ctcasd デーモン

目的

クラスター・セキュリティー・サービス用に、 RSCT ホスト・ベース認証 (HBA) および拡張ホスト・ベース認証 (HBA2) セキュリティー機構のクリデンシャルを提供および認証します。

構文

ctcasd [-b]

説明

ctcasd デーモンは、クラスター環境内で RSCT HBA セキュリティー機構が構成されてアクティブになっている場合に、クラスター・セキュリティー・サービス・ライブラリーによって使用されます。 クラスター・セキュリティー・サービスは、サービス・リクエスターとサービス・プロバイダーがネットワーク接続を介して保護された実行環境を作成しようとするときに、ctcasd を使用します。 サービス・リクエスターとサービス・プロバイダーが、 UNIX ドメイン・ソケットのようなローカル・オペレーティング・システム接続を使用して、機密保護機能のある実行環境を確立する場合には、 ctcasd は使用されません。

サービス・リクエスターとサービス・プロバイダーがクラスター・セキュリティー・サービスを介して HBA 認証を使用することで合意した場合、クラスター・セキュリティー・サービス・ライブラリーは HBA クリデンシャルの取得と認証に ctcasd を使用します。 クラスター・セキュリティー・サービスは、ユーザー・アプリケーションがこのデーモンを直接起動できるようなインターフェースは提供していません。

ctcasd デーモンの始動または停止は、システム・リソース・コントローラー (SRC) コマンドを使用して行えます。

始動時に、このデーモンは稼働パラメーターを ctcasd.cfg 構成ファイルから取得します。 このデーモンは、このファイルが /var/ct/cfg/ ディレクトリーで見つかることを予期しています。 システム管理者は、このファイル内の稼働パラメーターをニーズに合うように変更できます。 このファイルが見つからない場合、デーモンは /opt/rsct/cfg/ctcasd.cfg に保管されているデフォルト構成を使用します。

RSCT HBA および HBA2 クリデンシャルは、ローカル・ノードの秘密鍵および公開鍵から導き出されます。これらの鍵は、ctcasd.cfg で構成されているファイル内に配置されています。 これらのクリデンシャルは、受信側のノードの公開鍵を使用して暗号化されます。 クラスター内のノードの公開鍵は、各ノード上のトラステッド・ホスト・リスト・ファイルに保管されています。 このファイルの場所も、ctcasd.cfg 構成ファイル内で定義されています。 システム管理者には、このトラステッド・ホスト・リストを作成して保守する責任と、クラスター全体を通じてリストを同期化する責任があります。

このデーモンがそのノードの公開鍵ファイルと秘密鍵ファイルが両方とも存在しないことを検出した場合、ctcasd は、はじめて始動されたと想定し、それらのファイルを作成します。 このデーモンは、このノード用の初期トラステッド・ホスト・リスト・ファイルも作成します。このファイルは、localhost 用のエントリーと、このデーモンが検出できるすべての AF_INET 構成されたアクティブなアダプターに関連付けられているホスト名および IP アドレスを含んでいます。不注意からまたは故意に公開鍵ファイルおよび秘密鍵ファイルがデーモンの再始動より前にそのローカル・システムから除去された場合は、不慮の認証障害が引き起こされる可能性があります。 ctcasd は、そのノード用として、その他のクラスター・ノードに保管されている鍵とは一致しない鍵を新規作成します。 システム再起動時に HBA 認証が突然失敗した場合は、これがその障害の原因である可能性があります。

デーモンがシャットダウンされるような重大な障害をデーモンが検出すると、その障害は永続記憶装置に記録されます。 AIX® ベースのクラスターでは、レコードは AIX エラー・ログとシステム・ログに作成されます。Linux ベースのクラスターでは、レコードはシステム・ログに作成されます。

フラグ

-b

デーモンをブートストラップ・モードで始動します。 デーモンは、フォアグラウンド・プロセスとして実行され、システム・リソース・コントローラー (SRC) による制御は受けません。

制約事項

• ctcasd デーモンは、HBA ID クリデンシャルを暗号化しません。
• クラスター・セキュリティー・サービスは、それぞれ独自のファイル・フォーマット、秘密鍵フォーマット、および公開鍵フォーマットしかサポートしません。 クラスター・セキュリティー・サービスは、保護されたリモート・シェル・フォーマットをサポートしていません。

実装上の固有な条件

このデーモンは、Reliable Scalable Cluster Technology (RSCT) クラスター・セキュリティー・サービスの一部です。 これは、rsct.core.sec AIX ファイルセットの一部として付属しています。

場所

/opt/rsct/bin/ctcasd

ctcasd デーモンが含まれています。

ファイル

/opt/rsct/cfg/ctcasd.cfg

ctcasd デーモン用のデフォルトの構成

/var/ct/cfg/ctcasd.cfg

システム管理者が変更可能な ctcasd デーモン用の構成

/var/ct/cfg/ct_has.pkf

ノード用のクラスター・セキュリティー・サービス公開鍵ファイルのデフォルトの場所

/var/ct/cfg/ct_has.qkf

ノード用のクラスター・セキュリティー・サービス秘密鍵ファイルのデフォルトの場所

/var/ct/cfg/ct_has.thl

ノード用のクラスター・セキュリティー・サービス・トラステッド・ホスト・リストのデフォルトの場所