claccess (1CL)

名前

claccess - ノード用の Oracle Solaris Cluster アクセスポリシーの管理

形式

/usr/cluster/bin/claccess -V

/usr/cluster/bin/claccess [subcommand] -?

/usr/cluster/bin/claccess subcommand [options] -v [hostname[,…]]

/usr/cluster/bin/claccess allow -h hostname[,…]

/usr/cluster/bin/claccess allow-all 

/usr/cluster/bin/claccess deny -h hostname[,…]

/usr/cluster/bin/claccess deny-all 

/usr/cluster/bin/claccess list 

/usr/cluster/bin/claccess set -p protocol=authprotocol

/usr/cluster/bin/claccess show 

説明

claccess コマンドは、クラスタ構成にアクセスしようとするマシンのネットワークアクセスポリシーを制御します。claccess コマンドに短い形式はありません。

クラスタは、クラスタ構成にアクセスできるマシンのリストを管理します。クラスタはまた、これらのノードがクラスタ構成にアクセスするのに使用する承認プロトコルの名前を格納します。

マシンをクラスタ構成に追加することを要求する場合など (clnode(1CL) を参照)、マシンがクラスタ構成にアクセスしようとすると、クラスタはこのリストをチェックして、ノードにアクセス権限があるかどうかを判定します。そのノードがアクセス権を持っている場合、そのノードは、クラスタ構成にアクセスすることが承認および許可されます。

claccess コマンドは、次のタスクに使用できます。

• 任意の新しいマシンが自分自身をクラスタ構成に追加したり、自分自身をクラスタ構成から削除したりすることを許可する

• 任意のノードが自分自身をクラスタ構成に追加したり、自分自身をクラスタ構成から削除したりすることを禁止する

• チェックする承認タイプを制御する

このコマンドは、大域ゾーンだけで使用できます。

claccess コマンドの一般的な形式は次のとおりです。

 claccess [subcommand] [options]

subcommand を省略できるのは、options で –? オプションまたは –V オプションが指定されている場合のみです。

このコマンドの各オプションには、長い形式と短い形式があります。各オプションの両方の形式は、このマニュアルページの「オプション」セクションのオプションの説明で紹介されています。

サブコマンド

サポートされるサブコマンドには次のものがあります。

allow

指定されたマシン (1 つまたは複数) がクラスタ構成にアクセスすることを許可します。

スーパーユーザー以外のユーザーがこのサブコマンドを使用するには、solaris.cluster.modify 役割に基づくアクセス制御 (RBAC) の承認が必要です。rbac(5) を参照してください。

deny および allow-all サブコマンドの説明も参照してください。

allow-all

すべてのマシンが自分自身をクラスタ構成に追加して、クラスタ構成にアクセスすることを許可します。

スーパーユーザー以外のユーザーがこのサブコマンドを使用するには、solaris.cluster.modify RBAC の承認が必要です。rbac(5) を参照してください。

deny-all および allow サブコマンドの説明も参照してください。

deny

指定されたマシン (1 つまたは複数) がクラスタ構成にアクセスすることを禁止します。

スーパーユーザー以外のユーザーがこのサブコマンドを使用するには、solaris.cluster.modify RBAC の承認が必要です。rbac(5) を参照してください。

allow および deny-all サブコマンドの説明も参照してください。

deny-all

すべてのマシンがクラスタ構成にアクセスすることを禁止します。

クラスタを初めて構成したあと、デフォルトの設定では、どのノードにもクラスタ構成へのアクセス権はありません。

スーパーユーザー以外のユーザーがこのサブコマンドを使用するには、solaris.cluster.modify RBAC の承認が必要です。rbac(5) を参照してください。

allow-all および deny サブコマンドの説明も参照してください。

list

クラスタ構成にアクセスする承認を持っているマシンの名前を表示します。承認プロトコルも表示するには、show サブコマンドを使用します。

スーパーユーザー以外のユーザーがこのサブコマンドを使用するには、solaris.cluster.read RBAC の承認が必要です。rbac(5) を参照してください。

set

承認プロトコルを –p オプションで指定した値に設定します。デフォルトでは、システムは sys を承認プロトコルとして使用します。「オプション」の – p オプションを参照してください。

スーパーユーザー以外のユーザーがこのサブコマンドを使用するには、solaris.cluster.modify RBAC の承認が必要です。rbac(5) を参照してください。

show

クラスタ構成にアクセスするアクセス権を持っているマシンの名前を表示します。承認プロトコルも表示します。

スーパーユーザー以外のユーザーがこのサブコマンドを使用するには、solaris.cluster.read RBAC の承認が必要です。rbac(5) を参照してください。

オプション

次のオプションがサポートされています。

–?

-–help

ヘルプ情報を表示します。このオプションを使用すると、ほかの処理は実行されません。

このオプションを指定するとき、サブコマンドは指定してもしなくてもかまいません。このオプションをサブコマンドなしで指定すると、このコマンドのサブコマンドのリストが表示されます。サブコマンド付きでこのオプションを指定すると、サブコマンドの使用方法が表示されます。

–h hostname

-–host=hostname

-– host hostname

アクセスを付与または拒否するノードの名前を指定します。

–p protocol=authentication-protocol

-–authprotocol=authentication-protocol

-–authprotocol authentication-protocol

マシンがクラスタ構成へのアクセス権を持っているかどうかをチェックするのに使用する承認プロトコルを指定します。

サポートされるプロトコルは、des と sys (または unix) です。デフォルトの認証型は sys ですが、これは最低限のセキュリティー保護しか実行しません。ノードの追加および削除の詳細は、Oracle Solaris Cluster 4.3 システム管理 の第 8 章クラスタノードの管理を参照してください。これらの認証タイプの詳細は、Managing Kerberos and Other Authentication Services in Oracle Solaris 11.3 の第 10 章Configuring Network Services Authenticationを参照してください。

–V

-–version

コマンドのバージョンを表示します。

このオプションには、サブコマンドやオペランドなどのオプションは指定しないでください。サブコマンドやオペランドなどのオプションは無視されます。–V オプションは、コマンドのバージョンだけを表示します。ほかの処理は実行されません。

–v

-–verbose

詳細な情報を標準出力 stdout に表示します。

終了ステータス

指定したすべてのオペランドでコマンドが成功すると、コマンドはゼロ (CL_NOERR) を返します。あるオペランドでエラーが発生すると、コマンドはオペランドリストの次のオペランドを処理します。戻り値は常に、最初に発生したエラーを反映します。

次の終了コードが返されます。

0 CL_NOERR

エラーなし

実行したコマンドは正常に終了しました。

1 CL_ENOMEM

十分なスワップ空間がありません。

クラスタノードがスワップメモリーまたはその他のオペレーティングシステムリソースを使い果たしました。

3 CL_EINVAL

無効な引数

コマンドを間違って入力したか、–i オプションで指定したクラスタ構成情報の構文が間違っていました。

6 CL_EACCESS

アクセス権がありません

指定したオブジェクトにアクセスできません。このコマンドを実行するには、スーパーユーザーまたは RBAC アクセスが必要である可能性があります。詳細は、su(1M) および rbac(5) のマニュアルページを参照してください。

18 CL_EINTERNAL

内部エラーが発生しました

内部エラーは、ソフトウェアの欠陥またはその他の欠陥を示しています。

39 CL_EEXIST

オブジェクトは存在します。

指定したデバイス、デバイスグループ、クラスタインターコネクトコンポーネント、ノード、クラスタ、リソース、リソースタイプ、リソースグループ、またはプライベート文字列はすでに存在します。

例

使用例 1 新しいホストのアクセスの許可

次の claccess コマンドは、新しいホストがクラスタ構成にアクセスすることを許可します。

# claccess allow -h phys-schost-1

使用例 2 承認タイプの設定

次の claccess コマンドは、現在の承認タイプを des に設定します。

# claccess set -p protocol=des

使用例 3 すべてのホストのアクセスの拒否

次の claccess コマンドは、すべてのホストがクラスタ構成にアクセスすることを拒否します。

# claccess deny-all

属性

次の属性については、attributes(5) を参照してください。

属性タイプ 属性値 使用条件 ha-cluster/system/core インタフェースの安定性 発展中

関連項目

Intro(1CL), clnode(1CL), cluster(1CL)

注

スーパーユーザーはこのコマンドのすべての形式を実行できます。

任意のユーザーは次のサブコマンドとオプションを指定してこのコマンドを実行できます。

• –? オプション

• –V オプション

スーパーユーザー以外のユーザーがほかのサブコマンドを指定してこのコマンドを実行するには、RBAC の承認が必要です。次の表を参照してください。

サブコマンド RBAC の承認 allow solaris.cluster.modify allow-all solaris.cluster.modify deny solaris.cluster.modify deny-all solaris.cluster.modify list solaris.cluster.read set solaris.cluster.modify show solaris.cluster.read