この章では、システムで Tivoli Access Manager for Operating Systems を実行中に 発生する問題について、一般的なトラブルシューティングのヒントを示します。
一般的なチェックリスト
実行時に問題が発生した場合に従うべき手順を以下に示します。
v Tivoli Access Manager for Operating Systems デーモンが実行中であることを確認 します。
– 新規バージョンの Tivoli Access Manager for Operating Systems をインストー ルした後でマシンをリブートしたことを確認します。
– Tivoli Access Manager for Operating Systems マシンで pdosctl -s コマンド を実行します。次のような出力が得られるはずです。
pdosd is running normally pdoswdd is running normally pdoslpmd is running normally pdoslrd is running normally pdosauditd is running normally
これらのデーモンのいずれかが予期しないときに実行を停止すると、他の 2 つのデーモンの 1 つによって自動的に再始動されると思われます。
– 1 つのデーモンが実行されていない場合は、それが停止した理由および再始動 されなかった利用を判別するようにします。
- pdoslpmd または pdoslrd デーモンが構成されていない場合、pdosctl -s は、それらが実行されていないことを示します。これはエラーではありませ ん。
- コア・ファイルおよびログ・ファイルで答が見つかることがあります。デー モン固有のディレクトリー /var/pdos/daemon_name にあるコア・ファイル を検査してください。また /var/pdos/log のメッセージ・ログを検査し て、エラーを探してください。
- ps -ef | grep pdos コマンドを実行します。デーモンがハングしている可 能性があります。
– すべてのデーモンが実行中かどうかにかかわらず、コア・ファイルを検査しま す。
v Tivoli Access Manager for Operating Systems、LDAP サーバー、および Tivoli Access Manager for Operating Systems エンドポイントの間の接続を検査します。
– ping コマンドを使用して、LDAP サーバーを実行しているマシンおよび
Tivoli Access Manager ポリシー・サーバーにネットワーク接続があることを確
認します。
– /opt/pdos/sbin/server_ping.sh スクリプトを使用して、LDAP サーバー・プ ロセスおよび Tivoli Access Manager ポリシー・サーバー・プロセスがローカ ル・システムで使用可能になっていることを確認します。
– これが失敗に終わった場合は、ps コマンドを使用して、LDAP サーバーおよ
び Tivoli Access Manager サーバーがサーバー・マシン上で実行中であること
を確認します。次に、LDAP サーバーで SSL 通信が使用可能になっているこ とを確認します。
– また、ローカル・システム上の Tivoli Access Manager Runtime の構成が正し いことを確認します。 /opt/PolicyDirector/etc/pd.conf ファイルで、マネ ージャー・スタンザの「master-host」項目が Tivoli Access Manager ポリシ ー・サーバーのホスト名に対応しているかどうかを検査します。
– Tivoli Access Manager ポリシー・サーバーの
/var/PolicyDirector/log/msg__pdmgrd_utf8.log にあるエラー・ログで、そ の他のエラーがないかどうかを検査します。また、次のコマンドを実行してポ リシー・サーバーがハングしているかどうかを調べます。
pdadmin> server list
コマンドがハングするようであれば、ポリシー・サーバーを再始動します。
v ファイル・システムのしきい値およびフリー・スペースを検査します。
– df -k を使用して、マウントされている各ファイル・システムのフリー・スペ
ースを表示します。 -k オプションを指定すると、ディスク・スペースが K バイト (KB) 単位で表示されます。
– ″/″ にマウントされているルート・ファイル・システムのスペースが不足して いるか、非常に少なくなっている場合は、オペレーティング・システムに問題 があると思われます。
– /var/pdos ディレクトリーおよびそのサブディレクトリーのデータが入ってい
るファイル・システムに、十分なスペースがあるかどうかを検査します。
注: デフォルトで、HP および Solaris Operating Environment (Solaris) システム は、システムの 90% がいっぱいになるまで、ファイル・システムへのルー ト以外の書き込みアクションを許可します。この制限は、タイプ hpfs および ufs のファイル・システムに適用されます。ほとんどの Tivoli Access
Manager for Operating Systems デーモンおよびコマンドは osseal ユーザーと して実行されます。
v 英語以外の言語を使用している環境では、Tivoli Access Manager ポリシー・サー バー、ユーザー・レジストリー (LDAP) サーバー、および Tivoli Access Manager
for Operating Systems デーモンが同じコード・ページを使用して、ポータブル文
字セット (7 ビット US ASCII) に含まれていない文字を含んだユーザー・データ
を正しく共用できるようになっているかどうかを確認します。
SSL 証明書に関連する問題
Tivoli Access Manager for Operating Systems は Tivoli Access Manager ポリシー・
サーバーおよび LDAP サーバーとの通信に、SSL (Secure Sockets Layer) を使用し ます。
構成時に使用される証明書
SSL は証明書を使用して操作を進めます。Tivoli Access Manager for Operating
Systems で必要な SSL 通信を正常に確立するためには、 2 つの CA 証明書が必要
です。
v 最初の証明書は Tivoli Access Manager ポリシー・サーバー CA 証明書
(pdcacert.b64) で、 Tivoli Access Manager Runtime (PDRTE) の構成時に必要と なります。 Tivoli Access Manager ポリシー・サーバーが自動ダウンロード可能 なセットアップになっている場合には、この証明書はポリシー・サーバーから自 動的にダウンロードされます。ポリシー・サーバーが自動ダウンロード可能なセ ットアップになっていない場合には、 Tivoli Access Manager Runtime の構成時 にこの証明書を提供しなければなりません。これは、ポリシー・サーバー・マシ ンの /var/PolicyDirector/keytab/pdcacert.b64 に入っています。この証明書の デフォルトの存続期間は 20 年です。
v 2 番目の証明書は LDAP CA 証明書 (ldapcacert.b64) です。この証明書は Tivoli Access Manager for Operating Systems の構成時に必要となります。この証 明書は LDAP サーバーから得られるもので、 LDAP サーバーの SSL 構成で指 定された鍵格納データベース・ファイル (.kdb) から抽出されます。この証明書の 存続期間は、LDAP サーバー上での作成時に指定された値によって決まります。
注: Tivoli Access Manager for Operating Systems を構成する前に、LDAP サーバ ーを SSL を用いて構成しておかなければなりません。 SSL を用いる LDAP サーバーの構成の詳細については、「IBM Tivoli Access Manager Base イン ストール・ガイド」を参照してください。Tivoli Access Manager for
Operating Systems では、LDAP サーバーで Server Authentication モードを構 成する必要があります。
構成中、ポリシー・サーバーとの通信のために新しい証明書が Tivoli Access Manager for Operating Systems Runtime 用に作成され、それが鍵格納データベー ス・ファイル /var/pdos/certs/pdosd.kdb に保管されます。このファイルには Tivoli Access Manager for Operating Systems が使用する証明書用の秘密鍵が入って いるため、限定的なデフォルト・アクセス・コントロールによって保護されていま す。無人のサーバー運用に役立てるため、鍵格納データベース・ファイル用のパス ワードの隠蔽されていない (暗号化されていない) バージョンが、別ファイル /var/pdos/certs/pdosd.sth に保管されています。セキュリティー上の理由から、
証明書および鍵格納データベース・ファイルのパスワードはともに一定の時間がた つと有効期限が切れるように設定されています。証明書のデフォルトの存続期間は 365 日です。鍵格納データベース・ファイル・パスワードのデフォルトの存続期間 は 183 日です。両方の期間を構成できます。
証明書の更新
Tivoli Access Manager for Operating Systems マシンによって使用される証明書の有 効期限が切れた場合、マシンは引き続き、ポリシー・データベースのローカル・コ ピーに入っているポリシーを実施します。ただし、ポリシー・サーバーからポリシ ー・データベースの更新版をダウンロードすることはできません。
v /var/pdos/certs/pdosd.kdb に保管されている Tivoli Access Manager ポリシ ー・サーバーとの通信に使用される証明書、および /var/pdos/certs/pdosd.sth に保管されている鍵格納ファイル・パスワードは、 Tivoli Access Manager for
Operating Systems マシンが長時間にわたってポリシー・サーバーから分離されて
いる場合を除いて、自動的に更新されます。証明書が自動的に更新されない場 合、または証明書、パスワード、または鍵格納データベース全体が破壊された場 合は、手動で更新する必要があります。この方法について詳しくは、40ページの
『一般的な証明書の問題』を参照してください。
v LDAP サーバーとの通信に使用される証明書には自動証明書更新機能はありませ ん。証明書を手動で更新して、新しい証明書を使用するように Tivoli Access Manager for Operating Systems を構成する必要があります。この方法について詳 しくは、『一般的な証明書の問題』を参照してください。
v ポリシー・サーバー証明書については、「IBM Tivoli Access Manager Base 管理 者ガイド」の Tivoli Access Manager Base の証明書およびパスワード管理に関す るセクションを参照してください。更新された証明書および鍵格納ファイル・パ スワードを検出するには、ポリシー・サーバーの再始動が必要になる場合があり ます。
一般的な証明書の問題
ここでは一般的な証明書の問題をいくつかリストし、それらを訂正するための手順 を示します。
問題: Tivoli Access Manager ポリシー・サーバーで認証中の SSL エラー 解決方法:
v Tivoli Access Manager ポリシー・サーバーのエラー・ログ・ファイル
/var/PolicyDirector/logs/msg__pdmgrd_utf8.log を調べて、サーバー証明書/鍵 格納ファイルのパスワードが更新されたことを示すメッセージがないか探しま
す。 Tivoli Access Manager ポリシー・サーバーを再始動して、新しい証明書を
検出します。
v Tivoli Access Manager for Operating Systems のエラー・ログ・ファイル
/var/pdos/log/msg__pdosd.log を調べて、クライアント証明書が更新されたこと を示すメッセージがないか探します。デーモンを再始動して、新しいクライアン ト証明書を検出します。
v 31ページの『事例 4: Tivoli Access Manager コマンド user_create の失敗』で、
鍵格納ファイル・パスワードが更新されたために pdoscfg コマンドが失敗する 場合の例を検討します。
問題: LDAP で認証中の SSL エラー 解決方法:
v LDAP との通信に使用される CA 証明書の存続期間が過ぎて、有効期限が切れて いないかを調べます。
v 証明書の有効期限が切れている場合:
– LDAP サーバーで新規証明書を作成します。
– 新規証明書を使用するように LDAP サーバーを構成します。
– 次のコマンドを使用して、新規証明書を使用するように Tivoli Access Manager for Operating Systems を構成します。
rc.osseal stop
pdoscfg -ldap_ssl_cacert new certificate name rc.osseal start
問題: 誤った LDAP CA 証明書の使用に関する問題
解決方法: