AIX命令参考大全，卷 1，a - c

ctsvhbac 命令

用途

验证本地系统上的基于 RSCT 主机的认证（HBA）安全机制的配置。

语法

ctsvhbac [ [-d | -h | -m | -s ] | [ -e msgnum[,msgnum...] ] [ -l { 1 | 2 | 3 | 4 } | -b ] [ -p pubkeyfile ] [ -q pvtkeyfile ] [ -t thlfile ] ]

描述

ctsvhbac 命令是基于 RSCT 的主机的认证（HBA）安全机制的验证实用程序。使用 ctsvhbac 命令来验证本地系统是否已配置且凭证文件和信息（如专用密钥和可信主机列表）是否已就绪，可供 HBA 安全机制使用。

此命令对 HBA 安全机制的配置执行以下系列测试：

• 验证 HBA 机制配置文件是否存在且是否能够被处理。
• 验证 HBA 专用密钥文件是否存在且是否能够被处理。
• 验证 HBA 公用密钥文件是否存在且是否能够被处理。
• 验证本地系统的公用和专用密钥是否成对，成对就意味着知道公用密钥是从专用密钥派生的。
• 验证 HBA 可信主机列表文件是否存在且是否能够被处理。
• 检查 HBA 可信主机列表的内容以了解所有主机名和网络地址是否受本地节点支持，方法是确定可信主机列表文件中是否存在它们的条目。如果找到了主机名或网络地址，此命令将验证是否为该命令或地址列出了较早的测试中使用的相同公用密钥值。

命令用户可指定该命令中要使用的专用密钥文件、公用密钥文件和可信主机列表文件。在缺省情况下，将从 HBA 安全机制的配置文件中抽取此信息。

标志

-b

产生简要输出。使用此选项时，该命令将仅显示测试的摘要输出和检测到的任何错误。 可通过不带此选项发出该命令确定任何错误的更多详细信息。 如果指定了 -l 选项，将忽略此操作。

-d

显示成功执行此命令所需的探测列表。

-e

指定此命令在执行过程中不显示的错误消息列表。可能指定一个或多个消息号。消息号的格式必须为 xxxx-yyy。多条消息应以逗号（,）隔开，但不能有空格字符。

-h

显示此命令的帮助消息。

-l

允许“群集系统管理（CSM）探测基础结构”设置输出的详细信息级别。接受的级别为：

1

详细方式。显示命令目的摘要和所有测试的状态信息。

2

显示命令目的摘要和任何注意事项或任何测试中检测到的错误情况。

3

显示任何注意事项或任何测试中检测到的错误情况。

4

静默方式。显示测试过程中检测到的错误。

-m

显示此命令及其目的的详细描述。

-p

指定此命令将使用的公用密钥文件的路径名。如果未指定此选项，命令将使用当前为 HBA 安全机制配置的公用密钥文件。

-q

指定此命令将使用的专用密钥文件的路径名。如果未指定此选项，命令将使用当前为 HBA 安全机制配置的专用密钥文件。

-s

显示此命令的目的摘要。

-t

指定此命令将使用的可信主机列表文件的路径名。如果未指定此选项，命令将使用当前为 HBA 安全机制配置的可信主机列表文件。

参数

无。

安全性

ctsvhbac 命令的许可权允许 bin 用户组的成员执行此命令。

退出状态

退出状态符合“CSM 探测基础结构”约定。

0

未检测到问题。显示的消息不是信息性的，就是仅为不重要的警报。无需管理干预。

10

未检测到问题，但发现某些项应该引起管理员的注意。此本地系统支持的 IP 地址或主机名在可信主机列表中未列出，或列出时公用密钥值不正确时，最可能发生这种退出状态。对于此退出状态，系统管理员应检查输出以确定检测到了哪些情况，以及这些情况是否需要更正操作。

要更正报告的频率最高的情况：

• 确保已正确忽略了可信主机列表中没有的任何 IP 地址或主机名。如果未正确忽略，则更新本地系统上的可信主机列表。
• 修复使用不正确的公用密钥的本地 IP 地址和主机名的任何条目。

20

检测到一个或多个问题。以下情况下将会发生此退出状态：

• HBA 安全机制配置不正确。
• 公用密钥和专用密钥可能不成对。
• 可信主机列表不包含本地系统支持的 IP 地址或主机名值。

除非更正了这些情况，否则使用 HBA 机制的认证请求在该系统上可能会失败。 对于此退出状态，系统管理员必须检查命令输出以验证和解决报告的问题。要更正报告的问题，请遵循命令输出中列出的问题解决建议。

127

此命令中遇到意外故障。对于此退出状态，管理员应验证本地系统上是否至少有一个网络接口已配置且活动。

限制

• 群集安全性服务仅支持其自身的主机标识格式和可信主机列表文件格式。
• 可信主机列表仅可以使用该命令进行修改。
• 群集安全性服务不提供自动实用程序用于在群集内创建、管理和维护可信主机列表。该过程留给系统管理员或群集管理软件来执行。

标准输出

当指定了 -h 标志，此命令的用法语句写至标准输出。当指定了 -l 标志时，可信主机列表文件的内容写入标准输出。

标准错误

有关任何检测到的故障情况的描述信息都写入标准错误。

示例

要验证 HBA 安全机制，请输入：

ctsvhbac

输出类似于：

------------------------------------------------------------------------
基于主机的认证机制验证检查

专用和公用密钥验证

      配置文件：/usr/sbin/rsct/cfg/ctcasd.cfg
                  状态：可用
                密钥类型：rsa512
                           RSA 密钥生成方法，512 位密钥

        专用密钥文件：/var/ct/cfg/ct_has.qkf
                  源：配置文件
                  状态：可用
                密钥类型：rsa512
                           RSA 密钥生成方法，512 位密钥

         公用密钥文件：/var/ct/cfg/ct_has.pkf
                  源：配置文件
                  状态：可用
                密钥类型：rsa512
                           RSA 密钥生成方法，512 位密钥

              密钥成对性：公用和专用密钥成对

可信主机列表文件验证

  可信主机列表文件：/var/ct/cfg/ct_has.thl
                  源：配置文件
                  状态：可用

                标识：avenger.pok.ibm.com
                  状态：可信主机

                标识：9.117.10.4
                  状态：可信主机

                标识：localhost
                  状态：可信主机

                标识：127.0.0.1
                  状态：可信主机

“基于主机的认证机制验证检查”已完成

位置

/usr/sbin/rsct/bin/ctsvhbac

包含 ctsvhbac 命令

文件

/usr/sbin/rsct/cfg/ctsec_map.global

缺省标识映射定义文件。该文件包含 RSCT 群集可信服务要求的定义，以使这些系统能在安装软件之后立即正确地执行。该文件在群集范围的标识映射定义文件 /var/ct/cfg/ctsec_map.global 存在于系统上时被忽略。因此，任何位于该文件中的定义也应被包含在群集范围的标识映射定义文件中（如果该文件存在的话）。

/var/ct/cfg/ctsec_map.local

群集范围的标识映射定义的本地覆盖。不期望该文件中的定义在群集内的节点之间共享。

/var/ct/cfg/ctsec_map.global

群集范围的标识映射定义。该文件预期包含在群集内通用的标识映射定义。如果该文件存在于系统上，缺省标识映射定义文件将被忽略。因此，如果该文件存在，它也应包含任何也将在缺省标识映射定义文件中找到的条目。

相关信息

命令：ctskeygen、ctsthl、ctsvhbal、ctsvhbar

文件：ctcasd.cfg、ct_has.pkf、ct_has.qkf、ct_has.thl