管理解説書

kaserver

目的

認証サーバーを初期化します。

構文

kaserver [-noAuth]  [-fastKeys]  [-database <dbpath>] 
         [-localfiles <lclpath>]  [-minhours <n>] 
         [-servers <serverlist>]  [-enable_peer_stats]  
         [-enable_process_stats]  [-help]

このコマンドは、AFS コマンド・セットの構文規則に準拠していません。コマンド名およびすべてのオプション名は省略せずにすべて指定してください。

構文

kaserver コマンドは、すべてのデータベース・サーバー・マシン上で稼働する認証サーバーを初期化します。通常の構成では、バイナリー・ファイルは、ファイル・サーバー・マシンの /usr/afs/bin ディレクトリーにあります。

kaserver コマンドは、通常はコマンド・シェル・プロンプトでは発行されず、ファイル・サーバー・マシンの /usr/afs/local/BosConfig ファイルに、 bos create コマンドと一緒に記述されます。コマンド・シェル・プロンプトで発行する場合には、発行者がローカル・スーパーユーザー root として、ファイル・サーバー・マシンにログインしている必要があります。

認証サーバー・プロセスは、初期化の際、認証データベースを構成する 2 つのファイル、 kaserver.DB0 および、 kaserver.DBSYS1 が存在しない場合には、それらを /usr/afs/db ディレクトリーに作成します。データベースを管理する場合には、 kas コマンド・セットのコマンドを使用します。

認証サーバーは、次のような AFS セキュリティー操作を処理します。

• 認証データベースにあるすべての AFS サーバーの暗号化キー、およびユーザー・パスワードの保守。
• ユーザーおよびサーバーがセキュア接続を確立するために使用する、チケットおよびトークンの作成。この機能は、チケット獲得サービス (TGS) コンポーネントによって実行されます。

認証サーバーは、/usr/afs/logs/AuthLog ファイルに、活動のトレースを記録します。このファイルの内容を表示するには、 bos getlog コマンドを使用します。 AuthLog ファイルに関連した保護ファイル、 AuthLog.dir、および AuthLog.pag を読み取るには、 kdb コマンドを使用してください。

オプション

-noAuth

発行者に非特権 ID anonymous を割り当てます。したがって、このコマンドにより、発行者と認証サーバー間に非認証接続を確立されます。これは、データベース・サーバー・マシンの許可検査が使用不可の場合にのみ有効です。通常の環境では、認証サーバーは、認証データベースに影響を与えたり、アクセスしたりするコマンドの発行を、認証された (特権) ユーザーにのみ許可します。 -noAuth フラグが使用された場合でも、そのようなアクションの実行は拒否します。

-fastKeys

AFS 開発スタッフが使用するテスト・フラグです。機能上の目的はありません。

-database

認証データベース・ファイルが常駐している代替ディレクトリーのパス名を指定します。完全パス名 (末尾が .DB0 および、 .DBSYS1 拡張子を付加した基本ファイル名で終わるもの) を、提供してください。たとえば、適切なデフォルトのデータベース・ファイルの値は、 /usr/afs/db/kaserver です。

この引き数と同時に、 -localfiles 引き数を提供してください。提供しない場合は、 -localfiles 引き数もこの引き数の値に設定されますが、それではおそらく不適切です。

-localfiles

補助認証データベース・ファイルが常駐している代替ディレクトリーのパス名を指定します。完全パス名 (末尾が、サフィックス auxdb を付加した基本ファイル名で終わるもの) を、提供してください。たとえば、デフォルトの補助データベース・ファイルの適切な値は、 /usr/afs/local/kaserver です。

-minhours

通常のユーザーがパスワードを変更できる最短の時間を指定します。システム管理者 (認証データベース項目に ADMIN フラグが付いている) は、必要に応じて何度でもパスワードを変更できます。パスワードの変更間隔を最短時間に設定することは、お勧めしません。

-servers

認証サーバーを実行している個々のデータベース・サーバー・マシンに名前を付けます。ローカル認証サーバーは、認証データベースのコピーを、 /usr/afs/etc/CellServDB ファイルにリストされているマシンとではなく、このデータベース・サーバー・マシンと同期化することになります。

-enable_peer_stats

Rx 統計集合を活動化し、それらを保管するためのメモリーを割り振ります。別のマシンの特定の UDP ポートとの接続ごとに、送信または受信された RPC の各タイプ (FetchFile、 GetStatus など) のレコードが別々に保持されています。レコードを表示したり、ほかの方法でレコードにアクセスするには、 Rx Monitoring API を使用します。

-enable_process_stats

Rx 統計集合を活動化し、それらを保管するためのメモリーを割り振ります。送信または受信された RPC の各タイプ (FetchFile、GetStatus など) ごとに、レコードが別々に保持され、別のマシンへのすべての接続が集計されます。レコードを表示したり、ほかの方法でレコードにアクセスするには、 Rx Monitoring API を使用します。

-help

このコマンドのオンライン・ヘルプを出力します。これ以外の有効なオプションはすべて無視されます。

例

bos create コマンドは、次のように、 fs3.abc.com 上に、 kaserver プロセスを作成します (ここで、コマンドが 2 行で表示されているのは、その方が読みやすいからにすぎません)。

   % bos create -server fs3.abc.com -instance kaserver \
                -type simple -cmd /usr/afs/bin/kaserver

必要となる特権

シェル・プロンプトでコマンドを発行するためには、発行者はファイルのサーバー・マシン上でローカル・スーパーユーザー root としてログインする必要があります。通常は、bos create コマンドを発行して、プロセスの作成および開始を行います。

関連情報

AuthLog

BosConfig

CellServDB (サーバー・バージョン)

kaserver.DB0 および kaserver.DBSYS1

kaserverauxdb

bos

bos create

bos getlog

kas

kdb