ctsvhbar コマンド
目的
RSCT ホスト・ベース認証 (HBA) セキュリティー機構が、指定したホストのクリデンシャルを検査するためにローカル・ノードで使用するホスト名を戻します。
構文
ctsvhbar [ [ -d | -h | -m | -s ] | [ -e msgnum[,msgnum...] ] [ -l { 1 | 2 | 3 | 4 } | -b ] {hostname | address} [hostname... | address...]
説明
ctsvhbar コマンドは、RSCT ホスト・ベース認証 (HBA) セキュリティー機構の検査ユーティリティーです。 このコマンドは、リモート・システムのクリデンシャルを検査するために HBA セキュリティー機構が使用するホスト名を判別する必要がある場合に使用します。
HBA セキュリティー機構は、アプリケーションで選択された方式に応じて、クリデンシャル内の識別情報の一部として、ホスト名かネットワーク・アドレス値を使用します。
ローカル・システムがリモート・システムからの要求に対してサービスを提供する場合、そのリモート・システムのネットワーク・アドレスとホスト名が必ず 1 つ以上、ローカル・システムのトラステッド・ホスト・リストに示されなければなりません。
リモート・システムがローカル・システムを正常に認証できるか検査するため、システム管理者は RSCT クラスター・セキュリティー・コマンドを組み合わせて使用します。
- ローカル・システムとリモート・システムの両方で、ctsvhbac コマンドを実行して、各システムに有効な HBA セキュリティー機構構成があるか検査します。
- ローカル・システムで、ctsvhbal コマンドを実行して、HBA セキュリティー機構がリモート・システムに対してこのホストを識別するために使用する値を判別します。
- リモート・システムで、ローカル・システムのホスト名または IP アドレスを指定して ctsvhbar コマンドを実行し、リモート・システムがローカル・システムから伝送された HBA クリデンシャルを検査するために使用する値を判別します。
- ctsvhbal と ctsvhbar コマンドの出力を比較して、この 2 つのシステムがホスト名解決に同じスキームを使用しているかどうかを判別します。 出力にホスト名との完全一致が見つからない場合、ホスト名解決スキームを修復し、2 つのコマンドが完全一致の出力を生成するまで上記のステップを繰り返します。
上記のステップを完了すると、一方向の認証が正常に行われるかが検査されます。つまりこの手順では、リモート・システムがローカル・システムからの要求を認証できるかどうかのみが検査されます。
RSCT サブシステムでは相互認証が使用される場合が多いため、システム管理者は、ローカル・システムがリモート・システムを正常に認証できるかについても検査する必要があります。
この検査を行うには、次の追加ステップが必要です。
- リモート・システムで、ctsvhbal コマンドを実行して、HBA セキュリティー機構がローカル・システムに対してこのホストを識別するために使用する値を判別します。
- ローカル・システムで、リモート・システムのホスト名または IP アドレスを指定して ctsvhbar コマンドを実行し、ローカル・システムがリモート・システムから伝送された HBA クリデンシャルを検査するために使用する値を判別します。
- ctsvhbal と ctsvhbar コマンドの出力を比較して、この 2 つのシステムがホスト名解決に同じスキームを使用しているかどうかを判別します。 出力にホスト名との完全一致が見つからない場合、ホスト名解決スキームを修復し、2 つのコマンドが完全一致の出力を生成するまで上記のステップを繰り返します。
詳しい説明および例については、「RSCT Administration Guide」のクラスター・セキュリティーのトピックを参照してください。
フラグ
- -b
- 要約出力を生成します。このオプションを使用すると、 コマンドはコマンド・ユーザーが指定するホスト ID、それらの ID の完全修飾ホスト ID、 およびエラーを表示します。 -l オプションを指定すると、このオプションは無視されます。
- -d
- このコマンドを正常に実行するために必要なプローブのリストを表示します。
- -e
- コマンドの実行中に表示しないエラー・メッセージのリストを指定します。 1 つ以上のメッセージを指定できます。 メッセージ番号のフォーマットは、xxxx-yyy です。 複数のメッセージは、空白文字を入れずにコンマ (,) で区切ります。
- -h
- このコマンドのヘルプ・メッセージを表示します。
- -l
- クラスター・システム・マネージメント (CSM) プローブ・インフラストラクチャーで、
出力の詳細レベルを設定できるようにします。
使用できるレベルは、次のとおりです。
- 1
- 詳細モード。コマンド目的の要約と、すべてのテストの状況情報を表示します。
- 2
- コマンド目的の要約と、テストで検出されたアテンションまたはエラー条件を表示します。
- 3
- テストで検出されたアテンションまたはエラー条件を表示します。
- 4
- サイレント・モード。テスト中に検出されたエラーを表示します。
- -m
- コマンドとその目的の詳細記述を表示します。
- -s
- コマンドの目的の要約を表示します。
パラメーター
- hostname
- リモート・システムのホスト名です。
- address
- リモート・システムのネットワーク・アドレスです。
セキュリティー
ctsvhbar コマンドの許可条件では、 bin ユーザー・グループのメンバーがこのコマンドの実行を許可されます。
終了状況
終了状況は、CSM プローブ・インフラストラクチャーのルールに準拠しています。
- 0
- 問題が検出されませんでした。表示されるメッセージは通知メッセージです。 管理操作は不要です。
- 10
- 問題が検出されませんでした。コマンドは、コマンド・ユーザーが指定したホスト名または IP アドレスを解決できませんでした。 コマンド・ユーザーは、使用したホスト名または IP アドレスが正しいことを検査する必要があります。 使用した名前またはアドレスが正しい場合、システム管理者は、 ローカル・システムが使用するホスト名解決スキームで名前またはアドレスの解決が許可されていることを検査する必要があります。
- 127
- このコマンドで予期しない障害が発生しました。
制約事項
- クラスター・セキュリティー・サービスがサポートするのは、独自のホスト ID フォーマットおよびトラステッド・ホスト・リスト・ファイル・フォーマットだけです。
- トラステッド・ホスト・リストを変更できるのは、このコマンドを使用する場合だけです。
- クラスター・セキュリティー・サービスには、クラスター全体を通じてトラステッド・ホスト・リストを作成、管理、および保守するための自動化されたユーティリティーは用意されていません。 これは、いまでもシステム管理者またはクラスター管理ソフトウェアのいずれかが行わなければならない作業の 1 つです。
標準出力
-h フラグが指定されている場合は、このコマンドの使用状況ステートメントが標準出力に書き込まれます。 -l フラグが指定されると、トラステッド・ホスト・リスト・ファイルの内容が標準出力へ書き込まれます。
標準エラー
あらゆる検出済み障害条件に関する記述情報が標準エラーに書き込まれます。
例
HBA セキュリティー機構が、
ホスト名 zathras で識別されるホストのクリデンシャルを検査するためにローカル・ノードで使用するホスト名を戻すには、
次のように入力します。
ctsvhbar zathras
出力は次のようになります。
Host name or network address: zathras
Fully qualified host name
used for authentication: zathras.ibm.com
HBA セキュリティー機構が、
ネットワーク・アドレス 9.127.100.101 で識別されるホストのクリデンシャルを検査するためにローカル・ノードで使用するホスト名を戻すには、
次のように入力します。
ctsvhbar 9.127.100.101
出力は次のようになります。
Host name or network address: 9.127.100.101
Fully qualified host name
used for authentication: epsilon3.pok.ibm.com
HBA セキュリティー機構が、
ホスト名 zathras で識別されるホストと、
ネットワーク・アドレス 9.127.100.101 で識別されるホストの両方のクリデンシャルを検査するためにローカル・ノードで使用するホスト名を戻すには、
次のように入力します。
ctsvhbar zathras 9.127.100.101
出力は次のようになります。Host name or network address: zathras
Fully qualified host name
used for authentication: zathras.ibm.com
Host name or network address: 9.127.100.101
Fully qualified host name
used for authentication: epsilon3.ibm.com
場所
- /opt/rsct/bin/ctsvhbar
- ctsvhbar コマンドが入っています。
ファイル
- /opt/rsct/cfg/ctcasd.cfg
- ctcasd デーモン用のデフォルトの構成
- /var/ct/cfg/ctcasd.cfg
- システム管理者が変更可能な ctcasd デーモン用の構成