Interstage Application Server セキュリティシステム運用ガイド

目次 索引

A.2.2.6 注意事項

１　TDコンパイラ実行時の注意事項

　TDコンパイラ（tdcコマンド）実行時に行う作業について説明します。

　TDコンパイラは、CORBAサービスの動作環境ファイル（FSUNodのconfigファイル）の“iss_uid”に設定したユーザIDを持つ特定ユーザでのみ実行可能です。他のユーザから実行した場合、TDコンパイラがアクセス権エラーとなりますので注意が必要です。

　次の条件の場合、以下のエラーメッセージが出力されますので、ユーザIDの確認をしてください。

［条件］

1. FSUNodのconfigファイルの"iss_uid"に、セキュリティ強化環境設定コマンド（tdsecmodeコマンド）で指定した特定ユーザと異なるユーザIDを設定する。
2. セキュリティ強化環境設定コマンドで指定した特定ユーザでTDコンパイラを実行する。

［出力メッセージ］

　UX:OD:エラー:od51401:IDLparser:CORBA_ORB_init関数で例外情報にIDL:CORBA/StExcep/UNKNOWN:1.0が発生しました。マイナーコードは0x464a0016です。 SYSTEM=xxxx

※）xxxx:可変情報

２　AIM連携時の注意事項

　ラッパー定義の登録および削除は、必ず同一ユーザで実施してください。

　次の条件のときに、以下の現象となります。

［条件］

• スーパユーザでラッパー定義を登録し、特定ユーザで削除する。または、
• 特定ユーザでラッパー定義を登録し、一般ユーザで削除する。または、
• スーパユーザでラッパー定義を登録し、一般ユーザで削除する。

［現象］

　ラッパー定義の削除コマンド（tdc -Wおよび-delete指定時）を実行すると、以下のメッセージが出力される。

　UX:tdc:エラー:td32003:システムエラーが発生しました エラー情報(1003-81-13)

［原因］

　スーパユーザが登録したラッパー定義を、特定ユーザで削除しようとしたため、コマンドの実行に失敗しました。

［対処］

　ラッパー定義を登録したユーザで再度コマンドを実行してください。

３　ワークユニット定義の登録／更新時の注意事項

　ワークユニット定義の登録、更新（isaddwudef、tdadddefコマンドの実行時）は、必ずワークユニットの起動を行うユーザで実施してください。スーパユーザでワークユニット定義を登録または更新した場合、そのワークユニットを特定ユーザで起動しようとすると、以下の現象が発生します。

［現象］

　ワークユニット起動コマンド（isstartwu、tdstartwuコマンド）を実行すると、以下のメッセージがコンソールに出力される。

　UX: extpエラー:EXTP2003: 親ディレクトリまたはファイルに対するアクセス権がありません: USER=%s1 FILE=%s2 SYSTEM=%s3

（s1,s2,s3は可変文字列）

［原因］

　スーパユーザが登録または更新したワークユニット定義のワークユニットを、特定ユーザで起動しようとしたため、コマンドの実行に失敗しました。

［対処］

　以下のどちらかの対処を実施してください。

• スーパユーザで再度コマンドを実行してください。
• ワークユニット定義を削除した後、特定ユーザでワークユニット定義を登録し、再度コマンドを実行してください。

　また、ワークユニット定義の更新/削除（isaddwudef、tdadddef、isdelwudef、tddeldefコマンドの実行時）は、ワークユニット定義を登録したユーザで実施してください。

４　SMM,SMMエージェントを使用する場合の注意事項

　サーバマシン状態監視機構のコマンド(isstartsmm, isstartsmma, isdisplaysmm,isaddtarget, isdeletetarget, isstopsmm, isstopsmma)を実行する場合、必ずスーパユーザで実行してください。

　サーバマシン状態監視機構のコマンドをスーパユーザ以外で実行した場合、アクセス権エラーとなりますので注意が必要です。

５　SystemWalker/OperationMGRと連携する場合の注意事項

　SystemWalker/OperationMGRよりワークユニットの運用を行う場合には、操作を行うユーザとして、特定ユーザかスーパユーザを指定してください。
　セキュリティの強化レベルがlevel2であり、かつ特定ユーザで操作を行う場合には、特定ユーザのログイン時にデフォルトで設定される実効グループを、Interstage起動操作を行うスーパユーザの実効グループと同じにしてください。

６　Interstage運用APIを使用する場合の注意事項

　Interstage運用APIの運用操作関数（ワークユニット起動、ワークユニット停止、オブジェクト閉塞、オブジェクト閉塞解除）を使用するアプリケーションは、特定ユーザかスーパユーザの権限で実行してください。特定ユーザでInterstage運用APIを発行する場合には、そのユーザの実効グループを、Interstage起動操作を行ったスーパユーザの実効グループと同じにしてください。
　この手順を実施しなかった場合には、Interstage運用API実行時に、以下の現象が発生します。

[Interstage運用APIの初期化時]

　[APIの復帰値]
　　実行結果詳細値として、ISOP_ESYSERRが通知されます。

　[出力メッセージ]
　　/var/adm/messagesに、以下のメッセージが出力されます。なお、拡張システムの出力メッセージについては、メッセージ本文にシステム名が付加されます。

　UX:IS: ERROR: is20454:A system error occurred Error information(D 000ff:M 010b1:O 00004:F 10a:E -1)

[Interstage運用APIの初期化時]

　[APIの復帰値]
　実行結果詳細値として、ISOP_ENOINITが通知されます。
　（Interstage運用API環境の初期化に失敗するため。）

　[出力メッセージ]
　メッセージは出力されません。

７　Interstage管理コンソールおよび、Interstage運用操作ツールを使用する場合の注意事項

　Interstage管理コンソールおよび、Interstage運用操作ツールでInterstageのセットアップ、起動を行う場合、Interstageのセットアップ後にセキュリティ強化環境設定コマンドを実行してください。セキュリティ強化環境設定コマンド実行後に、Interstage管理コンソールおよび、Interstage運用操作ツールによりInterstageを起動してください。

　また、Interstage管理コンソールおよび、Interstage運用操作ツールを使用してワークユニット起動を行う場合、スーパユーザか特定ユーザでログインし、操作を行ってください。

　それ以外のユーザでワークユニット起動を行う場合、以下のエラーとなります。

[現象1]
　ワークユニットを、スーパユーザで起動し、特定ユーザまたはそれ以外のユーザで停止処理依頼を行った場合以下のエラーが出力されます。

　UX:IS: エラー: is31057: ワークユニットを起動したユーザではありません

[現象2]
　ワークユニットの定義登録を特定ユーザで行って、それ以外の一般ユーザでワークユニットを起動した場合以下のエラーとなります。

　UX:IS: エラー: is31023: ワークユニットの起動に失敗しました : WU=ワークユニット名

８　コマンド実行時の注意事項

　一般ユーザが実行できるコマンドは、スーパユーザまたは特定ユーザで実行してください。特定ユーザでコマンドを実行する場合には、そのユーザの実効グループを、Interstage起動操作を行ったスーパユーザの実効グループと同じにしてください。
　この手順を実施しなかった場合には、コマンド実行時に、以下の現象が発生します。

• 表中では、メッセージ本文の可変文字列を、%s1、%s2としています。可変文字列の詳細については、“メッセージ集”を参照してください。

• 拡張システムの出力メッセージについては、メッセージ本文にシステム名が付加されます。

目次 索引