uxpreinstall Utility - システム コンプライアンスのチェック

UNIX で該当
capamsc141
UNIX で該当
uxpreinstall ユーティリティは、UNIX エンドポイントが UNIX 認証ブローカのシステム要件を満たしていることを確認します。uxpreinstall は、以下の検査を実行します。
  • オペレーティング システムに、インストールされているバージョン、パッチ、ライブラリおよびモジュールを問い合わせます。
  • DNS サーバに対してクエリを行って、ドメイン名を解決します。
  • LDAP と Kerberos のサービスを検索します。
  • 詳細については、LDAP サービスを使用して Active Directory に対してクエリを行ってください。
  • 利用可能なポートのスキャン
  • ローカル ホストと Active Directory ドメインの間のクロック スキューを確認します。
  • ネットワーク アプリケーション、ネットワーク サーバおよび ssh と sshd の特性が Kerberized Single Sign On (SSO)ログインをサポートすることを確認します。
  • ドメイン内のすべてのグローバル カタログ ホストを検出および表示します。
uxpreinstall ユーティリティがチェックを続行できない重大なエラーを検出した場合、ユーティリティはただちに停止します。
uxpreinstall の実行後、チェックの結果が表示されます。uxpreinstall が出力するエラーまたは競合は、UNIX 認証ブローカで、ユーザ認証の失敗などの動作上の問題を引き起こす可能性があります。uxpreinstall によって識別されたすべてのエラーまたは競合を解決してから、UNIX 認証ブローカ をアクティブ化して使用することを強くお勧めします。
uxpreinstall ユーティリティは、実在する問題または潜在的な問題を報告しますが、その修正は行いません。このユーティリティは、オペレーティング システムや UNIX 認証ブローカーの設定には使用できません。
uxpreinstall は、UNIX 認証ブローカをインストールする前でもインストールした後でも実行できます。UNIX 認証ブローカをインストールする前に uxpreinstall を実行すると、このユーティリティは一時的な Kerberos ファイルを作成し、uxauth.ini の設定ではなく Kerberos ファイルの設定をチェックします。UNIX 認証ブローカをインストールした後に uxpreinstall を実行すると、このユーティリティは一時的な Kerberos ファイルは作成しません。代わりに、uxauth.ini ファイルの[ad]セクションにある lookup_dc_list トークンの値が確認されます。
UNIX 認証ブローカをインストールする前に uxpreinstall を実行するには、UNIX 認証ブローカがインストールされている別のエンドポイントからこのユーティリティをコピーします。
uxpreinstall の出力の以下のセクションでは、エンドポイント設定で UNIX 認証ブローカのユーザが Kerberized SSO ログインを使用できるかどうかがチェックされます。UNIX 認証ブローカのユーザの SSO ログインを有効にしない場合、これらのセクションの情報は無視できます。
  • CHECKING KERBEROS RPMS
  • CHECKING NATIVE KERBEROS
  • == Reporting sshd characteristics affecting SSO operation ==
  • == Reporting ssh characteristics affecting SSO operation ==
  • Checks of network applications
  • Checks of network servers
uxpreinstall を使用したシステムの適合性の確認の詳細については、「
実装ガイド
」を参照してください。
このコマンドの形式は以下のようになります。
uxpreinstall [-a user] [-w passwd] [-n ntp_server] [{-d domain | -s server}] [-p port] [-f logfile] [-force] [-v level] [-l] [-h]
  • -a
    user
    Active Directory へのログインに使用するユーザ アカウントを定義します。
    デフォルト:
    Administrator
  • -w
    passwd
    ユーザ アカウントのパスワードを定義します。
  • -n
    ntp_server
    Network Time Server (NTP)の名前を定義します。
  • -d
    domain
    Active Directory がインストールされているドメイン名を定義します。
  • -s
    server
    Active Directory サーバの名前を定義します。
  • -p
    port
    Active Directory がリスンするポート番号を定義します。
  • -f
    logfile
    使用するログ ファイルの名前を定義します。
  • -force
    エラーにかかわらずシステム適合性の確認を続行するように指定します。
  • -v
    level
    uxpreinstall 出力の詳細レベルを定義します。
    オプション:
    0 -- uxpreinstall が実行するチェック、および識別されたエラーまたは競合の概要を表示します。
    1 -- 0 と同じ情報に加えて、各チェックに関する追加情報を表示します。
    2 -- 1 と同じ情報に加えて、uxpreinstall が各チェックに使用するコマンドを表示します。
    3 -- 2 と同じ情報に加えて、各コマンドの出力を表示します。
    4 -- 3 と同じ情報に加えて、一部のチェックの追加情報(パッケージの詳細など)を表示します。
    デフォルト:
    0
  • -l
    syslog ファイルのチェックを実行するように指定します。root ユーザのみに適用可能です。
  • -h
    ユーティリティ ヘルプを表示して終了するように指定します。
例: uxpreinstall ユーティリティの実行
この例では、Active Directory ドメイン domain.com に対して、管理者ユーザのクレデンシャルで uxpreinstall ユーティリティを詳細レベル 1 で実行します。
/opt/CA/uxauth/bin/uxpreinstall -a administrator -w admin -d mydomain.com -v 1
例: uxpreinstall ユーティリティ レポート
以下は、システムが要件に準拠しているかどうかを判断する方法を示す uxpreinstall ユーティリティ レポートのスニペットです。
OS detected: Linux 2.6.5-7.244-default ******************************************** CHECKING CLOCK SYNCHRONIZATION ******************************************** Comparing the value of the currentTime attribute in DSE with the local time ... Current clock skew is 34 sec. The default value for the maximum clock skew is 300 seconds. Warning! Significant clock skew can cause user authentication failure --------------------------------------------- W A R N I N G --------------------------------------------- ******************************************** CHECKING KERBEROS AUTHENTICATION VIA AD ******************************************** principal_name = <[email protected]> Kerberos authentication for <[email protected]> succeeded --------------------------------------------- S U C C E S S --------------------------------------------- ******************************************** CHECKING AD SCHEMA VERSION ******************************************** Trying LDAP service at server.mydomain.com:389 Binding to Active Directory via 'server1.mydomaiin.com' ... AD Schema version 31 (Windows Server 2003 R2 or Windows Server 7 (AD LDS)) supports full and partial UNAB integration modes. --------------------------------------------- S U C C E S S --------------------------------------------- . . .
この例では、以下の情報が出力されています。
  • ローカル ホスト上で実行中のオペレーティング システム -- Linux 2.6.5-7.244-default
  • クロック スキュー -- 34 秒
  • Kerberos サービス -- <[email protected]> の Kerberos 認証に成功
  • Active Directory スキーマ バージョン -- AD Schema version 31
  • Active Directory がインストールされているオペレーティング システムのバージョン -- Windows Server 2003 R2 または Windows Server 7
  • Active Directory スキーマは、UNIX 認証ブローカの完全統合モードと部分統合モードの両方をサポートしています。