志

-b
产生简要输出。 使用此选项时,该命令将命令用户提供的主机标识,从这些标识获取的完整格式的主机标识及任何错误。 如果指定了 -l 选项,那么将忽略此选项。
-d
显示成功执行此命令所需的探测列表。
-e
指定此命令在执行过程中不显示的错误消息列表。 可能指定一个或多个消息号。 消息号的格式必须为 xxxx-yyy。 多条消息应以逗号(,)隔开,但不能有空格字符。
-h
显示此命令的帮助消息。
-l
允许“集群系统管理(CSM)探测基础结构”设置输出的详细信息级别。 接受的级别为:
1
详细方式。 显示命令目的摘要和所有测试的状态信息。
2
显示命令目的摘要和任何注意事项或任何测试中检测到的错误情况。
3
显示任何注意事项或任何测试中检测到的错误情况。
4
静默方式。 显示测试过程中检测到的错误。
-m
显示此命令及其用途的详细描述。
-s
显示此命令的目的摘要。

参数

主机名
远程系统的主机名。
地址
远程系统的网络地址。

安全性

ctsvhbar 命令的许可权允许 bin 用户组的成员执行此命令。

退出状态

退出状态符合“CSM 探测基础结构”约定。
0
未检测到问题。 显示的任何消息都是信息性的。 无需管理干预。
10
未检测到问题。 此命令无法解析命令用户提供的主机名或 IP 地址。 命令用户应验证使用的主机名或 IP 地址是否正确。 如果使用的名称或地址正确,系统管理员应验证本地系统使用的主机名解析方案是否允许解析此名称或地址。
127
此命令中遇到意外故障。

限制

  • 集群安全服务仅支持其自身的主机标识格式和可信主机列表文件格式。
  • 可信主机列表仅可以使用该命令进行修改。
  • 集群安全服务不提供自动实用程序用于在集群内创建、管理和维护可信主机列表。 这是系统管理员或集群管理软件的过程。

标准输出

当指定 -h 标志时,此命令的用法语句将写入标准输出。 当指定 -l 标志时,可信主机列表文件的内容将写入标准输出。

标准错误

有关任何检测到的故障情况的描述信息都写入标准错误。

示例

要返回 HBA 安全机制将在本地节点上使用的主机名,以验证主机名 zathras所标识的主机中的凭证,请输入:
ctsvhbar zathras
输出将与以下内容相似:
Host name or network address: zathras
Fully qualified host name
     used for authentication: zathras.ibm.com
要返回 HBA 安全机制将在本地节点上使用的主机名,以验证由网络地址 9.127.100.101标识的主机中的凭证,请输入:
ctsvhbar 9.127.100.101
输出将与以下内容相似:
Host name or network address: 9.127.100.101
Fully qualified host name
     used for authentication: epsilon3.pok.ibm.com
要返回 HBA 安全机制将在本地节点上使用的主机名,以验证主机名 zathras所标识的主机和网络地址 9.127.100.101所标识的主机的凭证,请输入:
ctsvhbar zathras 9.127.100.101
输出将与以下内容相似:
Host name or network address: zathras
Fully qualified host name
     used for authentication: zathras.ibm.com
Host name or network address: 9.127.100.101
Fully qualified host name
     used for authentication: epsilon3.ibm.com

位置

/opt/rsct/bin/ctsvhbar
包含 ctsvhbar 命令

文件

/opt/rsct/cfg/ctcasd.cfg
ctcasd 守护程序的缺省配置
/var/ct/cfg/ctcasd.cfg
ctcasd 守护程序的配置,可由系统管理员修改