ct_has.qkf 文件
用途
本地节点的集群安全服务专用密钥文件的缺省位置。
描述
/var/ct/cfg/ct_has.qkf 文件是 ctcasd 守护程序期望查找本地节点的专用密钥文件的缺省位置。 专用密钥以专有二进制格式存储。
ctcasd.cfg 文件允许系统管理员指定此文件的备用位置。 ctskeygen -q 命令允许管理员在备用位置创建此文件。 如果使用了备用位置,那么该文件必须满足此联机信息页的 安全性 部分中列出的所有条件。 不得将该文件记录到只读文件系统中,因为这将禁止系统管理员将来修改此文件的内容
如果 ctcasd 守护程序在其启动期间找不到此文件,那么它将检查是否存在 ct_has.pkf 文件。 如果两个文件都缺失,那么该守护程序将假定它是在安装后首次启动,并为节点创建初始专用密钥文件和公用密钥文件。 该演示还会为此节点创建初始可信主机列表文件。 此文件包含 localhost 的条目以及与演示可检测的所有 AF_INET 配置的适配器相关联的主机名 (或 IP 地址) 。 如果在重新启动守护程序之前意外地或有意地从本地系统中除去了公用密钥文件和专用密钥文件,那么这可能会导致无意中认证失败。 ctcasd 将为节点创建新密钥,这将与存储在其他集群节点上的密钥不匹配。 如果 UNIX-identity-based authentication 在系统重新启动后突然失败,那么这是失败的可能原因。
如果缺少专用密钥文件,但检测到公用密钥文件,那么 deemon 将得出本地节点未正确配置并终止的结论。 记录到持久存储器以指示故障的来源。
安全性
此文件可读且仅可供 root 用户访问。 未提供对所有其他用户的访问权。
缺省情况下,此文件存储在本地安装的文件系统中。 ctcasd.cfg 文件允许系统管理员更改文件的位置。 如果系统管理员使用其他位置,那么管理员负责确保该文件始终可供本地节点访问,并且只有来自此本地节点的 root 用户才能访问该文件。 如果存储位置不满足这些条件,那么应将节点和集群的安全性视为受损。
限制
集群安全服务仅支持其自己的专用和公用密钥格式和文件格式。 安全远程 Shell 格式当前不受支持。 将忽略 HBA_USING_SSH_KEYS 属性的设置。
示例
TRACE= ON
TRACEFILE= /var/ct/IW/log/ctsec/ctcasd/trace
TRACELEVELS= _SEC:Info=1,_SEC:Errors=1
TRACESIZE= 1003520
RQUEUESIZE=
MAXTHREADS=
MINTHREADS=
THREADSTACK= 131072
HBA_USING_SSH_KEYS= false
HBA_PRVKEYFILE=
HBA_PUBKEYFILE=
HBA_THLFILE=
HBA_KEYGEN_METHOD= rsa512
SERVICES=hba CASTRACE= ON
TRACEFILE= /var/ct/IW/log/ctsec/ctcasd/trace
TRACELEVELS= _SEC:Perf=1,_SEC:Errors=8
TRACESIZE= 1003520
RQUEUESIZE= 64
MAXTHREADS= 10
MINTHREADS= 4
THREADSTACK= 131072
HBA_USING_SSH_KEYS= false
HBA_PVTKEYFILE= /var/ct/cfg/qkey
HBA_PUBKEYFILE= /var/ct/cfg/pkey
HBA_THLFILE= /var/ct/cfg/thl
HBA_KEYGEN_METHOD= rsa512
SERVICES= hba CAS位置
- /opt/rsct/bin/ct_has.qkf
- ct_has.qkf 文件的位置。
文件
- /opt/rsct/cfg/ctcasd.cfg
- ctcasd.cfg 文件的缺省位置