ctsidmck コマンド

目的

クラスター・セキュリティー・ライブラリー ID のマッピングを検査します。

構文

ctsidmck -h | -i | { [ -dl | -dm | -dh ] -m security_mechanism network_ID }

説明

ctsidmck コマンドを使用すると、システム管理者は、ある特定のセキュリティー・ネットワーク ID のマッピング (クラスター・セキュリティー・ライブラリー (libct_sec) によって取得される) を検査できます。

クラスター・セキュリティー・ライブラリーは、交換を通じてトラステッド・サービスのクライアントとトラステッド・サービス・サーバー間のセキュリティー・コンテキストを設定します。 セキュリティー・コンテキストの作成時に、クラスター・セキュリティー・ライブラリーはクライアント・アプリケーションのセキュリティー・ネットワーク ID をサーバー・ノードに存在する可能性のある ID (マップされた ID と呼ばれます) にマップしようとします。 クラスター・セキュリティー・ライブラリーは、このマップされた ID を後でサーバー上でのアクセス制御検査などの許可機能で使用します。 クライアント・アプリケーションがサーバー上にマップされた ID を持つかどうかは、以下の ID マッピング定義ファイルがサーバー上に存在するかどうか、およびこれらのファイル内のいずれかのエントリーがそのクライアント・アプリケーションによって使用されているセキュリティー ID と対応しているかどうかによって決まります。
  • /opt/rsct/cfg/ctsec_map.global
  • /var/ct/cfg/ctsec_map.local
  • /var/ct/cfg/ctsec_map.global

これらのファイル内における定義の位置が重要です。なぜなら、ファイルの先頭にあるエントリーはファイルの終わり近くに位置するエントリーより先に処理されるからです。 また、定義ルールはエントリー情報に対するワイルドカードの使用および特定の予約語の拡張も許容します。 これらのファイルのいずれかに間違った指定の定義があると、マッピング結果が意図したものとは異なってしまう可能性があります。 また、ある定義があるセキュリティー・ネットワーク ID を正常にマップできる別の定義より後ろの位置にある場合も、マッピング結果が意図したものとは異なってしまう可能性があります。

このコマンドを使用すると、クラスター・セキュリティー・ライブラリーがセキュリティー・ネットワーク ID のマッピングに正しい ID マッピング定義を使用しているかどうかを管理者が検査できます。このコマンドは、サーバーとして機能するシステムで実行してください。 サーバー上でこのコマンドにセキュリティー・ネットワーク ID を指定すると、管理者は、そのシステムではそのセキュリティー・ネットワーク ID がどのような ID にマップされているか、およびこのマッピングが ID マッピング定義ファイルのどのエントリーを使用して行われたのかを判別できます。

フラグ

-h
コマンドの使用状況ステートメントを標準出力に書き込みます。
-i
このシステムでサポートされているセキュリティー機構のリストを表示します。 このコマンドは、このノードのクラスター・セキュリティー・ライブラリー構成を検査し、サポートされているセキュリティー機構のリストを取得して、このリストを表示します。 メカニズムは、クラスター・セキュリティー・ライブラリーがそれらの機構を参照する際に使用するニーモニックでリストされます。
-d
コマンド出力の詳細度のレベルを指定します。 許可されるのは、次の 3 つの詳細レベルのいずれかです。
  1. 低 (l): network_ID のマップされた ID のみが表示されます。 これがデフォルトの詳細レベルです。
  2. 中 (m): network_ID のマップされた ID、およびそのマップの元となった ID マッピング定義ファイルのエントリーが表示されます。
  3. 高 (h): ID マッピング定義ファイル内のエントリーのうち、network_ID のマップされた ID が検出されるまで、またはすべてのエントリーが処理されるまでの間に処理されたすべてのエントリーを表示します。
-m security_mechanism
network_ID によって指定されるセキュリティー・ネットワーク ID を作成するのに使用されたセキュリティー機構を指定します。 security_mechanism は、クラスター・セキュリティー・ライブラリーがこのセキュリティー機構を参照する際に使用するニーモニックです。 このフラグは、-h および -i フラグが指定されていない場合には必ず指定しなければなりません。

このシステムがサポートしているセキュリティー機構のリストを表示するには、-i フラグを使用します。

パラメーター

network_ID
マップするセキュリティー・ネットワーク ID を指定します。 これは、トラステッド・サービスのクライアント・アプリケーションが想定できる ID でなければなりません。

セキュリティー

このコマンドを実行できるのは、root システム・ユーザーとシステム・ユーザー・グループのメンバーだけです。 これは、システムのセキュリティー構成を検査するために管理者だけが使用するためのものです。 このコマンドの出力はシステム・セキュリティーを妨害または回避する方法を判別する手段として使用できるので、このコマンドに関する許可条件は変更すべきではありません。

終了状況

0
このコマンドは network_ID のマップされた ID を正常に検出しました。
3
このコマンドは、要求されたセキュリティー機構に対応するクラスター・セキュリティー・ライブラリー・メカニズム・プラグ可能モジュール (MPM) の操作で発生した障害を検出しました。 そのため、ctsidmcknetwork_ID の可能なマップされた ID を検索できませんでした。 この障害に伴って、その MPM 障害の種類を示す説明的な出力が生成される場合があります。 この出力を調べて、なんらかの望ましい処置を実行してください。
4
呼び出し元がこのコマンドを正しくない方法で起動しました。必須フラグおよびパラメーターが省略されているか、または相互に排他的なフラグが同時に使用されています。 ctsidmck は、network_ID 用にマップされた ID の検索を試行せずに終了しました。
6
このコマンドの操作中にメモリー割り当て要求が失敗しました。 そのため、ctsidmcknetwork_ID の可能なマップされた ID を検索できませんでした。
21
このコマンドは、ローカル・システムで ID マッピング定義ファイルを 1 つも見つけられませんでした。 そのため、ctsidmcknetwork_ID の可能なマップされた ID を検索できませんでした。 そのシステムに ID マッピング定義ファイルが少なくとも 1 つは存在するかどうかを検査してください。
22
このコマンドは、要求されたセキュリティー機構に対応するクラスター・セキュリティー・ライブラリー・メカニズム・プラグ可能モジュール (MPM) を動的にロードできませんでした。 このモジュールが存在しないか破壊されたか、このモジュールによって使用される共用ライブラリーのいずれかが存在しないか破壊された可能性があります。 そのため、ctsidmcknetwork_ID の可能なマップされた ID を検索できませんでした。 この障害に伴って、その MPM 障害の種類を示す説明的な出力が生成される場合があります。 この出力を調べて、なんらかの望ましい処置を実行してください。
37
システム上の ID マッピング定義ファイルの少なくとも 1 つが破壊されていることが明らかになりました。 そのため、このコマンドは network_ID の可能なマップされた ID を検索できませんでした。 破壊されたり切り捨てられたりした ID マッピング・ファイル、または構文エラーを含んでいる ID マッピング・ファイルが 1 つもないかどうかを検査してください。
38
ctsidmck コマンドは network_ID のマップされた ID を見つけられませんでした。 指定されたセキュリティー・ネットワーク ID 用のマップされた ID は、どの ID マッピング定義ファイルのどのエントリーからも生成されていません。

制約事項

このコマンドは、MSS フォーマットのキー・ファイルに対してのみ機能します。

標準出力

ctsidmck コマンドは、セキュリティー・ネットワーク ID のマップされた ID を見つけた限りすべて標準出力に書き込みます。 中または高の詳細レベルが要求された場合は、このコマンドによって表示される定義もすべて標準出力に書き込まれます。

-h フラグが指定されている場合は、このコマンドの使用状況ステートメントが標準出力に書き込まれます。

標準エラー

あらゆる検出済み障害条件に関する記述情報が標準エラーに書き込まれます。

  1. ID マップの検査に先立って、ローカル・システムがサポートしているセキュリティー機構のリストを取得するには、次のように入力します。 
    ctsidmck -i
  2. RSCT ホスト・ベース認証 (HBA) メカニズムのセキュリティー・ネットワーク ID zathras@greatmachine.epsilon3.org のマップされた ID だけを取得するには、次のように入力します。
    ctsidmck -m unix zathras@greatmachine.epsilon3.org
  3. HBA メカニズムのセキュリティー・ネットワーク ID glorfindel@rivendell.elvin.net@endor 用にマップされた ID を検索中にコマンドが検査したすべての ID マッピング定義を表示するには、次のように入力します。
    ctsidmck -d h -m unix glorfindel@rivendell.elvin.net@endor

場所

/opt/rsct/bin/ctsidmck
ctsidmck コマンドが入っています。

ファイル

/opt/rsct/cfg/ctsec_map.global
デフォルトの ID マッピング定義ファイルです。このファイルには、RSCT クラスター・トラステッド・サービスが必要とする定義が含まれています。それらの定義は、これらのシステムがソフトウェアのインストール後すぐに適切に実行されるために必要なものです。 このファイルは、システム上にクラスター全体の ID マッピング定義ファイル /var/ct/cfg/ctsec_map.global が存在する場合には無視されます。したがって、クラスター全体の ID マッピング定義ファイルが存在する場合、その定義ファイルにはこのファイル内の定義もすべて含まれている必要があります。
/var/ct/cfg/ctsec_map.local
クラスター全体の ID マッピング定義に対するローカル・オーバーライドです。 このファイル内の定義をクラスター内のノード間で共有することは期待されません。
/var/ct/cfg/ctsec_map.global
クラスター全体の ID マッピング定義です。このファイルにはクラスター全体を通じて共通の ID マッピング定義が含まれていることが期待されます。このファイルがシステムに存在する場合、デフォルトの ID マッピング定義ファイルは無視されます。したがって、このファイルが存在する場合は、デフォルトの ID マッピング定義ファイル内でも検出される可能性のあるすべてのエントリーがこのファイルにも含まれている必要があります。