ポート 1 ~ 1024 の使用
UNIX システムでは、標準の TCP サービスで使用できるように、ポート 1 ~ 1024 が予約されています。インストール時に、DXserver にポート 1 ~ 1024 でのリスンを許可できます。このオプションのデフォルトは NO です。これにより使用できるポートが制限され、セキュリティを向上させます。Linux 上での DEB および RPM パッケージからのインストールでも、ポート 1 ~ 1024 の使用は許可されません。
cad140jp
UNIX システムでは、標準の TCP サービスで使用できるように、ポート 1 ~ 1024 が予約されています。インストール時に、DXserver にポート 1 ~ 1024 でのリスンを許可できます。このオプションのデフォルトは NO です。これにより使用できるポートが制限され、セキュリティを向上させます。Linux 上での DEB および RPM パッケージからのインストールでも、ポート 1 ~ 1024 の使用は許可されません。
CA Directory の以前のバージョンでは、ポート 1 ~ 1024 の使用を希望する管理者は、DSA がこれらのポートでリスンすることを許可するために、インストール プログラムに以下の設定を実行させる必要がありました。
- setuid ビットが dxserver バイナリに対して設定されている(モード 4750)
- dxserver バイナリの所有者が root ユーザに変更されている
DXserver がこれらのポートでリスンするようにしたい場合は、Unix フレーバごとに異なる、以下のいずれかの方法を使用します。
- Linux システムでは、cap_net_bind_service機能がバイナリに割り当てられています。この機能の詳細については、capabilities(7) の Linux マニュアル ページを参照してください。
- Solaris システムでは、DXserver 用に新しい権限プロファイルCADirectorydxserverProfileが作成されます。このプロファイルは、バイナリにnet_privaddr権限を付与します。また、作成されたプロファイルはディレクトリ ユーザに割り当てられます。
- 上記以外の Unix システムでは、バイナリの所有者は root である必要があり、setuid フラグを設定する必要があります。DXserver に 1024 以下のポートの使用を許可する必要がある場合は、インストール時に設定されていないのであれば、手動で設定してください。
(Linux)
以下の手順に従います。
- root ユーザとしてログインします。
- 以下のコマンドを使用して、Linux の機能を利用します。setcap cap_net_bind_service=+ep $DXHOME/bin/binary
(Solaris)
以下の手順に従います。
- root ユーザとしてログインします。
- 以下のコマンドを使用して、権限プロファイルを作成します。profiles -p profile_nameprofiles:profile_name> set desc=”Profile description”profiles:profile_name> add cmd=”$DXHOME/bin/binary”profiles:profile_name:binary> add privs="basic,net_privaddr"profiles:profile_name:binary> endprofiles:profile_name> exit
- 以下のコマンドを使用して、この権限プロファイルをディレクトリ ユーザに追加します。usermod -K profiles+=profile_name $DXUSER
注:
Solaris システムでは、1 ~ 1024 の範囲内のポートを使用する新しい DSA を作成して起動するために、プロファイルのシェルを使う必要があります。pfexec dxnewdsa test 389 pfexec dxserver start test
(他の Unix システム)
以下の手順に従います。
- root ユーザとしてログインします。
- $DXHOME/bin に移動します。
- 以下のコマンドを使用して、1024 以下のポートを用いるバイナリの所有者および SUID ビットを変更します。chown root binary chmod 4750 binaryここでは、binary として dxadmind または dxserver を指定できます。
例: SUID ビットを設定せずにポート 389 を使用する試み
ポート 389 で DSA を起動しようとしています。SUID ビットは設定されていません。ポートが DSA を起動できないというエラー メッセージが表示されます。以下のメッセージは、アラーム ログ ファイルに書き込まれます。
** ALARM **: DSA_E1990 Cannot register SNMP address