ctsvhbac コマンド

目的

ローカル・システム上の RSCT ホスト・ベース認証 (HBA) セキュリティー機構の構成を検査します。

構文

ctsvhbac [ [-d | -h | -m | -s ] | [ -e msgnum[,msgnum...] ] [ -l { 1 | 2 | 3 | 4 } | -b ] [ -p pubkeyfile ] [ -q pvtkeyfile ] [ -t thlfile ] ]

説明

ctsvhbac コマンドは、RSCT ホスト・ベース認証 (HBA) セキュリティー機構の検査ユーティリティーです。ctsvhbac コマンドは、ローカル・システムの構成ファイルとクリデンシャル・ファイル、および秘密鍵やトラステッド・ホスト・リストなどの情報が、 HBA セキュリティー機構から使用できるようになっているかどうかを検査するために使用します。

このコマンドは、HBA セキュリティー機構の構成に対して、以下の一連のテストを実行します。

HBA 機構の構成ファイルが使用可能であること、および処理可能であることを検査します。
HBA 秘密鍵ファイルが存在していること、および処理可能であることを検査します。
HBA 公開鍵ファイルが存在していること、および処理可能であることを検査します。
ローカル・システムの秘密鍵と公開鍵が対になっていること、つまり、公開鍵が秘密鍵から導き出されたものと認識されていることを検査します。
HBA トラステッド・ホスト・ファイルが存在していること、および処理可能であることを検査します。
HBA トラステッド・ホスト・リストの内容を検査して、ローカル・ノードでサポートされるすべてのホスト名およびネットワーク・アドレスがあるかどうか確認し、トラステッド・ホスト・リスト・ファイルにそれらのエントリーが存在するかどうかを判別します。ホスト名またはネットワーク・アドレスが検出されると、このコマンドは、既に実行されたテストで使用されたのと同じ公開鍵値が名前またはアドレス用にリストされていることを検査します。

コマンド・ユーザーは、コマンドで使用する秘密鍵ファイル、公開鍵ファイル、およびトラステッド・ホスト・リスト・ファイルを指定することもできます。デフォルトでは、この情報は、HBA セキュリティー機構の構成ファイルから抽出されます。

フラグ

-b

要約出力を生成します。このオプションを使用すると、コマンドはテストの要約出力と検出されたエラーのみを表示します。このオプションを指定しないでこのコマンドを再発行することにより、エラーの詳細を判別できます。 -l オプションを指定すると、このオプションは無視されます。

-d

このコマンドを正常に実行するために必要なプローブのリストを表示します。

-e

コマンドの実行中に表示しないエラー・メッセージのリストを指定します。 1 つ以上のメッセージを指定できます。メッセージ番号のフォーマットは、xxxx-yyy です。複数のメッセージは、空白文字を入れずにコンマ (,) で区切ります。

-h

このコマンドのヘルプ・メッセージを表示します。

-l

クラスター・システム・マネージメント (CSM) プローブ・インフラストラクチャーで、出力の詳細レベルを設定できるようにします。使用できるレベルは、次のとおりです。

1: 詳細モード。コマンド目的の要約と、すべてのテストの状況情報を表示します。
2: コマンド目的の要約と、テストで検出されたアテンションまたはエラー条件を表示します。
3: テストで検出されたアテンションまたはエラー条件を表示します。
4: サイレント・モード。テスト中に検出されたエラーを表示します。

-m

コマンドとその目的の詳細記述を表示します。

-p

コマンドで使用する公開鍵ファイルのパス名を指定します。このオプションを指定しない場合は、現在 HBA セキュリティー機構用に構成されている公開鍵ファイルが使用されます。

-q

コマンドで使用する秘密鍵ファイルのパス名を指定します。このオプションを指定しない場合は、現在 HBA セキュリティー機構用に構成されている秘密鍵ファイルが使用されます。

-s

コマンドの目的の要約を表示します。

-t

コマンドで使用するトラステッド・ホスト・リスト・ファイルのパス名を指定します。このオプションを指定しない場合は、現在 HBA セキュリティー機構用に構成されているトラステッド・ホスト・リスト・ファイルが使用されます。

パラメーター

なし。

セキュリティー

ctsvhbac コマンドの許可条件では、 bin ユーザー・グループのメンバーがこのコマンドの実行を許可されます。

終了状況

終了状況は、CSM プローブ・インフラストラクチャーのルールに準拠しています。

0

問題が検出されませんでした。表示されるメッセージは、通知メッセージであるか、マイナー・アラートを示しています。管理操作は不要です。

10

問題は検出されませんでしたが、管理者が注意を払うべき項目が一部検出されました。この終了状況が最も発生しやすいのは、ローカル・システムでサポートされる IP アドレスまたはホスト名が、トラステッド・ホスト・リストにリストされていない場合や、間違った公開鍵値でリストされている場合です。この終了状況の場合は、システム管理者は出力を調べて、どの条件が検出されたか、また修正アクションが必要かどうかを判別する必要があります。

最も一般的に報告される条件を訂正するには、次のようにします。

トラステッド・ホスト・リスト内の IP アドレスまたはホスト名が、意図的に省略されていないことを確認します。省略されていない場合は、ローカル・システム上のトラステッド・ホスト・リストを更新します。
間違った公開鍵を使用しているローカル IP アドレスおよびホスト名のエントリーを修復します。

20

1 つ以上の問題が検出されました。この終了状況は、以下の条件で発生します。

HBA セキュリティー機構の構成が間違っている。
公開鍵と秘密鍵が対になっていない。
ローカル・システムでサポートされる IP アドレスまたはホスト名値が、トラステッド・ホスト・リストに含まれていない。

これらの条件を訂正しない限り、HBA 機構を使用する認証要求は、このシステムではおそらく成功しません。この終了状況の場合は、システム管理者はコマンド出力を調べ、報告された問題を識別して解決する必要があります。報告された問題を訂正するには、コマンド出力にリストされている問題解決アドバイスに従います。

127

このコマンドで予期しない障害が発生しました。この終了状況の場合は、管理者は、このシステムで少なくとも 1 つのネットワーク・インターフェースが構成され、アクティブになっていることを検査する必要があります。

制約事項

クラスター・セキュリティー・サービスがサポートするのは、独自のホスト ID フォーマットおよびトラステッド・ホスト・リスト・ファイル・フォーマットだけです。
トラステッド・ホスト・リストを変更できるのは、このコマンドを使用する場合だけです。
クラスター・セキュリティー・サービスには、クラスター全体を通じてトラステッド・ホスト・リストを作成、管理、および保守するための自動化されたユーティリティーは用意されていません。これは、いまでもシステム管理者またはクラスター管理ソフトウェアのいずれかが行わなければならない作業の 1 つです。

標準出力

-h フラグが指定されている場合は、このコマンドの使用状況ステートメントが標準出力に書き込まれます。 -l フラグが指定されると、トラステッド・ホスト・リスト・ファイルの内容が標準出力へ書き込まれます。

標準エラー

あらゆる検出済み障害条件に関する記述情報が標準エラーに書き込まれます。

例

HBA セキュリティー機構を検査するには、次のように入力します。

ctsvhbac

出力は次のようになります。


------------------------------------------------------------------------
Host Based Authentication Mechanism Verification Check

Private and Public Key Verifications

      Configuration file:  /opt/rsct/cfg/ctcasd.cfg
                  Status:  Available
                Key Type:  rsa512
                           RSA key generation method, 512-bit key

        Private Key file:  /var/ct/cfg/ct_has.qkf
                  Source:  Configuration file
                  Status:  Available
                Key Type:  rsa512
                           RSA key generation method, 512-bit key

         Public Key file:  /var/ct/cfg/ct_has.pkf
                  Source:  Configuration file
                  Status:  Available
                Key Type:  rsa512
                           RSA key generation method, 512-bit key

              Key Parity:  Public and private keys are in pair

Trusted Host List File Verifications

  Trusted Host List file:  /var/ct/cfg/ct_has.thl
                  Source:  Configuration file
                  Status:  Available

                Identity:  avenger.pok.ibm.com
                  Status:  Trusted host

                Identity:  9.117.10.4
                  Status:  Trusted host

                Identity:  localhost
                  Status:  Trusted host

                Identity:  127.0.0.1
                  Status:  Trusted host

Host Based Authentication Mechanism Verification Check completed

場所

/opt/rsct/bin/ctsvhbac: ctsvhbac コマンドが入っています。

ファイル

/opt/rsct/cfg/ctsec_map.global: デフォルトの ID マッピング定義ファイルです。このファイルには、RSCT クラスター・トラステッド・サービスが必要とする定義が含まれています。それらの定義は、これらのシステムがソフトウェアのインストール後すぐに適切に実行されるために必要なものです。このファイルは、システム上にクラスター全体の ID マッピング定義ファイル /var/ct/cfg/ctsec_map.global が存在する場合には無視されます。したがって、クラスター全体の ID マッピング定義ファイルが存在する場合、その定義ファイルにはこのファイル内の定義もすべて含まれている必要があります。
/var/ct/cfg/ctsec_map.local: クラスター全体の ID マッピング定義に対するローカル・オーバーライドです。このファイル内の定義をクラスター内のノード間で共有することは期待されません。
/var/ct/cfg/ctsec_map.global: クラスター全体の ID マッピング定義です。このファイルにはクラスター全体を通じて共通の ID マッピング定義が含まれていることが期待されます。このファイルがシステムに存在する場合、デフォルトの ID マッピング定義ファイルは無視されます。したがって、このファイルが存在する場合は、デフォルトの ID マッピング定義ファイル内でも検出される可能性のあるすべてのエントリーがこのファイルにも含まれている必要があります。