Datei ct_has.pkf

Online bearbeiten

Zweck

Standardposition für die öffentliche Schlüsseldatei der Clustersicherheitsservices des lokalen Knotens.

Beschreibung

Die Datei /var/ct/cfg/ct_has.pkf ist die Standardposition, an der der ctcasd-Dämon die Datei mit dem öffentlichen Schlüssel des lokalen Knotens erwartet. Der öffentliche Schlüssel wird in einem proprietären Binärformat gespeichert.

Die Datei ctcasd.cfg ermöglicht es dem Systemadministrator, eine alternative Position für die Datei anzugeben. Mit dem Befehl ctskeygen -p kann der Administrator diese Datei an einer alternativen Position erstellen. Wenn eine alternative Position verwendet wird, muss die Datei alle Kriterien erfüllen, die im Abschnitt Security dieser Man-Page aufgelistet sind. Die Datei darf nicht in einem schreibgeschützten Dateisystem aufgezeichnet werden, da dies verhindert, dass der Systemadministrator den Inhalt dieser Datei später ändern kann.

Wenn der ctcasd -Dämon diese Datei beim Start nicht finden kann, prüft er, ob die Datei ct_has.qkf vorhanden ist. Wenn beide Dateien fehlen, geht der Dämon davon aus, dass er nach der Installation zum ersten Mal gestartet wird, und erstellt eine erste private und öffentliche Schlüsseldatei für den Knoten. Außerdem erstellt der Dämon die anfängliche Datei mit der Liste vertrauenswürdiger Hosts für diesen Knoten. Diese Datei enthält einen Eintrag für localhost und die Hostnamen (oder IP-Adressen) , die allen AF_INET-konfigurierten Adaptern zugeordnet sind, die der Dämon erkennen kann. Dies kann zu unbeabsichtigten Authentifizierungsfehlern führen, wenn die öffentlichen und privaten Schlüsseldateien versehentlich oder absichtlich aus dem lokalen System entfernt wurden, bevor der Dämon erneut gestartet wurde. ctcasd erstellt neue Schlüssel für den Knoten, die nicht mit den auf den anderen Clusterknoten gespeicherten Schlüsseln übereinstimmen. Wenn die UNIX-identitätsbasierte Authentifizierung nach einem Systemneustart plötzlich fehlschlägt, ist dies eine mögliche Fehlerquelle.

Wenn die Datei mit dem öffentlichen Schlüssel fehlt, aber die Datei mit dem privaten Schlüssel erkannt wird, kommt der Dämon zu dem Schluss, dass der lokale Knoten fehlerhaft konfiguriert ist und beendet wird. Es wird ein Datensatz im persistenten Speicher erstellt, um die Quelle des Fehlers anzugeben.

Sicherheit

Diese Datei ist für alle Benutzer auf dem lokalen System lesbar. Einem Systembenutzer wird keine Schreibberechtigung erteilt.

Diese Datei wird standardmäßig in einem lokal angehängten Dateisystem gespeichert. Mit der Datei ctcasd.cfg können Systemadministratoren die Position der Datei ändern. Wenn Systemadministratoren eine andere Position verwenden, muss der Administrator sicherstellen, dass der lokale Knoten immer auf die Datei zugreifen kann und dass alle Benutzer dieses lokalen Knotens die Datei lesen können. Wenn die Speicherposition diese Kriterien nicht erfüllt, können sich Benutzer und Anwendungen nicht über die identitätsbasierte UNIX-Authentifizierung bei vertrauenswürdigen Services authentifizieren.

Wenn der Systemadministrator diese Datei in einem Netzdateisystem ablegen möchte, muss er sicherstellen, dass keine zwei Knoten versuchen, dieselbe physische Datei als eigene öffentliche Schlüsseldatei zu verwenden. Da sich die öffentlichen Schlüssel zwischen den Knoten unterscheiden, erhält mindestens einer von ihnen immer den falschen Wert für seinen öffentlichen Schlüssel, wenn zwei Knoten versuchen, dieselbe öffentliche Schlüsseldatei zu verwenden. Dies führt dazu, dass Anwendungen und Benutzer von diesem Knoten die Authentifizierung bei vertrauenswürdigen Services im Cluster fehlschlagen.

Einschränkungen

Cluster Security Services unterstützt nur eigene private und öffentliche Schlüsselformate und Dateiformate. Sichere Remote Shell-Formate werden derzeit nicht unterstützt. Die Einstellungen für das Attribut HBA_USING_SSH_KEYS werden ignoriert.

Beispiele

Dieses Beispiel zeigt den Standardinhalt der Konfigurationsdatei:
TRACE= ON
	TRACEFILE= /var/ct/IW/log/ctsec/ctcasd/trace
	TRACELEVELS= _SEC:Info=1,_SEC:Errors=1
	TRACESIZE= 1003520
	RQUEUESIZE=
	MAXTHREADS=
	MINTHREADS=
	THREADSTACK= 131072
	HBA_USING_SSH_KEYS= false
	HBA_PRVKEYFILE=
	HBA_PUBKEYFILE=
	HBA_THLFILE=
	HBA_KEYGEN_METHOD= rsa512
	SERVICES=hba CAS
Nach der Änderung könnte der Inhalt der Konfigurationsdatei wie folgt aussehen:
TRACE= ON
	TRACEFILE= /var/ct/IW/log/ctsec/ctcasd/trace
	TRACELEVELS= _SEC:Perf=1,_SEC:Errors=8
	TRACESIZE= 1003520
        RQUEUESIZE= 64
        MAXTHREADS= 10
        MINTHREADS= 4
        THREADSTACK= 131072
	HBA_USING_SSH_KEYS= false
        HBA_PVTKEYFILE= /var/ct/cfg/qkey
        HBA_PUBKEYFILE= /var/ct/cfg/pkey
        HBA_THLFILE= /var/ct/cfg/thl
        HBA_KEYGEN_METHOD= rsa512
	SERVICES= hba CAS

Position

/var/ct/cfg/ct_has.pkf
Enthält die Datei ct_has.pkf

Dateien

/opt/rsct/cfg/ctcasd.cfg
Standardposition der Datei ctcasd.cfg