ポート 1 ~ 1024 の使用

UNIX システムでは、標準の TCP サービスで使用できるように、ポート 1 ~ 1024 が予約されています。インストール時に、DXserver にポート 1 ~ 1024 でのリスンを許可できます。このオプションのデフォルトは NO です。これにより使用できるポートが制限され、セキュリティを向上させます。Linux 上での DEB および RPM パッケージからのインストールでも、ポート 1 ~ 1024 の使用は許可されません。
cad126jp
UNIX システムでは、標準の TCP サービスで使用できるように、ポート 1 ~ 1024 が予約されています。インストール時に、DXserver にポート 1 ~ 1024 でのリスンを許可できます。このオプションのデフォルトは NO です。これにより使用できるポートが制限され、セキュリティを向上させます。Linux 上での DEB および RPM パッケージからのインストールでも、ポート 1 ~ 1024 の使用は許可されません。
CA Directory の以前のバージョンでは、ポート 1 ~ 1024 の使用を希望する管理者は、DSA がこれらのポートでリスンすることを許可するために、インストール プログラムに以下の設定を実行させる必要がありました。
  • setuid ビットが dxserver バイナリに対して設定されている(モード 4750)
  • dxserver バイナリの所有者が root ユーザに変更されている
DXserver がこれらのポートでリスンするようにしたい場合は、Unix フレーバごとに異なる、以下のいずれかの方法を使用します。
  • Linux システムでは、
    cap_net_bind_service
    機能がバイナリに割り当てられています。この機能の詳細については、capabilities(7) の Linux マニュアル ページを参照してください。
  • Solaris システムでは、DXserver 用に新しい権限プロファイル
    CADirectorydxserverProfile
    が作成されます。このプロファイルは、バイナリに
    net_privaddr
    権限を付与します。また、作成されたプロファイルはディレクトリ ユーザに割り当てられます。
  • 上記以外の Unix システムでは、バイナリの所有者は root である必要があり、setuid フラグを設定する必要があります。DXserver に 1024 以下のポートの使用を許可する必要がある場合は、インストール時に設定されていないのであれば、手動で設定してください。
(Linux)
以下の手順に従います。
  1. root ユーザとしてログインします。
  2. 以下のコマンドを使用して、Linux の機能を利用します。
    setcap cap_net_bind_service=+ep $DXHOME/bin/binary
(Solaris)
以下の手順に従います。
  1. root ユーザとしてログインします。
  2. 以下のコマンドを使用して、権限プロファイルを作成します。
    profiles -p profile_name
    profiles:profile_name> set desc=”Profile description”
    profiles:profile_name> add cmd=”$DXHOME/bin/binary”
    profiles:profile_name:binary> add privs="basic,net_privaddr"
    profiles:profile_name:binary> end
    profiles:profile_name> exit
  3. 以下のコマンドを使用して、この権限プロファイルをディレクトリ ユーザに追加します。
    usermod -K profiles+=profile_name $DXUSER
注:
Solaris システムでは、1 ~ 1024 の範囲内のポートを使用する新しい DSA を作成して起動するために、プロファイルのシェルを使う必要があります。
pfexec dxnewdsa test 389 pfexec dxserver start test
(他の Unix システム)
以下の手順に従います。
  1. root ユーザとしてログインします。
  2. $DXHOME/bin に移動します。
  3. 以下のコマンドを使用して、1024 以下のポートを用いるバイナリの所有者および SUID ビットを変更します。
    chown root binary chmod 4750 binary
    ここでは、binary として dxadmind または dxserver を指定できます。
例: SUID ビットを設定せずにポート 389 を使用する試み
ポート 389 で DSA を起動しようとしています。SUID ビットは設定されていません。ポートが DSA を起動できないというエラー メッセージが表示されます。以下のメッセージは、アラーム ログ ファイルに書き込まれます。
** ALARM **: DSA_E1990 Cannot register SNMP address