chauthservice
chauthservice コマンドは、クラスター化システム (システム) のリモート認証サービスを構成するために使用します。
構文
>>- chauthservice -- --+--------------------+-- ----------------> '- -enable --+-yes-+-' '-no--' >--+---------------------+-- --+---------------+-- -------------> '- -type --+- tip --+-' '- -url -- url -' '- ldap -' >--+--------------------------+-- ------------------------------> '- -username -- user_name -' >--+-----------------------------+-- ---------------------------> '- -password --+------------+-' '- password -' >--+-------------------------+-- --+------------+-------------->< '- -sslcert -- file_name -' '- -refresh -'
パラメーター
- -enable yes | no
- (オプション) SAN ボリューム・コントローラー システムによるリモート認証サーバーの使用を有効または無効にします。 enable パラメーターを no に設定すると、リモート認証はシステムによって失敗させられますが、ローカル認証は引き続き正常に行われます。
- -type tip | ldap
- (オプション) 認証サービス・タイプ (TIP またはネイティブ LDAP) を指定します。LDAP サーバーが構成されている必要があります。-type を変更する前に、選択されたリモート認証タイプが適切に構成されていることを確認してください。要確認:
- この設定を有効にするには、リモート認証サービスが有効になっている (-enable yes) 必要があります。
- -type を ldap から tip に変更する前に、リモート認証用に構成されているすべてのユーザーの SSH 鍵とパスワードの両方が構成されていることを確認します。
- -url url
- (オプション - IBM® Security Services のみ) CLI で TIP として参照される Security Services の Web サイトのアドレス (URL) を指定します。URL のホスト部分は有効な数値の IPv4 または IPv6 ネットワーク・アドレスでなければなりません。URL では以下の文字を使用できます。
- a - z
- A - Z
- 0 - 9
- _
- ~
- :
- [
- ]
- %
- /
- -username user_name
- (オプション) HTTP 基本認証ユーザー名を指定します。
ユーザー名の始めまたは終わりにブランクは使用できません。ユーザー名は 1 から 64 文字の ASCII 文字ストリングで構成できますが、以下の文字は使用できません。
- %
- :
- "
- ,
- *
- '
- -password password
- (オプション) HTTP 基本認証ユーザー・パスワードを指定します。 パスワードの始めまたは終わりにブランクは使用できません。 パスワードは、6 文字から 64 文字の印刷可能 ASCII 文字ストリングで構成する必要があります。password 変数はオプションです。 パスワードを入力しなかった場合、システムはプロンプトを出します。入力したパスワードは表示されません。
- -sslcert file_name
- (オプション) リモート認証サーバー用の SSL 証明書が Privacy Enhanced Mail (PEM) 形式で入っているファイルの名前を指定します。証明書ファイルは有効な PEM 形式で、最大長が 12 キロバイトでなければなりません。
- -refresh
- (オプション) SAN ボリューム・コントローラーで、システムにキャッシュされているリモート・ユーザー許可をすべて無効にするようにします。認証サービスのユーザー・グループを変更し、その変更をSAN ボリューム・コントローラーですぐに有効にしたい場合に、このオプションを使用します。注: キャッシュをクリアすると、システムを使用中のユーザーがいる場合、再度ログインしなければならないことがあります (例えば、定義済みの LDAP サーバーのいずれかに対して資格情報が提供されている場合)。
説明
このコマンドを使用して、システムで使用するリモート認証サービスを選択して有効にすることができます。
IBM Security Services に対してユーザーを認証するか、Lightweight Directory Access Protocol (LDAP) を使用してユーザーを認証するように、システムを構成することができます。
リモート認証を有効にする前に、サービスの属性がシステムで適切に構成されていることを確認します。 属性を変更するためにリモート認証サービスを使用不可にする必要はありません。 このコマンドを使用して、TIP の属性を構成できます。 LDAP 認証は、chldap コマンドを使用して構成できます。LDAP サーバーは、mkldapserver コマンドを使用してシステムに追加できます。
要確認: 許可が有効 (true) にされた LDAP に対して認証タイプを設定するには、LDAP サーバーが構成されている必要があります。 許可が有効 (true) にされた TIP に対して認証タイプを設定するには、TIP 設定 (URL、ユーザー名、パスワード) が構成されている必要があります。
認証サービスを使用可能にするか構成を変更したとき、システムはリモート認証システムが正しく機能するかどうかの検査を行いません。
- システムが正しく機能しているかどうかを判断するには、リモート側で認証されたユーザーについて lscurrentuser コマンドを発行します。 リモート認証サーバーから取得されたユーザーの役割が出力にリストされた場合は、リモート認証は正常に機能しています。 エラー・メッセージが出力された場合は、リモート認証は正常に機能しておらず、エラー・メッセージに問題が記述されます。
- LDAP が正しく機能しているかどうかを判断するには、lscurrentuser コマンドのほかに、testldapserver コマンドを発行します。 testldapserver コマンドは、リモート認証が有効になっているかどうかに関係なく発行でき、LDAP サーバーへの接続のほか、ユーザー許可と認証をテストするために使用できます。
TIP url パラメーターの Web サイト・アドレスは以下のいずれかの形式になります。
- http://network_address:http リモート認証サービス・ポート番号/path_to_service
- https://network_address:https リモート認証サービス・ポート番号/path_to_service
ネットワーク・アドレスは IPv4 または IPv6 アドレスでなければなりません。対応するホスト名は使用しないでください。例えば、システム・ネットワークの IPv4 アドレスが 9.71.45.108 の場合は、以下の対応するアドレスのいずれかを入力できます。
http://9.71.45.108:16310/TokenService/services/Trust
https://9.71.45.108:16311/TokenService/services/Trustリモート認証サービスが有効になっていないときに制御された方法で使用不可に設定するには、enable パラメーターに no オプションを指定します。
呼び出し例
IBM Security Services で認証を完全に構成して使用可能にするには、次のように入力します。
chauthservice -url https://9.71.45.108:16311/TokenService/services/Trust
-sslcert /tmp/sslCACert.pem -username admin -password password -enable yes結果出力
No feedback呼び出し例
リモート認証を使用不可にするには、次のように入力します。
chauthservice -enable no結果出力
No feedback呼び出し例
SAN ボリューム・コントローラー リモート許可キャッシュをリフレッシュするには、次のように入力します。
chauthservice -refresh結果出力
No feedback