管理解説書

bos setauth

目的

すべてのサーバー・プロセスに対し、許可検査要件を設定します。

構文

bos setauth -server <machine name>
            -authrequired <on or off: authentication required for admin requests>
            [-cell <cell name>]  [-noauth]  [-localauth]  [-help]
   
bos seta -s <machine name>
         -a <on or off: authentication required for admin requests>  
         [-c <cell name>]  [-n]  [-l]  [-h]

構文

bos setauth コマンドは、-server 引き数で指定されたサーバー・マシン上での許可検査を使用可能または使用不可にします。許可検査が使用可能な場合 (通常のケース)、マシン上で実行されている AFS サーバー・プロセスは、コマンドの発行者が特権の要件を満たしているかどうかを検査します。許可検査が使用不可の場合、サーバー・プロセスは、非特権ユーザー anonymous を含むすべてのユーザーに対してアクションを実行します。セキュリティー上これは非常に危険なことですので、インストールまたは緊急時を除き、許可検査を不可にしてはなりません。

許可検査が使用不可であることをサーバー・プロセスに通知するために、BOS サーバー は、ローカル・ディスク上にゼロ長のファイル /usr/afs/local/NoAuth を作成します。すべての AFS サーバー・プロセスは、NoAuth ファイルがあるかどうかを常にモニターしているので、このファイルがある場合には、許可検査は行いません。このコマンドを使用して許可検査を再び使用可能にすると、BOS サーバーはこのファイルを削除します。

注意

緊急の命令で指示された場合を除き、NoAuth ファイルは直接作成しないでください。 (これを行う場合には、ローカル・スーパーユーザー root でログインしていることが必要です。) 代わりに、このコマンドを使用してください。

オプション

-server

許可検査の設定を変更するサーバー・マシンを指定します。 IP アドレスまたはホスト名 (完全修飾名または省略形) によってマシンを識別します。詳細については、bos コマンド・セットの概要の解説ページを参照してください。

-authrequired

値が on の場合は許可検査は使用可能、値が off の場合は使用不可です。

-cell

コマンドを実行するセルを指定します。この引き数は、 -localauth フラグと一緒に使用してはなりません。詳細については、bos の解説ページを参照してください。

-noauth

コマンドの発行側に非特権 ID anonymous を割り当てます。このフラグは -localauth フラグと一緒に使用してはなりません。詳細については、bos の解説ページを参照してください。

-localauth

ローカルの /usr/afs/etc/KeyFile ファイルのキーを使用して、サーバー・チケットを構成します。 bos コマンド・インタープリターは、相互認証中に、このチケットを BOS サーバーに渡します。このフラグは、-cell 引き数または -noauth フラグと一緒に使用してはなりません。詳細については、bos の解説ページを参照してください。

-help

このコマンドのオンライン・ヘルプを出力します。これ以外の有効なオプションはすべて無視されます。

例

次の例では、マシン fs7.abc.com 上で許可検査を使用不可にしています。

   % bos setauth -server fs7.abc.com -authrequired off
    

必要となる特権

コマンドの発行側は、-server 引き数で指定されたマシンの /usr/afs/etc/UserList ファイルにリストされているか、または -localauth フラグが使用されている場合は、ローカル・スーパーユーザー root としてサーバー・マシンにログオンしている必要があります。

関連情報

KeyFile

NoAuth

UserList

bos

bos restart