_日本語DCE_for_Digital_UNIX___________________ リリース・ノート AA-R0RRA-TE 1996年10月 本書では,日本語DCE V2.0 for Digital UNIX V4.0に関 する注意事項および既知の問題について説明します。 オペレーティング・システム: Digital UNIX Version 4.0 ソフトウェア・バージョン: 日本語DCE V2.0 for Digital UNIX 日本ディジタル イクイップメント株式会社 1996年10月________________________________________________ 本書の著作権は日本ディジタル イクイップメント株式会社(日本 DEC)が保有しており,本書中の解説および図,表は日本DECの文 書による許可なしに,その全体または一部を,いかなる場合にも 再版あるいは複製することを禁じます。 また,本書に記載されている事項は,予告なく変更されることが ありますので,あらかじめご承知おきください。万一,本書の記 述に誤りがあった場合でも,日本DECは一切その責任を負いかね ます。 本書で解説するソフトウェア(対象ソフトウェア)は,所定のライ センス契約が締結された場合に限り,その使用あるいは複製が許 可されます。 日本DECは,日本DECまたは日本DECの指定する会社から納入され た機器以外の機器で対象ソフトウェアを使用した場合,その性能 あるいは信頼性について一切責任を負いかねます。 (c) Digital Equipment Corporation Japan 1996. All Rights Reserved. Printed in Singapore. ________________________________________________________________ 目次 1 Digital UNIX V4.0に必要なパッチ............. 1 2 バージョン情報.............................. 1 3 インストールに関する注意事項................ 1 3.1 ディスク容量が不足した場合のデーモンのコ ア・ダンプ............................... 1 4 Unsupportedソフトウェア..................... 2 4.1 NSedit.................................. 2 5 リタイアする機能についてのお知らせ.......... 2 6 制限事項.................................... 3 7 コンフィギュレーション...................... 3 7.1 クライアント・コンフィギュレーション でLAN上の既知のセルのリストにTransarc Solarisベースのセル・サーバが表示されない 問題..................................... 3 7.2 dce_error_inq_text()の使用 ............. 4 7.3 DTSクラークのコンフィギュレーション..... 4 7.4 HPクライアントに必要なTELNET Daytimeオプ ション................................... 4 7.5 IPアドレスの変更........................ 5 7.6 コンフィギュレーション時の他社のCDSレプ リカとの相互運用性....................... 7 8 DCEのアプリケーション開発................... 7 8.1 privacy保護............................. 7 8.2 XDSプログラミング....................... 8 8.3 GSSAPIとKerberosとの相互運用性.......... 8 8.4 拡張登録簿属性(ERA)の制限............... 8 8.5 pthread_onceルーチン.................... 9 8.6 ガーベッジ・コレクション................ 9 8.7 RPC接続処理............................. 10 8.8 RPC_SUPPORTED_PROTSEQS.................. 10 iii 9 DTS......................................... 11 9.1 dtscp set server principal nameコマンド. 11 9.2 ネットワーク・クロックの管理............ 11 9.3 マスタCDSサーバが使用できない場合のdtsd の起動................................... 11 9.4 ACLファイル............................. 12 9.5 dtscp show decnet time sourceコマンド... 12 10 dcecpコマンド............................... 12 10.1 ドキュメントに記述されているが使用できな いコマンド............................... 12 10.2 構文の変更.............................. 13 10.3 Keytabオブジェクト...................... 13 10.4 dcecpの新しい動作およびオプション....... 14 10.5 dcecpプロンプトでのCTRL/Cの使用......... 14 11 dcedデーモン................................ 14 11.1 Ep.dbエラー・メッセージのオープンの異常 終了..................................... 15 12 ネーミング.................................. 15 12.1 外部セルが再構成された場合の既存の外部セ ルのバインディング....................... 15 12.2 レプリカの削除.......................... 16 12.3 cds_attributes.......................... 16 12.4 ACLファイル............................. 16 12.5 他社のOSF DCE R1.1ベースの製品との相互運 用性に関するコンフィギュレーション上の問 題....................................... 17 12.6 cdscpによるバックスラッシュ(\)継続文字の 処理..................................... 18 12.7 クリアリングハウス作成直後の一時的な異 常....................................... 18 12.8 LAN上でCDSサーバを見つけることができない 場合..................................... 19 12.9 CDSソフト・リンクに関する注意事項....... 19 13 セキュリティ................................ 20 13.1 -non_sharedでリンクされたアプリケーショ ンでのDCE SIAの使用...................... 20 13.2 Basic X Environmentがインストールされて いない場合のDCE SIAの切り替え............ 20 13.3 パスワード管理サーバ.................... 21 13.4 レプリカの削除.......................... 21 iv 13.5 passwd_exportで作成したローカル・アカウ ントの削除............................... 21 13.6 chpass機能.............................. 21 13.7 アカウント有効期限ポリシ................ 22 13.8 passwd_exportは/etc/passwdのリハッシュを 行わない................................. 22 13.9 passwd_exportを使用する場合 の/opt/dcelocal/etc/passwd_overrideでのパ スワードの使用........................... 22 13.10 新しいアカウントの追加に必要な許可...... 23 13.11 DCE V1.0.3からV1.1へのレプリカの移行.... 23 13.12 委譲に関する制限........................ 23 13.13 拡張登録簿属性(ERA制限)................. 23 13.14 /usr/examples/dce/pwd_mgmtで提供される pwd_strengthd............................ 24 13.15 Password Strengthサーバに関する注意事項. 24 13.16 gss_accept_sec_context()およびログイ ン・コンテキスト......................... 24 13.17 gss_accept_sec_context()による証明書の リフレッシュに関する問題................. 25 13.18 OSFからのセキュリティ・コンポーネント・ パッチの取り込み......................... 25 13.19 マンページに関する注意事項.............. 26 13.20 登録簿カーソルを使用した場合のトランザク ション・セマンティクスの不足............. 26 13.21 監査デーモンの起動とDCE監査デーモンのマ ンページへのアクセス..................... 26 13.22 sec_login*ルーチンにおけるメモリ・リー ク....................................... 27 14 セル別名に関する制限事項.................... 27 15 階層化セルおよび推移的信頼関係.............. 28 16 DCE分散ファイル・サービスV2.0に関する注意事 項........................................... 32 16.1 既存のDigital DFS V1.3およびDFS T2.0 FLDBのアップグレード..................... 32 16.2 認証リモート・ログインに関する注意事項.. 34 16.3 Digital UNIX V4.0 ACLのサポートに関する 制限事項................................. 34 16.4 DFSのメッセージ......................... 35 16.5 dfコマンド.............................. 35 16.6 DCE DFSがENOSPCを正しく返さない問題..... 35 v 16.7 シャットダウンまたはリブート時のシステ ム・ハングまたはパニックの可能性......... 36 16.8 DCE RPCデータprivacy.................... 36 16.9 DCE DFSマウント・ポイントを正しくリスト アできないコマンド....................... 36 16.10 メモリ・マップ・ファイルに対しては完全に はインプリメントされていないシングル・サ イト・セマンティクス..................... 36 16.11 DCE DFSによるスペシャル・デバイスの作成 およびアクセスに関する制限事項........... 37 16.12 2GBより大きいファイルのサポート......... 37 16.13 DFSクライアント・キャッシュ・ディレクト リのパス名............................... 37 16.14 msyncシステム・コールのサポート......... 37 16.15 fuserシステム・コールのサポート......... 38 16.16 DFSファイルセットのDFSサーバへの追加.... 38 17 『OSF DCE Administration Reference』につい て........................................... 41 vi 1___Digital_UNIX_V4.0に必要なパッチ________________________ Digital UNIX V4.0を使用する場合,『日本語Digital UNIX V4.0リリース・ノート[補足レター]』に記述されているような DECthreadsに関する問題の影響を受けます。DCE V2.0をご使用に なる場合は,Digitalのカスタマ・サービス・センターに問い合 わせて,DECthreadsパッチ・キットを取り寄せることが必要で す。パッチ・キットをインンストールせずにDCE V2.0を実行する と,cdsadvがクラーク・プロセスを作成できず,他のプロセスが コア・ダンプすることがあります。この問題は,Digital UNIX V4.0に対するアップデート・リリースでは修正される予定です。 ___________________________________________________________ 2 バージョン情報 DCE V2.0 for Digital UNIX V4.0は,OSF R1.1およびWarranty Patchをベースにしています。 ___________________________________________________________ 3 インストールに関する注意事項 R1.0.3サーバは,R1.1クライアントと通信する場合に,次のよう なメッセージを生成することがあります。 assoc->xxx Protocol version mismatch - major ->5 minor-->1 このメッセージは無視してください。 3.1 ディスク容量が不足した場合のデーモンのコア・ダンプ DCEデーモンは,データベースへのチェックポイント・オペレー ションおよびメッセージの記録のために,/opt/dcelocal/var以 下のファイルに定期的に書き込みを行います。/opt/dcelocal /varにあるファイル・システムのディスク容量を使い果たすと, デーモンは強制終了します。 1 4___Unsupportedソフトウェア________________________________ 以降の項では,今回のリリースのDCE for Digital UNIXでは正式 にはサポートされないソフトウェアについて説明します。 4.1 NSedit 本リリースでは,マサチューセッツ大学のPilgrimプロジェクト で開発されたDCEネーム空間管理ツールであるNSeditが,/opt /dce/nosupportディレクトリに提供されています。本バージョン で提供するNSeditは,ユーザによる検討のためのプロトタイプと して提供されているもので,正式にはサポートされていません。 NSeditは,CDSネーム空間のエントリを,作成,検査,および変 更するためのユーザ・フレンドリな環境を提供します。 NSeditの使用方法については,/opt/dce/nosupport/nseditディ レクトリのREADMEファイルと『User's Guide』を参照してくださ い。 ___________________________________________________________ 5 リタイアする機能についてのお知らせ DCE V2.0 for Digital UNIXに含まれている以下の制御プログラ ムは,将来のリリースでリタイアする予定です。これらの制御プ ログラムでサポートされている機能は,dcecpで提供されていま す。 acl_edit cdscp rgy_edit rpccp sec_admin dtscp 2 6___制限事項_______________________________________________ 本リリースでは,次の制限事項があります。 o DCE V2.0とDECnet V4.0の間には相互運用性に関する問題が あります。一部のDECnet環境で,RPCを使用するプロセス (DCEデーモンを含む)でさまざまなRPC通信エラーが発生す ることがあります。この問題は,将来のメンテナンス・リ リースで修正される予定です。 o 本バージョンのDCEは,Digital Authentication Server V1.0とは共存できず,相互運用性もありません。 o 本バージョンのDCEではTCP/IP over DECnet (DOTI)はサ ポートされておらず,dcedの初期化が正しく行われませ ん。decnetsetupでDOTIを使用可能にしている場合は,次の コマンドで使用不可にします。 % ncl delete session control transport service doti o 本リリースでは,ディスクレス・マシンはサポートされま せん。DCE for Digital UNIX V2.0のDMSサポートは現時点 では提供されていません。/usrは,DCEがインストールされ ているマシンのローカル・ディスクにあり,書き込み可能 であると仮定しています。 ___________________________________________________________ 7 コンフィギュレーション 以降の各項では,コンフィギュレーションに関する問題について 説明します。 7.1 クライアント・コンフィギュレーションでLAN上の既知のセルの リストにTransarc Solarisベースのセル・サーバが表示されない 問題 DCE V2.0 for Digital UNIXのクライアント・コンフィギュレー ションでは,LAN上の既知のセル・リストにTransarc Solarisサ ーバが提供するセルが表示されせんが,Digital UNIX V2.0のク ライアントをSolarisセルに構成できないわけではありません。 プロンプトに対してセル名を入力し,コンフィギュレーションを 実行してください。 3 7.2 dce_error_inq_text()の使用 dce_error_inq_text()ルーチンは,DCE状態コードのテキスト・ ストリングを返します。考えられるエラー・コードすべてに関 してdce_error_inq_text()がテキストを返すようにするには, Digital UNIXで環境変数LANGを以下のいずれかに設定しなければ なりません。 % setenv LANG en_US.ISO8859-1 (メッセージ・テキストを英語 で受け取る場合) % setenv LANG ja_JP.eucJP (メッセージ・テキストを日本 語EUCで受け取る場合) % setenv LANG ja_JP.deckanji (メッセージ・テキストをDEC漢 字で受け取る場合) % setenv LANG ja_JP.sdeckanji (メッセージ・テキストを Super DEC漢字で受け取る場合) % setenv LANG ja_JP.SJIS (メッセージ・テキストをSJIS で受け取る場合) 7.3 DTSクラークのコンフィギュレーション DECnetがインストールされているシステムでは,コンフィギュレ ーション中に,DECdtsサーバからの時間をシステムに適用させる かどうかをdcesetupが尋ねてきます。(クライアント・コンフィ ギュレーションの場合など) dtsクラークを実行するようにノー ドが構成されている場合,dcesetupはこの実行に必要なコマンド を実行しません。dtsが起動されたらコマンドを手作業で入力す るか(dtscp set decnet time source true),あるいは,dtsサー バがこのコマンドを正しく実行するようにコンフィギュレーショ ンを修正します。 7.4 HPクライアントに必要なTELNET Daytimeオプション Hewlett-PackardのDCEクライアントは,DCEセルに構成される際 にTELNET daytimeオプションを使用しようとします。Digital UNIXマシン上でセキュリティ・サーバが実行されている場合, Hewlett-Packardクライアントを正しく構成するためにdaytimeオ 4 プションを使用可能にすることが必要です。daytimeオプション を構成するには,次の手順に従ってください。 1. /etc/inetd.confを以下のように編集します。 2. daytimeコンフィギュレーション行の先頭の#文字を削除し ます。たとえば,次のように記述されている場合は, #daytime stream tcp nowait root internal daytime #daytime dgram udp wait root internal daytime 以下のように変更する必要があります。 daytime stream tcp nowait root internal daytime daytime dgram udp wait root internal daytime 3. inetdを停止させ,再起動します。 /sbin/init.d/inetd stop /sbin/init.d/inetd start 7.5 IPアドレスの変更 ホストのアドレスを変更する場合には,まず次の手順に従って変 更の準備を行うことが必要です。 1. ローカル・システムにルートとしてログインします。 2. DCEを起動します(dcesetup start)。 3. cell_adminとしてdce_loginを実行します。 4. システムがセキュリティ・サーバの場合には,次のよう にcdscpコマンドを入力します。 # cdscp remove obj /.:/subsys/dce/sec/master CDS_Towers rpc_bindingエラーが報告されるかもしれませんが,これは 正常な動作です。 5. DCEをクリーンします(dcesetup clean)。 6. システムがセキュリティ・サーバの場合には,次のファイ ルを編集します。 /opt/dcelocal/etc/security/pe_site 5 古いIPアドレスを新しいものと置換します。 7. ホスト・アドレスを変更してリブートします。 8. dcesetup stopコマンドでシステムを終了します。 9. システムがセキュリティ・サーバまたはCDSサーバの場合 は,/opt/dcelocal/bin/dcedデーモンを起動します。 10.システムがセキュリティ・サーバの場合は,次のように実 行します。 o setenv BIND_PE_SITE 1 o 以下のデーモンを起動します。 /opt/dcelocal/bin/cdsadv /opt/dcelocal/bin/secd 11.システムがCDSサーバの場合,まだ起動していなければ次の デーモンを起動します。 o /opt/dcelocal/bin/cdsadv o /opt/dcelocal/bin/cdsd o /opt/dcelocal/bin/gdad サーバがアドレスを更新するのに約2分かかります。pc_ns_ binding_unexportエラーは後で修正されます。 12.DCEを終了します(dcesetup stop)。 13.DCEを起動します(dcesetup start)。 14.cell_adminとしてdce_loginを実行します(dce_login cell_ admin)。 15./opt/dcelocal/dce_cf.dbからホスト名を取得し(hostname hosts/の後の文字列がホスト名です),次のrpccpコマンド を入力します。$HOSTNAMEはホスト名と置換します。 # Export the DFS endpoint mapper host binding rpccp unexport -i e1af8308-5d1f-11c9-91a4-08002b14a0fa,3.0 \ /.:/hosts/$HOSTNAME/self rpccp export -i e1af8308-5d1f-11c9-91a4-08002b14a0fa,3.0 \ -b ncadg_ip_udp:'[135]' \ /.:/hosts/$HOSTNAME/self 16.CDSサーバから作業している場合には,ネーム空間から古い アドレスが削除されるのに,少し時間がかかります。 6 17.システムがCDSサーバの場合は,同じLAN上になく,かつCDS サーバの位置を手作業で構成したクライアント・システム は,古い位置をクリアし新しい位置を追加する必要があり ます。 7.6 コンフィギュレーション時の他社のCDSレプリカとの相互運用性 Digital DCE V2.0上にCDSマスタ・レプリカを持つセルがあり, 他社のマシンにCDSレプリカを作成したい場合は,dcesetupの次 のような質問に対してyと答える必要があることがあります。 Will there be any DCE pre-R1.1 CDS servers in this cell? (y\n\?) 他のDCEベンダは省略時の設定でCDS_DirectoryVersion 4.0を サポートしていない場合があるので,yと答えることにより, CDS_DirectoryVersion 3.0を使用してDigital DCE V2.0のcdsdを 起動し,他社のCDSレプリカをDigital DCE V2.0のセルに構成で きるようにします。 ___________________________________________________________ 8 DCEのアプリケーション開発 以降の各項では,DCEのアプリケーション開発に関する注意事項 について説明します。 8.1 privacy保護 この製品は,privacyキットをインストールしないとprivacy保護 をサポートしません。privacyキットは,米国の輸出規制により 日本では使用できません。これは,次のルーチンに影響します。 o GSSAPI gss_sealでデータの暗号化を要求すると,そのデータは完 全性だけが保護されます。 o rpc rpc_c_protect_level_pkt_privacyを使用すると,エラーが 返されます。 7 8.2 XDSプログラミング XDSインタフェースに対するプログラミングを行い,xdscds.hフ ァイルをインクルードする場合は,-std1スイッチを使用してソ ース・モジュールをコンパイルしなければなりません。-std1ス イッチを指定してコンパイルしないと,XDSへの呼び出しでDS_E_ BAD_SESSIONエラーが返されます。 8.3 GSSAPIとKerberosとの相互運用性 Kerberos (mech -type定数GSSDCE_C_OID_KRBV5_DESにより要求さ れる)を使用する場合,Kerberos Version 5 GSS-API Mechanism というタイトルのIETFインターネット・ドラフトに指定されてい るプロトコルが使用されます。この文書は,インターネット・リ ポジトリからdraft-ietf-cat-kerb5gss-01.txtとして入手できま す。 8.4 拡張登録簿属性(ERA)の制限 o メンバ属性への属性セット拡張は,属性ルックアップでは 行われません。 o 更新トリガはインプリメントされていません。スキーマ・ エントリのtrig_typeおよびtrig_bindingフィールドは更新 するように設定できますが,その設定は無視されます。 o use_defaultsメカニズムはインプリメントされていませ ん。 o スキーマ・エントリのunique flagは,現在,属性更新の一 意性を保証していません。 o intercell_actionフラグは,現在,無視されます。常に拒 否するように設定されます。 o 拡張属性をポリシ・オブジェクトに結び付けることはでき ません。 o sec_attr_trig_update,sec_rgy_attr_get_effective,お よび sec_rgy_attr_test_and_updateの呼び出しは,インプリメ ントされていません。 8 o sec_rgy_attr_delete呼び出しを使用して多値属性の特定の インスタンスを削除することはできません。この呼び出し は,指定された属性タイプのすべてのインスタンスを削除 します。入力sec_attr_tのattr_valueフィールドは無視さ れます。属性インスタンスを削除するこのインタフェース が,多値属性タイプの個々のインスタンスの削除を可能に することに注意してください。多値属性の特定のインスタ ンスを削除するには,sec_rgy_attr_update呼び出しを使用 してください。 8.5 pthread_onceルーチン pthread_onceルーチン内部からDCE APIを呼び出してはなりませ ん。デッドロックの原因となります。 8.6 ガーベッジ・コレクション C++モードでインタフェース定義言語(IDL)を使用すると(-lang cxx),分散オブジェクトに対してガーベッジ・コレクションがサ ポートされます。多数のサーバまたはオブジェクトを使用するク ライアント・アプリケーションに対しては,サーバに対するRPC pingの数を減少させることによってガーベッジ・コレクションの 性能を向上させるように設定するための2つの環境変数がありま す。クライアント・アプリケーションが20を超える異なるサーバ を使用する場合は,アプリケーションを起動する前に,環境変 数RPC_RECLAIM_MAX_SERVERの値をより高い値に設定できます(省 略時の値は20です)。 サーバごとに100を超えるオブジェクトを使用するようなクライ アント・アプリケーションに対しては,アプリケーションを起動 する前に,環境変数RPC_RECLAIM_MAX_OBJECTの値をより高い値に 設定できます(省略時の値は100です)。 通常のアプリケーションでは,提供される省略時の値が適切なは ずです。これらの値を高くすると使用するシステム・リソース (メモリ)が増加します。必要な場合のみ増加させてください。 9 省略時の設定では,分散オブジェクトはクライアントによって5 分ごとにpingされ,1日以上pingされない場合には,サーバによ ってリクレイムされます。この時間間隔は,cxx_reclaim属性をイ ンタフェースに適用することによって調整できます。たとえば, 次のように行います。 [cxx_reclaim(2,20)] interface interface_name { ... } これにより,pingされる間隔は20分間に設定され,2日間の実行 状態後にはじめてオブジェクトがリクレイムされるようになりま す。省略時の設定の[cxx_reclaim(1,5)]の暗黙の属性は,ほとん どの場合に合理的な値になっています。 ガーベッジ・コレクションは,[cxx_reclaim(0,0)]の属性をイン タフェースに適用することによって禁止することもできます。 8.7 RPC接続処理 コネクション指向型のネットワーク・トランスポート・プロトコ ルを使用するDCEサーバ・プロセスは,基盤となるプロトコルを 介する仮想接続が使用できなくなった場合に,タイムリーな警告 を受信しない場合があります。このような状態は,コンテキス ト・ハンドル・ランダウン・ルーチンを指定するアクティブ・コ ンテキスト・ハンドルを初期化するのに以前のRPCが使用された インスタンスで発生することがあります。このようなインスタン スでは,リモート・クライアント・プロセスからの仮想接続が一 方的に切り離された場合(たとえば,クライアント・コンピュー タの電源が切られた場合),基盤となるネットワーク・プロトコ ルはDCEサーバ・プロセスに警告しません。 8.8 RPC_SUPPORTED_PROTSEQS RPC_SUPPORTED_PROTSEQS環境変数は,サポートされていない機 能です。コアDCEデーモンを起動する場合には,RPC_SUPPORTED_ PROTSEQS環境変数は設定しないでください。 10 RPC_SUPPORTED_PROTSEQSを定義した場合,RPC_SUPPORTED_ PROTSEQSの値にncadg_ip_udpおよびncacn_ip_tcpの両方が含 まれていないと,dcesetupプログラムが異常終了することがあり ます。アプリケーションプログラムには,この制限はありませ ん。 ___________________________________________________________ 9 DTS 以降の各項では,DTSに関する注意事項ついて説明します。 9.1 dtscp set server principal nameコマンド dtscp set server principal nameコマンドはサポートされてい ません。 9.2 ネットワーク・クロックの管理 DTSを使用している場合,ローカル・システム時間の変更に は,dtscp dateコマンドではなく,dtscp changeコマンドまた はdtscp updateコマンドを使用します。 また,ntpdやtimedなど,その他のタイム・サービスは実行しな いでください。 9.3 マスタCDSサーバが使用できない場合のdtsdの起動 マスタCDSサーバが使用できない状態でDCEを開始しようとする と,CDSレプリカがあってもdtsdは数分後に異常終了します。 host/のマスタCDSサーバがわかっていて,ルートがし ばらくの間使用できないときは,dtsdの異常終了を防止するため に,CDSレプリカをマスタCDSサーバとして指定してください。 11 9.4 ACLファイル DCEの前のバージョンからホストをアップグレードしている場 合,DTS ACLファイルが/opt/dcelocal/var/adm/time/mgt_aclか ら,/opt/dcelocal/var/adm/time/dtsd.aclにリネームされま す。 9.5 dtscp show decnet time sourceコマンド 本バージョンのdtscp show decnet time sourceコマンドは,属 性をtrueまたはfalseとして示すのではなく,DTSカウンタのすべ てを示します。 この問題は次にリリースされるECOキットで修正される予定で す。このECOキットをインストールするまでは,DECnetの時間ソ ース属性のチェックにはdtscp show allコマンドを使用してくだ さい。 ___________________________________________________________ 10 dcecpコマンド 以降の各項では,dcecpに関する注意事項について説明します。 10.1 ドキュメントに記述されているが使用できないコマンド 次のdcecpコマンドは,今回のリリースでは使用できません。 o host configure o server disable o xattrschema create -trigtype update o cell pingのヘルプ・テキストは正しくありません。 o server stopおよびserver pingは,複数のサーバ・インス タンスが同じインタフェース,オブジェクトUUID,バイン ディングを登録する場合は,ランダムにサーバを選択しま す。 o cellalias set (使用不可) 12 o cdsalias set (使用不可) 10.2 構文の変更 本リリースでは,コマンドに対する次のような変更に注意してく ださい。 o link create -linktoはlink create -toに変更されまし た。 o registry show -replicaコマンドは,新しいフィール ドsupportedversionsを表示します。 o registry show -replicaコマンドは,以前はversion属性を 表示しました。この属性の表示は,registry show -attrコ マンドに移行されました。 o registry delete -onlyコマンドは,registry destroyに変 更されました。registry deleteコマンドはまだ存在します が,-onlyオプションは使用できません。 o registry setコマンドは,registry designateにリネーム されました。setでサポートされていたオプションはすべ てdesignateでも使用できます。 o セルの移行をサポートするためにregistry modify - versionコマンドが追加されました。 10.3 Keytabオブジェクト 第8.1項で説明したように,本バージョンのDCEでは,privacyキ ットをインストールしないとprivacy保護機能が使用できませ ん。ネットワークを介してパスワードがそのまま受け渡しされ ることになるので,dcecp keytabコマンドを使用してリモート のkeytabを管理することは避けてください。 keytabコマンドを使用する場合には,-noprivacyオプションを使 用しなければなりません。keytab(8dce)リファレンス・ページに はこのオプションは記述されていません。 13 10.4 dcecpの新しい動作およびオプション この項では,dcecpコマンドの新しい動作およびオプションにつ いて説明します。 本リリースのdcecpでは,次のオブジェクトが使用できます。 o cds 指定されたホストに関するCDSサーバ情報を管理します。 o cdsclient 指定されたホストに関するCDSクライアント情報を管理しま す。 今回のリリースのdcecpでは,次のコマンドが使用できます。 o cdscache discard 指定されたホストに関するすべてのcdsadv cache情報を廃 棄します。 o cellalias catalog 現在使用中のセル別名の名前を返します。 10.5 dcecpプロンプトでのCTRL/Cの使用 対話型モードでdcecpプロンプトに対して を入力する と,が使用できなくなります。さらに,dcecp終了後の シェル・レベルのエコーを使用不可にし,その他のtty設定をリ セットする場合もあります。 本バージョンでは,dcecpでのの使用は避けてくださ い。 ___________________________________________________________ 11 dcedデーモン 次の項では,dcedデーモンに関する注意事項について説明しま す。 14 11.1 Ep.dbエラー・メッセージのオープンの異常終了 dcedデーモンは,エンドポイント・データベースのチェックポイ ントを定期的に/opt/dcelocal/var/dced/Ep.dbに出力します。フ ァイルの更新中にdcedを強制終了した場合,エンドポイント・デ ータベース・ファイルEp.dbは使用できません。時間的にはこの 状況が発生する期間は非常に短いですが,発生する可能性があり ます。 この問題を修正するには,dced起動時にエラー・メッセージ "Failed opening Ep.db, 0x16c9a0d3"が報告された場合,あるい は/opt/dcelocal/var/dced.logファイルにエラーが記録された場 合に,/opt/dcelocal/var/dced/Ep.dbを一時ファイルにリネーム し,dcesetupを使用してdcedを再起動します。マシンをリブート しない場合は,そのマシンで実行中のすべてのDCEアプリケーシ ョンも再起動させることが必要です。 ___________________________________________________________ 12 ネーミング 以降の各項では,ネーミングに関する注意事項について説明しま す。 12.1 外部セルが再構成された場合の既存の外部セルのバインディン グ ローカル・システムからcdscp show cellコマンドなどを使用し て外部セルを参照する場合,そのルックアップからのバインディ ングは,ローカル・システムのキャッシュに置かれます。外部セ ルが再構成されると,キャッシュされたセルのデータは古くな り,ローカル・セルはそれを検出できなくなります。そのため以 降のcdscp show cellコマンドがハングします。CDSキャッシュか ら不正なデータをなくすには,ローカル・システムでdcesetup cleanコマンドを入力します。 15 12.2 レプリカの削除 CDSレプリカを削除した場合,CDSレプリカまたはCDSマスタとし て実行しているセルの他のシステムで,dcesetup cleanを実行す る必要がある場合があります。これによって,そのシステム上の ローカル・キャッシュがクリアされます。 12.3 cds_attributes インストール時に,ファイル/opt/dcelocal/etc/cds_attributes (または/opt/dce/etc/cds_attributes)がすでに存在している場 合には,ファイルは cds_attributes.savにリネームされ,新しいcds_attributesファ イルがインストールされます。リネームしたファイルにオブジェ クト識別子を追加してある場合は,2つのファイルを手作業でマ ージすることが必要です。 12.4 ACLファイル 前のバージョンのDCEがインストールされているホストをアップ グレードしている場合,ネーミングACLは次のようにリネームさ れます。 変更前: /opt/dcelocal/var/directory/cds/server_mgmt_acl.dat 変更後: /opt/dcelocal/var/directory/cds/server_mgmt_acl_ v1.dat 変更前: /opt/dcelocal/var/directory/cds/gda_mgmt_acl.dat 変更後: /opt/dcelocal/var/directory/cds/gda_mgmt_acl_v1.dat 変更前: /opt/dcelocal/var/adm/directory/cds/clerk_mgmt_ acl.dat 16 変更後: /opt/dcelocal/var/adm/directory/cds/clerk_mgmt_acl_ v1.dat 12.5 他社のOSF DCE R1.1ベースの製品との相互運用性に関するコン フィギュレーション上の問題 Digital DCE V2.0のCDSサーバと他社のOSF DCEリリース1.1ベー スのCDSサーバの両方をセルに構成する場合,コンフィギュレー ション時に相互運用性に関する問題が生じることがあります。こ の問題は,セル・ルート・ディレクトリのマスタ・レプリカが Digital DCE V2.0のCDSサーバにあり,セル・ルート・ディレク トリのCDS_DirectoryVersion属性値がすでに4.0である場合に発 生します。この場合には,次のようなメッセージを受け取り,他 社のCDSサーバ・マシンの上にCDSレプリカを追加できない可能性 があります。 Old replica cannot be included in new replica set (dce \ cds) この問題に対する解決策として,次のようなものが考えられま す。 o 他のベンダのシステムからセルを作成し,Digital DCE V2.0 CDSサーバをレプリカとして追加します。 o Digital DCE V2.0のマシン上にCDSマスタ・レプリカを作成 するには,新しいセル作成時にdcesetupによって表示され る次の問いに対してyと答えてください。 Will there be any DCE pre-R1.1 CDS servers in this cell? (y\n\?) この結果,セル・ルート・ディレクトリのCDS_DirectoryVersion はバージョン3.0で起動され,Transarc DCE Release 1.1 for Solaris 2.4を構成できるようになります。セル・エ リアス化,階層化セル,委譲ACLなどの,R1.1ベースのCDS の新しい機能を使用するためのは,次のコマンドを使用し て,セル・ルート・ディレクトリでCDS_DirectoryVersion を4.0にアップグレードする必要があります。 dcecp -c directory modify /.: -upgrade 17 12.6 cdscpによるバックスラッシュ(\)継続文字の処理 長いコマンド行を次の行に続けるには,まずスペースを入力して 行末にバックスラッシュ(\)を入力すると2つ目のプロンプトが表 示される旨cdscpのリファレンス・ページに記述されています。 ただし,本リリースでは,この機能は使用できません(本リリー スでこの機能を使用するとcdscpが使用できない状態になる原因 になります)。この問題は,将来のリリースで修正される予定で す。解決策としては,対応するdcecpコマンドを使用する方法が あります。 12.7 クリアリングハウス作成直後の一時的な異常 クリアリングハウスを作成したすぐ後にそのクリアリングハウス を表示すると,次のような情報が返されます。 show clearinghouse /.../abc_cell/abc_ch SHOW CLEARINGHOUSE /.../abc_cell/abc_ ch AT 1996-01-10-11:25:31 CDS_CTS = 1996-01-10-16:25:28.340624100/08-00-2b-bc-bb-92 CDS_UTS = 1996-01-10-16:25:28.693937300/08-00-2b-bc-bb-92 CDS_ObjectUUID = 7f11c5e0-4b6b-11cf-bef1-08002bbcbb92 CDS_AllUpTo = 0 CDS_DirectoryVersion = 3.0 CDS_CHName = /.../abc_cell/abc_ch CDS_CHLastAddress = CDS_CHState = on CDS_CHDirectories = : UUID of Directory = a1122d81-4b69-11cf-bef1-08002bbcbb92 Name of Directory = /.../abc_cell CDS_ReplicaVersion = 3.0 CDS_NSCellname = /.../abc_cell Empty set. (dce / cds) Empty set. (dce / cds) CDS_CHLastAddressとclearinghouse countersは空になっていま す。これは無害な一時的な状態で,サーバがそのクリアリングハ ウスでバックグランド・パスを実行したあと解決されます。 18 12.8 LAN上でCDSサーバを見つけることができない場合 DCEクライアントを構成する際,CDSサーバの検索はLAN上(および それが処理するセル)で行われます。CDSサーバが起動され実行さ れているのにそのサーバ・セルがリストに表示されないのは,次 の原因が考えられます。 dcesetupコマンドは,getcellsと呼ばれるユーティリティ・プロ グラムを使用しますが,これはユーザによって直接実行されるよ うにはなっていません。サーバ実行中に,CDSサーバ・マシンで だれかがgetcellsを実行すると,RPCエンドポイント・マッパの 特定のエンドポイントに重ね書きすることになり,予期される DCEクライアント・マシンからのCDS勧誘メッセージをCDSサーバ が受信できないという結果になります。この問題の解決策として は,CDSサーバ・マシンで(ルートとして)次の処理を行います。 CDS のシャットダウン: cdscp disable server cdscp disable clerk CDS の再起動: /opt/dcelocal/bin/cdsadv /opt/dcelocal/bin/cdsd 12.9 CDSソフト・リンクに関する注意事項 ソフト・リンクが作成された場合,そのCDS_LinkTarget属性はネ ーム空間の別のエントリをポイントします。そのエントリがディ レクトリの場合,次の2つは本来同じ情報を返します。 dcecp -c directory show dcecp -c directory show 今回のリリースにはCDSに問題があり,上記の2番目のコマンドを 実行すると,リンクにしたがって最終的なターゲットを表示する のではなく,"要求したエントリは存在していません"いうメッセ ージが返されます。 19 13___セキュリティ__________________________________________ 以降の各項では,キュリティに関する注意事項について説明しま す。 13.1 -non_sharedでリンクされたアプリケーションでのDCE SIAの使 用 システムでDCE SIAが使用可能な場合,静的にリンクされた アプリケーション(-non_shared修飾子でリンクされたアプリ ケーション)の使用には,次の2つの制限が適用されます。1つ は,静的にリンクされたアプリケーションから呼び出される UNIXのセキュリティ機能は,DCEをバイパスすることです。た とえば,getpwent()への呼び出しは,DCE登録簿ではなくetc /passwdからのエントリを返します。 もう1つは,DCE SIAは,Digital UNIX V4.0より前のバージョン で作成され,静的にリンクされたアプリケーションとのバイナリ 互換性を認めないことです。この制限は,loginやgetpwent()な どのUNIXのセキュリティ機能を使用するアプリケーションの場合 に特にあてはまります。このようなアプリケーションは,現在の バージョンのオペレーティング・システムでコンパイルし直さな ければなりません。 _______________________ 注意 _______________________ 実行可能イメージが-non_shared修飾子で作成されている かどうかの判断には,fileコマンドが使用できます。 _____________________________________________________ 13.2 Basic X Environmentがインストールされていない場合のDCE SIAの切り替え DCE SIAのコンフィギュレーション・スクリプトは,/usr/var /X11/xdm/xdm-configが存在することを前提としています。Basic X Environmentをインストールしておくか,または別の方法でこ のファイルを作成しなければなりません。 20 13.3 パスワード管理サーバ privacy保護が使用できないため,本リリースではパスワード管 理サーバは提供されません。 13.4 レプリカの削除 セキュリティ・レプリカを削除した後,セキュリティ・レプリカ またはセキュリティ・マスタとして実行しているセルにある他の システムでdcesetup cleanを実行する必要があります。これによ って,そのシステム上のローカル・キャッシュがクリアされま す。 13.5 passwd_exportで作成したローカル・アカウントの削除 passwd_exportを使用してDCEアカウントを/etc/passwdに退避 する場合は,removeuserを使用してローカル・システム登録簿 からアカウントを削除する際に特に注意してください。新しい DCEアカウントの省略時のホーム・ディレクトリは,/usr/users /account_nameではなく,スラッシュ(/)です。rgy_editを使用す れば,この省略時の設定を変更できます。アカウントを削除す る際,アカウントのホーム・ディレクトリを削除するかどうか をremoveuserが聞いてきます。このとき,スラッシュ(/)を削除 しないように,この質問に対してnと答えてください。 13.6 chpass機能 DCE for Digital UNIXは,chpassをインプリメントしません。 この代わりに,DCE SIAが使用可能な場合は,rgy_edit,また は,passwd,chshおよびchfnコマンドが使用できます。chpassコ マンドについての詳細は,『DCE for Digital UNIXプロダクト・ ガイド』の第3章を参照してください。 21 13.7 アカウント有効期限ポリシ セル全体のアカウント有効期限ポリシは,省略時の設定であ るforever以外には設定しないでください。この値は,DCEホスト とサーバ・アカウントを含めたセル内のすべてのアカウントの有 効期限となります。アカウントの有効期限が切れると,セルは使 用できなくなります。これが修正されるまで,アカウント有効期 限ポリシは,事実上,セルの有効期間を制限します。dce-rgyな どのキー・アカウントが期限切れであったり使用不可状態のた めにセル・マスタが再起動できない場合は,locksmithモード でsecdを起動し,rgy_editを使用してセル全体のアカウント有効 期限ポリシをforeverに再設定します。 13.8 passwd_exportは/etc/passwdのリハッシュを行わない Digital UNIXでは,ユーザ・アカウント・データベース/etc /passwdを変更すると,通常,システム内部のハッシュ・バー ジョンに通知されます。adduserおよびpasswdなどのコマンド は,/etc/passwdの変更を自動的に通知します。 passwd_exportユーティリティを使用して登録簿アカウントを /etc/passwdにエクスポートした場合,ユーティリティは変更の 通知を行いません。passwd_exportを実行した後は,mkpasswdユ ーティリティを使用して手動でリハッシュを行うことができま す。詳細については,関連するリファレンス・ページを参照して ください。 13.9 passwd_exportを使用する場合 の/opt/dcelocal/etc/passwd_overrideでのパスワード の使用 passwd_exportユーティリティは,passwd_overrideエントリのパ スワード・フィールドを/etc/passwdのアカウント・エントリへ 書き込みます。使用中のシステムでpasswd_exportを実行し/etc /passwdおよびpasswd_overrideの両方に存在するアカウントのパ スワード変更を実行することが予想される場合は,passwdを2回 実行してそれぞれのパスワードを変更しなければなりません。 22 13.10 新しいアカウントの追加に必要な許可 『OSF DCE管理者ガイド-基本サービス編』のセキュリティ・サー ビスの部分には,新しく作成されるアカウントに対する許可が正 しく記述されていません。正しい許可は次のとおりです。 アカウントで指定されたプリンシパル: rmaug アカウントで指定されたグループ: tm アカウントで指定されたオーガニゼーション: tm 登録ポリシ・オブジェクト: r 13.11 DCE V1.0.3からV1.1へのレプリカの移行 1つ以上のレプリカがDCE V1.0.3を実行していても,セル・セキ ュリティ登録簿をDCE V1.0.3からV1.1に移行できます。この場 合,V1.0.3のレプリカは,シャットダウンするように指示される だけです。ただし,バインディングはCDSネーム空間の/.:/secグ ループの中に残り,この結果,誤ったバインディングが発生する 可能性があります。この方法で移行したセルのバインディング は,手動で削除してください。 13.12 委譲に関する制限 委譲チェーン内の委譲はすべて,委譲イニシエータとして同 じセルから始まっていなければなりません。委譲される身元 (identity)を外部セルに伝達することはできますが,外部セルで 委譲チェーンを継続することはできません。 13.13 拡張登録簿属性(ERA制限) 外部セルからのチケット要求で返された証明書は,ERAを含みま せん。OSF DCEバージョン1.1では,特権サーバは,外部セルによ り要求された証明書のERAを削除します。 23 13.14 /usr/examples/dce/pwd_mgmtで提供されるpwd_strengthd 本リリースのDCEは,RPCパケットの暗号化(およびパケット privacy)をサポートしません。したがって,パスワードを平 文で送信しないように暗号化を必要とするという点で,pwd_ strengthdの有用性が制限されています。このため,pwd_ strengthdバイナリは提供されません。ソース・コードは, exampleディレクトリにあります。 13.15 Password Strengthサーバに関する注意事項 『OSF DCE管理者ガイド-基本サービス編』の30.6.3項に, Password Strengthサーバ属性を持つプリンシパルの作成方 法が記載してありますが,これは正しくありません。この時点で はこれ以上の情報は入手できません。 13.16 gss_accept_sec_context()およびログイン・コンテキスト サーバ・アプリケーションがgss_accept_sec_contextを呼び出し クライアント名を要求する際,GSSAPIランタイムは,セキュリ ティ・コンテキストを開始するログイン・コンテキスト(GSS_C_ ACCEPT証明書)を必要とします。gss_accept_sec_contextはセキ ュリティ・コンテキストを作成できます。ただし,このコンテキ ストはキャッシュされるだけで,リフレッシュされません。 サーバ・コードを使用する場合には,次の解決策を適用すること をお勧めします。 o クライアント名を要求しない。 サーバがDCE ACLを使用している場合は,アクセス制御を実 行するのにクライアント名は不要です。(監査などのため に)後でクライアント名が必要になる場合は,アプリケーシ ョンは,自分自身のログイン・コンテキスト管理を使用し てこの変換を行うことができます。 o gss_accept_sec_contextごとに新しい証明書を1つ使用す る。 24 新しい証明書はキャッシュに書き込まれたログイン・コン テキストを持たないため,gss_accept_sec_contextがそれ を作成することになります。 o Kerberosメカニズムを使用する。 このメカニズムは,認証トークンでのクライアント名を転 送するため,登録簿の変換は不要です。ただし,サーバは この方法ではクライアントのPACを取得できません。 13.17 gss_accept_sec_context()による証明書のリフレッシュに関す る問題 gss_accept_sec_context()の省略可能な引数src_nameは,イ ニシエータのプリンシパル名を返します。src_nameが要求され て,verifier_cred_handleがACCEPTタイプの証明書をポイントす る場合は,その結果発生したログイン・コンテキストは自動的 にはリフレッシュされません。この問題に対する解決策として は,src_name引数に対して常にNULLを渡す方法があります。ほと んどのアプリケーションはこの制限の影響を受けません。アクセ ス制御にDCE ACLを使用している場合は,クライアント名は不要 です。 13.18 OSFからのセキュリティ・コンポーネント・パッチの取り込み 今回のリリースには,1.1 Maintenance ReleaseでOSFから提供さ れた多数のセキュリティ・コンポーネント・パッチが含まれてい ます。このパッチには,簡単なバグを修正するためのオプショ ン・パッチだけでなく,ハイレベルなバグやミディアム・レベル のバグに対するすべてのパッチが含まれています。OSFで認識し ている特殊なバグ修正がこのパッチに含まれているかどうかにつ いては,Digitalのカスタマ・サービス・センターにお問い合わ せください。 25 13.19 マンページに関する注意事項 本リリースで提供するマンページには,次の問題があります。 o dce_attr_sch_aclmgr_stringsのマンページは提供されてい ません。 o sec_login_become_impersonatorのマンページには,引数 についての説明がありません。正しい引数リストは,dce /sec_login.hのプロトタイプ定義を参照してください。 o sec_audit_eventsのマンページには,誤ったイベント値が 記述されています。イベントERA_LookupByNameは,0x130と 定義されます。 13.20 登録簿カーソルを使用した場合のトランザクション・セマンテ ィクスの不足 アプリケーションが登録簿データベースのスナップショット を取得することはできません。したがって,アプリケーション がsec_rgy_pgo_get_next()ルーチンを使用して有効な登録簿項 目を取得しても,項目が登録簿データベースから削除されてしま えば参照カーソルの有効性はなくなります。 13.21 監査デーモンの起動とDCE監査デーモンのマンページへのアク セス DCEで提供されているauditdイメージと,拡張セキュリティ用の OSFBASEで提供されているauditdイメージ(/usr/sbin/auditd)と の間には,ネーミングの矛盾があります。 dcesetupでDCE監査デーモンを起動するには,Configureを選択 し,Modify DCE cell configurationを選択してから,Enable Auditingを選択します。これによって,DCE監査デーモン/opt /dcelocal/bin/auditdが起動されます。 DCE監査デーモンのマンページにアクセスするには,次のコマン ドを入力します。 % man 8sec auditd 26 13.22 sec_login*ルーチンにおけるメモリ・リーク sec_login_purge_context()ルーチンは,ログイン・コンテキス トに関連したすべてのメモリを解放することになっていますが, 実際は解放しません。仮想メモリのサイズが大きくなりすぎてい る場合は,sec_login_purge_context()を呼び出すアプリケーシ ョンを定期的に再起動しなければならない可能性があります。 ___________________________________________________________ 14 セル別名に関する制限事項 o dcecpコマンドcellalias setは使用できません。 別のセル名を作成したい場合は,dcecpコマンドcellalias createを使用してください。このコマンドは,一次セル名 を変更せずにセル別名を作成します。 o セル別名は,セル境界を超えて自動的に通知されることは ありません。グローバル・ディレクトリ・サービスおよび 外部登録簿にセルが登録されない限り,セル別名はそのセ ル内でのみ認識されます。 o OSF DCE V1.0.xベースのクライアントがセルに含まれ ている場合は,セル別名の作成は失敗します。dcecp cellaliasスクリプトは,DCEホスト・デーモン(dced)と 接続して,すべてのセル・メンバ・ホストを更新しようと します。このスクリプトがエラー(V1.0.xをベースにしたク ライアントでの異常終了など)を検出すると,セル全体に対 する別名作成のオペレーションを無効にします。 o 推移的信頼関係の確認は,ターゲット・プリンシパルのパ ス名を使用して行われます。別名を示す信頼パスがある場 合にのみ,そのセル別名に対する推移的信頼関係の確立が 成功します。 o ローカルの特権サーバの別名へのチケット要求は,外部セ ル要求として処理されます。OSF DCEバージョン1.1では, 特権サーバは,外部セルにより要求された証明書のERAを削 除します。したがって,別名に対するチケット要求によっ て返された証明書は,ERAを含みません。 次のような場合に制限が生じます。 1. old_cellを作成する。 27 2. old_cellの別名としてnew_cellを追加する。 3. /.../old_cell/としてdce_loginを実行する。 4. アプリケーション・サービス/.../new_cell/に 対して証明書を要求する。 /.../new_cell/に返される証明書は,ERAを含み ません。特権サーバは,/.../new_cellへの要求を,/... /old_cellから/.../new_cellへのインターセル要求として 処理し,プリンシパルに付加されているERAをすべて削除し ます。 ___________________________________________________________ 15 階層化セルおよび推移的信頼関係 推移的信頼関係は自動的に確立されることを意図していますが, 実際には,マルチ・セルに関係するそれぞれのホストの登録簿に さまざまなセル・プリンシパルを事前に登録することが必要で す。この作業は管理者が手動で行います。 この項では,『OSF DCE管理者ガイド-基本サービス編』に記述さ れているセルの階層構造とマルチ・セルの信頼関係に関連する情 報を補足して説明しています。 セルのリネーム機能は使えません。したがって,既存のセルを階 層の一部にできるのは,セル名が階層構造の位置を表すように作 成されている場合のみです。 これらの制限によるマルチ・セル環境の構成と管理に対する影響 は,セルの階層構造を作成するための改訂された管理オペレーシ ョンの記述に最もよく説明されています。次に示すようなセル階 層構造を考えてみてください。 A | B 親と子は両方ともR1.1をベースにしていなければならないことに 注意してください。 28 このような階層構造を作成する手順は次のとおりです。 1. グローバル名で親セルを構成し,グローバル・ディレクト リ・サービスに登録します。次に例を示します。 /.../majik_cell.dpe.lkg.dec.com 2. 親の名前と連結したセル名で子セルを構成します。次に例 を示します。 /.../majik_cell.dpe.lkg.dec.com/dce007_cell 3. 子セルのルート・ディレクトリのバージョンが4.0であるこ とを確実にするために,子セルで次のコマンドを入力しま す。 dce_login cell_admin dcecp -c directory modify /.: -upgrade ルート・ディレクトリのCDS_DirectoryVersionは4.0になっ ているはずです。次のコマンドを使用してこれを確認しま す。 dcecp -c dir show /.: 4. 親からの子へのネーム空間アクセスを設定します。親セル で,次のコマンドを入力します。 cdscp define cached server tower 5. 親と子の間に明示的なセル間信頼を設定します。親セル で,次のコマンドを入力します。 dcecp> registry connect /.../majik_cell.dpe.lkg.dec.com/dce007_cell\ -facct \ -facctpwd \ -fgroup \ -forg \ -group \ -org \ -mypwd \ -expdate 29 6. 現在の子セルの名前を一次別名として認識させます。子セ ルで,次のコマンドを入力します。 dcecp -c cdsalias create /.../dce007_cell dcecp -c cdsalias delete /.../dce007_cell 7. ルート・ディレクトリのACLを変更します。親セルで,次の コマンドを入力します。 dcecp> acl modify /.: -add \ {foreign_group /.../majik_cell.dpe.lkg.dec.com/dce007_cell/subsys/dce/cds- server r--t-i-} 8. 親セルのネーム空間で子セルを親と接続します。子セル で,次のコマンドを入力します。 dcecp -c cdsalias connect 9. 接続が成功したかどうかをテストします。親セルで,次の コマンドを入力します。 dcecp -c dir synchronize /.: dcecp -c dir show /.:/dce007_cell 手順6で明示的に直接的信頼関係が確立されたので,親子間のプ リンシパルは,推移的信頼関係が確立されなくても互いに認証で きます。ただし,推移的信頼関係が必要な次のようなマルチ・セ ルの例を考えてみてください。 A-C A | / \ B B C 最初の例では,AはCのピア・セルで,両方ともDNSネーム空間に 登録されています。2つめの例では,上記の手順を再度行い,別 の子セルCを作成しています。これら両方の場合に関して,セ ルBおよびC間で推移的信頼関係がどのように確立されるかを次に 示します。 まず,直接的信頼関係を『DCE管理者ガイド』に記述されている とおりに確立しなければなりません。直接的信頼関係を確立する コマンドは,各セルに外部セルのためのプリンシパルを設定する ことに注意してください。これについては,『OSF DCE管理者ガ イド』の「マルチ・セル環境の管理」の章を参照してください。 30 推移的信頼関係を確立するには,もとのセルのセル・プリンシパ ルが,ターゲット・セルとすべての中間セルにそのセル・プリン シパルを登録しなければなりません。プリンシパルのUUIDが,各 セルで一貫して登録されることを確認してください。この管理作 業については,ドキュメントには記述されていません。 これらの規則が実際にはどのように生じるかを示す簡単な例を示 します。次に示すマルチ・セル関係では,直接的信頼関係を確立 した結果,セル登録簿に次のセル・プリンシパルを含んでいま す。 A krbtgt/B C krbtgt/A krbtgt/C B krbtgt/A 推移的信頼関係を使用してCを認証するBのプリンシパルに関して は,Cはその登録簿にkrbtgt/Bプリンシパルを持っていなければ なりません。それぞれのセルで必要なプリンシパルは,次のよう になります。 A krbtgt/B C krbtgt/A krbtgt/C krbtgt/B B krbtgt/A Cに必要な新しいプリンシパルを登録する最も簡単な方法は,セ ルAでkrbtgt/Bプリンシパルの属性データを表示し,これから UUIDを取り出し,セルCでkrbtgt/Bのdcecp principal createに これを適用することです。同様に,2つめのマルチ・セルの例で は,Cを認証するBのプリンシパルのために,セルCはその登録簿 にBセル・プリンシパルを持っていなければなりません。 上記のセルの登録規則は,複雑な階層化セル用に分岐していま す。ソース・セルがターゲットに登録されているだけなく,すべ ての中間のセルにも登録されていなければなりません。次のセ ル・トポロジを考えてみてください。 A--X / \ B C 31 セルCを認証するセルBのプリンシパルに関しては,Bセル・ プリンシパルはAとCに登録されていなければなりません。ま た,BはXにも登録されていなければなりません。 ___________________________________________________________ 16 DCE分散ファイル・サービスV2.0に関する注意事項 以降の各項では,DCE分散ファイル・サービス(DFS)に関する注意 事項について説明します。 16.1 既存のDigital DFS V1.3およびDFS T2.0 FLDBのアップグレード ディスク上のファイルセット位置データベース(FLDB)の形式は V2.0で変更になり,他社のDFS FLDB形式と一貫性を持つように なりました。これによって,1つのセル内に複数のベンダの複製 FLDBサーバが存在できるようになりました。 既存のDFSセル・コンフィギュレーションを残してDigital DFS V1.3またはDFS T2.0をアップグレードする場合は,既存のFLDBを V2.0の新しい形式に移行しなければなりません。移行を実行する ためのシェル・スクリプトが用意されています。 32 _______________________ 注意 _______________________ ご使用のセルのFLDBサーバがDigital DFS V1.3またはDFS T2.0以外のDFS製品を実行している場合,あるいはDigital DFS V2.0をインストールした後にDFSを再構成した場合 は,FLDBを移行する必要はありません。 既存のV1.3またはT2.0 FLDBを残して,セルのFLDBサー バ・マシンをDigital DFS V2.0にアップグレードする場合 は,次の手順に従ってください。 1. 1つのセルに複数のFLDBサーバがある場合(つまり,複 製FLDBを実行している場合),セルのコンフィギュレ ーションから1つだけサーバを残してすべてを削除し ます。セル内のFLDBサーバのリストを取得するには, 次のコマンドを実行します。 % rpccp show group /.:/fs 通常は1つだけです。 2. setldコマンドを使用して,既存のT2.0(またはそれ以 前の) DCEおよびDFSサブセットを削除します。サブセ ットの削除については,『Digital UNIXシステム管理 ガイド』を参照してください。 3. Digital UNIX V4.0(またはそれ以上)にアップグレ ードします。詳細については,Digital UNIX V4.0の 『インストレーション・ガイド』および『リリース・ ノート』を参照してください。 4. V2.0のDCEおよびDFSのサブセットをインストールしま す。DFSユーティリティのサブセットDCEDFSUTL200は 必ずインストールしてください。詳細については, 『インストレーション/コンフィギュレーション・ガ イド』を参照してください。 5. UNIXカーネルを再構築します。Distributed File Systemカーネル・オプションは必ず選択してくださ い。 6. システムをリブートします。DCEとDFSは自動的にリブ ートを開始しますが,FLDBの形式が正しくないため, DFSファイルセットは使用できません。 7. ルートとしてログインして,DCE cell_adminとし てdce_loginを実行します。 33 8. 次のコマンドを実行して,FLDBをV2.0の新しい形式に 移行します。 % sh /opt/dcelocal/bin/flmigrate.sh flmigrateスクリプトは特にユーザ入力を必要とせ ず,成功したか失敗したかを通知してきます。処理が 成功しなかった場合,スクリプトはもとのFLDBを置換 し,V2.0以前のFLDB形式を理解するflserverプロセス を開始します。 _____________________________________________________ 16.2 認証リモート・ログインに関する注意事項 DCE DFS V2.0に含まれているNFS/DFSゲートウェイは,リモート ではユーザ自身を認証できません。dfs_login,dfs_logout,お よびdfsgwdは,まだ完全には機能しません。ただし,NFSユーザ は,ゲートウェイ・ホストで実行するdfsgwユーティリティを使 用して,DCE DFSネーム空間への認証アクセスを実行できます。 このユーティリティの詳細については,dfsgw(8)を参照してくだ さい。 16.3 Digital UNIX V4.0 ACLのサポートに関する制限事項 Digital UNIX V4.0では,ファイル・システムのデータに対して アクセス制御リスト(ACL)をサポートしています。DCE DFS V2.0 では,ACLによるファイルおよびディレクトリに対するアクセ ス・チェックをサポートしています。ただし今回のリリースで は,DCEまたはDCE DFSパス名を使用したファイルまたはディレク トリのACLの表示や修正はサポートしていません。ファイルまた はディレクトリのACLの表示あるいは修正には,ローカル・パス 名とオペレーティング・システムのsetaclおよびgetaclコマンド を使用してください。 34 16.4 DFSのメッセージ DCE DFSサーバのリブート後またはコンフィギュレーション後 に,次の情報メッセージが表示されます。 DFS: THE FX SERVER 16.141.112.44 IN CELL QA1_CELL IS TEMPORARILY IN TSR MODE 数分後,DCE DFSサーバはトークン状態リカバリ(TSR)モードを自 動的に終了し,正常に機能し始めます。このメッセージは,DCE DFSサーバのリブートおよびコンフィギュレーション後に表示さ れることになっています。 16.5 dfコマンド dfコマンドをDCE DFSファイル・システムに対して実行すると定 数値を返します。 Filesystem 512-blocks Used Avail Capacity Mounted on DCE File System 18000000 0 1800000 0% /... -kフラグを指定した場合はキロバイトで値が表示されます。 ファイルはDCE DFSネーム空間内で割り当てられますが,現在の アーキテクチャでは,ネーム空間内で容量や使用量を適切に見積 もることはできません。 16.6 DCE DFSがENOSPCを正しく返さない問題 DCE DFSはENOSPCを正しく返しません。DCE DFSクライアント・コ ードは,DCE DFSによってエクスポートされたUFSファイル・シス テムに対してアプリケーションが100%の容量を超えて書き込みを 行うことを許可しています。アプリケーションは,エラーを生成 せずに容量の111%まで書き込むことができます。ただし,ファイ ルの書き込みは不完全に終ります。 35 16.7 シャットダウンまたはリブート時のシステム・ハングまたはパ ニックの可能性 DCE DFSデーモンdfsdまたはfxdの実行後に,shutdownまた はrebootコマンドを入力すると,システムがハングまたはパ ニックを起こす原因となります。システムがハングした場合は, ハード・リセット・ボタンを押してコンソール・モードに戻り, システムをリブートしてください。 16.8 DCE RPCデータprivacy DCE RPCデータprivacyは,DCE DFSの今回のバージョンではサポ ートされていません。 16.9 DCE DFSマウント・ポイントを正しくリストアできないコマンド リカバリにローカルのファイル・システムが使用されている場合 は,cp -[rR],tar, cpio,pax,restore,およびvrestoreコマンドはDCE DFSマウン ト・ポイントを正しくリストアできません。この問題を回避する には,DCE DFSネーム空間(/:/pathなど)でマウント・ポイントを リストアしてください。 16.10 メモリ・マップ・ファイルに対しては完全にはインプリメント されていないシングル・サイト・セマンティクス DCE DFS V2.0は,メモリ・マップされたファイルに対するシング ル・サイト・セマンティクスを完全にはインプリメントしていま せん。書き込みのためにオープンされたファイルがクライアント Aでメモリ・マップされ,同じファイルをクライアントBが読み取 った場合,クライアントBは,クライアントAによるメモリへの最 新の書き込みを参照しない場合があります。 36 16.11 DCE DFSによるスペシャル・デバイスの作成およびアクセスに 関する制限事項 DCE DFS V2.0は,スペシャル・デバイスの作成およびアクセスの ための機能はサポートしていません。スペシャル・デバイスを 作成しようとすると,mknodシステム・コールはエラー状態を返 し,errno状態をEINVALに設定します。既存のスペシャル・デバ イスにアクセスしようとすると,creatまたはopenシステム・コ ールはエラー状態を返し,errnoをENONENTに設定します。 16.12 2GBより大きいファイルのサポート DCE DFS V2.0は,2GBより大きい(DFSサーバの基本のファイル・ システムの上限までの)ファイルへのアクセスをDigital UNIX環 境,およびDCE DFSサーバあるいは2GB以上のファイルをサポート しないクライアントを含む環境の両方でサポートします。 Digital UNIX DCE DFSサーバは,32ビット・クリーンのクライア ントには2GBより大きいファイルの最初の2GBにアクセスさせま す。32ビットのクライアントには,231-1バイトよりも長いファ イルがちょうど231-1 の長さに見えます。 16.13 DFSクライアント・キャッシュ・ディレクトリのパス名 DCE DFS V1.3では,DFSクライアントを構成しディスク・キャッ シングを選択する場合,キャッシュ・ディレクトリのUFSパス名 を指定することを勧めていました。この制限は,DCE DFS V2.0で はなくなってています。本バージョンでは,キャッシュ・ディレ クトリにAdvFSのパス名を使用できます。 16.14 msyncシステム・コールのサポート msyncシステム・コールは,メモリ・マップDFSファイルを完全に サポートするようになりました。 37 16.15 fuserシステム・コールのサポート DCE DFS V1.3でfuserシステムを使用すると,システム・パニッ クが発生する可能性がありました。この問題は,DCE DFS V2.0で は修正されています。 16.16 DFSファイルセットのDFSサーバへの追加 ここでは,DFSサーバにDFSファイルセットを追加する方法につい て説明します。これについては,『OSF DCE管理者ガイド』に同 じような情報が記述されています。通常,DFSファイルセットを 既存のサーバに追加するには,rootとしてログインしてローカ ル・マウントを実行しなければなりません。 DFSファイルセットを既存のDFSサーバに追加するには,次の手順 に従ってください。 1. 次のコマンドを使用して,subsys/dce/dfs-adminグループ を含む証明書を取得します。 # dce_login cell_admin dce_loginコマンドは,DCE cell_adminアカウントのパスワ ード入力のためのプロンプトを表示します。 2. 必要に応じて,ファイル・システムまたはファイルセット を作成します。 UFSファイル・システムを作成するには,次のコマンドを使 用します。 # newfs /dev/rrzxx xxにはデバイス番号を入力します。 AdvFSファイルセットを作成するには,次のコマンドを使用 します。 # mkfset AdvFS_Domain AdvFS_Fileset AdvFS_DomainとAdvFS_Filesetには,AdvFSドメインとファ イルセットをそれぞれ指定します。 38 3. ローカル・システムにファイル・システム(UFS)またはファ イルセット(AdvFS)をマウントします。 ファイル・システムに対しては次のコマンドを実行しま す。 # mount /dev/rzXg /local_mount_point 上記の例で,Xはデバイス番号,local_mount_pointはロー カルのファイル・システムのマウント・ポイント(パス名) です。 ファイルセットに対しては次のコマンドを実行します。 # mount AdvFS_Domain#AdvFS_Fileset /local_mount_point AdvFS_DomainとAdvFS_Filesetには,AdvFSドメインとファ イルセットをそれぞれ指定します。 4. 次のコマンドを使用して,ファイルセット位置データベー ス(FLDB)にファイルセットのエントリを作成します。 # fts crfldbentry -ftname FName -server /.:/hosts/Server -aggrid AId 上記の例で,FNameは,作成したファイルセットに割り当て られるDFSファイルセット名です。Serverはサーバ名で,ネ ーム・サーバに割り当てられた名前と一致しなければなり ません。AIdは,作成したファイルセットに割り当てる固有 のアグリゲートIDです。/opt/dcelocal/var/dfs/dfstabフ ァイルをチェックして,選択したAIdがホストに固有である ことを確認してください。 5. /opt/dcelocal/var/dfs/dfstabファイルにエントリを追加 します。各フィールドは1つ以上のスペースまたはタブ文字 で区切らなければなりません。UFSファイル・システムに は,次の構文を使用します。 /dev/rzXg /local_mount_pointufs AId FILESET_ID AdvFSファイルセットには,次の構文を使用します。 AdvFS_Domain#AdvFS_Fileset /local_mount_point advfs AId FILESET_ID 39 上記の例で,FILESET_IDは,fts crfldbentryコマンドによ りreadWriteファイルセットに割り当てられたファイルセッ トIDです。FILESET_IDの形式は,0,,Nで,Nには整数が入り ます。必要な場合には,fts lsfldbentryコマンドを使用し てFILESET_ID値を調べます。 6. 次のコマンドのいずれかを使用して,DFSにファイルセット をエクスポートします。 # dfsexport /local_mount_point # dfsexport -all 7. fts crmountコマンドを次のように使用して,DFSネーム空 間にマウント・ポイントを作成します。 # dce_login root . . . # fts crmount -dir /:/dfs_mount_point -fileset FName 上記の例で,dfs_mount_pointは,DFSマウント・ポイント (マウント・ポイントが作成された位置)の実際のパス名で す。FName引数は,作成されるファイルセットに割り当てら れるDFSファイルセット名です。マウント・ポイントを作成 するには書き込みアクセスが必要なためdce_loginコマンド が表示されます。dce_loginコマンドは適正なDCE証明書を 提供します。この例には示されていませんが,dce_loginコ マンドはDCEのルート・アカウントのパスワード入力のため のプロンプトを表示します。 _______________________ 注意 _______________________ DCE DFSマウント・ポイントは,システムのどのファイル にも記録されません。今後参照するときのために,マウン ト・ポイントを記録しておくことをお勧めします。たとえ ば,ファイルセットを削除したら,マウント・ポイントも 同様に削除することが必要です。 _____________________________________________________ 40 17___『OSF_DCE_Administration_Reference』について__________ OSF DCE R1.0.3で提供していた『OSF DCE Administration Reference』は,タイトルが変更されました。現在のタイト ルは『OSF DCE Command Reference』です。これの翻訳版は『OSF DCEコマンド・リファレンス』です。 41 日本語DCE for Digital UNIX リリース・ノート ________________________________________________________________ 1996年10月 発行 日本ディジタル イクイップメント株式会社 〒167 東京都杉並区上荻1-2-1 電話 (03)5349-7111 (大代表) ________________________________________________________________ AA-R0RRA-TE