为群集安全性服务提供和认证基于 RSCT 主机的认证(HBA)安全机制凭证。
ctcasd [-b]
当 RSCT HBA 安全机制在群集环境中已配置并活动时,ctcasd 守护进程将由群集安全性服务库使用。当服务请求者和服务供应商尝试通过网络连接来创建安全的执行环境时,群集安全服务使用 ctcasd。当服务请求者和供应商通过本地操作系统连接(如 UNIX(R) 域套接字)建立安全的执行环境时,将不使用 ctcasd。
当服务请求者和服务供应商已经同意通过群集安全服务使用基于 HBA 认证时,群集安全服务库将使用 ctcasd 来获取并认证 HBA 凭证。 群集安全性服务不提供到可以由用户应用程序调用的守护进程的直接接口。
可以使用系统资源控制器(SRC)命令启动和停止 ctcasd 守护进程。
在启动期间,守护进程从 ctcasd.cfg 配置文件获取其操作参数。守护进程期望在 /var/ct/cfg/ 目录中查找此文件。系统管理员可以修改此文件中的操作参数以适合其需要。如果未找到此文件,守护进程将使用存储在 /usr/sbin/rsct/cfg/ctcasd.cfg 中的缺省配置。
HBA 凭证从本地节点的专用和公用密钥派生。这些密钥位于在 ctcasd.cfg 中配置的文件中。使用接收节点的公用密钥加密这些凭证。群集内的节点的公用密钥存储在每个节点上的可信的主机列表文件中。此文件的位置还在 ctcasd.cfg 配置文件中定义。系统管理员负责创建和维护此可信的主机列表以及同步贯串群集的列表。
如果守护进程检测到节点的公用密钥和专用密钥都不存在,则 ctcasd 假定正在第一次启动它并创建这些文件。守护进程还为此节点创建初始可信的主机列表文件。该文件包含 localhost 的一个条目以及与守护进程可以检测到的所有 AF_INET 配置的活动适配器关联的主机名和 IP 地址。如果在重新启动守护进程之前,无意或有意从本地系统删除了公用密钥和专用密钥文件,则可能发生意外的认证故障。ctcasd 为不与在其它群集节点上存储的密钥匹配的节点创建新密钥。 如果 HBA 认证在系统重新启动后突然失败,则这是失败的可能源。
由导致守护进程关闭的守护进程检测的紧急故障记录到持久存储中。在基于 AIX 的群集中,记录在 AIX(R) 错误日志和系统日志中创建。
命令:ctskeygen、startsrc、ctsvhbac、ctsvhbal、ctsvhbar、ctsthl
文件:ctcasd.cfg、ct_has.pkf、ct_has.qkf、ct_has.thl