===================================================== DCE for AIX 3.1 の README の追記 (C) COPYRIGHT International Business Machines Corp. 1999 All Rights Reserved Licensed Materials - Property of IBM US Government Users Restricted Rights - Use, duplication or disclosure restricted by GSA ADP Schedule Contract with IBM Corp. このファイルには、DCE (分散コンピューティング環境) for AIX バージョン 3.1 に付属していた README ファイルの追加の変更と更新が入っています。 ===================================================== 目次 A.1 インストール、アンインストール、移行、および構成 A.1.1 ldap または dce.web のアンインストール A.1.2 DCE WebSecure/Admin と AIX DCE 2.2 からの移行 A.1.3 AIX キャッシュ・サーバーの移行 A.1.4 dceweb サーバーが構成されているためのアンインストールの失敗 A.1.5 dceweb の移行と無効な /opt/dcelocal/web/etc/servers ファイル・エントリー A.1.6 DCE 1.2 の DCE WebSecure/Admin の DCE 3.1 への移行 A.1.7 dceweb 構成での同一サーバー名の制限 A.1.8 セル名数の上限 A.1.9 SMIT インストール・メニューにリストされている重複ファイル・セットと旧ファイル・セット A.1.10 新たに構成されたマシン上での idms サーバーの構成上の問題 A.2 セキュリティー  A.2.1 maxtktrenew および maxtktlife 属性の設定  A.2.2 Intercell および Password Strength Server A.2.3 Password Strength Server の mindiff、histexpire、および histsize の規則 A.2.4 Event Management Service を使った DCE の新規監査アクション A.2.5 Password Strength Server のコマンド行オプションの拡張 A.3 I18 Web Administration および Web Secure の考慮事項 A.3.1 Netscape を使ったコード・ページ 850 での DCE Web Admin の実行 A.3.2 コマンド行からの Web Secure の始動 A.3.3 DCE Web Administration のアクティブ・ロケールの変更 A.3.4 A.3.4 英語専用の asciiview コマンド ===================================================== A.1 インストール、アンインストール、移行、および構成 ===================================================== A.1.1 ldap または dce.web のアンインストール ldap と dce.web をどちらも同じシステム上にインストールすると、 その結果 sysck: 3001-036 WARNING が表示されることがあります。ただし、 インストール内容そのものは有効なのにメッセージ問題が起きるのは、片方 の LPP がアンインストールされてもう片方はインストールされたままになった場合です。 LPP の ldap と dce.web をどちらも同じ AIX システム上にインストールする場合 は、これらを除去しないことをお勧めします。どちらかの LPP の除去が必要になった場合、 その LPP のアンインストールが完了した後で、もう片方の LPP のメッセージ・ ファイルセットを強制インストールすることをお勧めします。それによって、 必須のメッセージ・ファイル /usr/lib/nls/msg/en_US/dcehtml.cat がリストア されます。強制インストールするメッセージ・ファイル・セットは、 ldap.msg. (ldap) または dce.msg..web.admin.rte (dce.web) です。ただし は、ご使用のシステムでの言語 (ロケール) 設定です。 たとえば、米国英語システムに ldap と dce.web の両方をインストールすると、 これらはメッセージ・ファイル /usr/lib/nls/msg/en_US/dcehtml.cat を共有 します。その後 LPP パッケージ dce.web を除去した場合、 /usr/lib/nls/msg/en_US/dcehtml.cat ファイルも除去され、この必須メッセージ ・ファイルなしで ldap が残されます。 ldap メッセージ問題が起きないようにするには、ファイルセット ldap.msg.en_US を強制インストールすることをお勧めします。そうすれば、メッセージ・ファイルと 所有権が ldap にリストアされます。また場合によっては、ldap が除去され dce.web が残されます。/usr/lib/nls/msg/en_US/dcehtml.cat がないのに、dce.web LPP パッケージが残されます。このファイルと所有権をリストアするには、 dce.msg.en_US.web.admin.rte を強制インストールします。 ===================================================== A.1.2 DCE WebSecure/Admin と AIX DCE 2.2 からの移行 AIX DCE 2.2 で DCE WebSecure/Admin Netscape (dceweb) サーバーを構成していた場合に、 dceweb サーバーを機能させるには、まずこのサーバーを現行リリースに移行する必要が あります。以下のコマンドをどれか実行すると、dceweb 構成情報の移行が試みられます。 * migrate.dceweb * start.dce * stop.dce * config.dce * unconfig.dce また、構成または構成解除したい特定の dceweb サーバーの移行が正常に完了しなかっ た場合には、以下のコマンドをどれか実行すると、dceweb 構成情報の移行が試みられ ます。 * mkdceweb * rmdceweb 事前に構成済みの特定の DCE WebSecure/Admin Netscape サーバーを機能させるには、 次のような条件を満たす必要があります。 * 該当する Netscape サーバーを実行していなければなりません。 * DCE を実行していなければなりません。 * そのサーバー用の DCE WebSecure/Admin 構成データを移行しなければなり      ません。     * 構成データの移行後、該当する Netscape サーバーをいったん停止してから      再始動しておかなければなりません。 migrate.dceweb プロセスでは、DCE WebSecure/Admin Netscape サーバーの移行が正常 に完了すると、このサーバーは停止されてから再始動されます。 DCE を始動しようとするときは、事前に migrate.dceweb を実行し、発生したすべての 問題 (ある場合) を解決しておくことをお勧めします。 ===================================================== A.1.3 AIX キャッシュ・サーバーの移行 cdscp define cached server を使って設定されたセル間接続をもつ AIX DCE システム を移行する場合、キャッシュ・サーバーの記憶を保存するには、新レベルの DCE の インストールの後と、start.dce の使用の前に、config.dce コマンドを使用しなければ なりません。cds サーバーを指定するには、-cds_replica_list オプションを使用しな ければなりません。これは、スペースで区切られた複数のサーバーを引用符で囲んで 入れられるリストであり、リスト中にホスト名または IP アドレスを使うことができ ます。 たとえば、config.dce -cds_replica_list "server1 server2" となります。 このコマンドを実行すれば、cds キャッシュ外部でも、cds サーバーのリストが保存 されます。DCE の再始動のたびに、cds キャッシュを更新するのにこの情報が使われ ます。いつでも、-cds_replca_list オプションを使って、cds サーバーを更新するこ とができます。config.dce コマンドは、新規の cds サーバーごとに define cached server を実行します。サーバーが除去された場合、キャッシュが終結処理されない限 りそのキャッシュは更新されません。 このステップが行われない場合、元の define cached server コマンドを繰り返せば、 セル間接続を回復することができます。 ================================================================= A.1.4 dceweb サーバーが構成されているためのアンインストールの失敗 AIX DCE 3.1 のアンインストール時に、 dceweb サーバーが構成されているのでアンインストールできないというメッセージが 出されたけれども、dceweb サーバーは構成していないはずの場合、次のようにします。 1. ファイル /opt/dcelocal/web/etc/servers を調べて、 dceweb サーバーのエントリーを確かめます。dceweb サーバー・エントリーは、 次のようものです。 my_server admin Enterprise 3.62 /usr/netscape/suitespot 2. このファイル内のサーバー・エントリーが正しい場合、rmdceweb を使って、示され ている各サーバーの構成を解除します。 3. 適正とは思えない (たとえば、十分な数のフィールドが行内にない) エントリー がファイル内にある場合、そのエントリーを除去します。 4. ファイル内にもうにエントリーがない場合、そのファイルを削除します。 これらのステップを完了したら、AIX DCE 3.1 をアンインストールできるはずです。 ============================================================================= A.1.5 dceweb の移行と無効な /opt/dcelocal/web/etc/servers ファイル・エントリー dceweb 2.2 構成プログラムが、「無効な」(つまり、Netscape バージョン・フィールド に /n がある) エントリーをサーバー用のサーバー・ファイルに入れてから、その サーバーの構成を解除した場合、migrate.dceweb が処理できない「不良」データが そのファイルに残ります。そのような場合、構成済みの dceweb サーバーをすべて移行し終わっても、 DCE の開始または停止のたびに移行プログラムが実行され続けます。 このような問題を修正するには、不良行をサーバー・ファイルから除去するか、 または /opt/dcelocal/web/etc/mig.loc を消去します。 ======================================================== A.1.6 DCE 1.2 の DCE WebSecure/Admin の DCE 3.1 への移行 DCE WebSecure/Admin サーバーを構成して作動することはできるけれども、この サーバーに関するすべての情報は /opt/dcelocal/web/etc/servers ファイル内に なかったという状況があります。そのような場合、以前に構成されている DCE WebSecure/Admin サーバーの中には、 DCE 3.1 レベルに移行できないものがあります。 /opt/dcelocal/web/etc/servers ファイルを調べて、構成済みサーバーがすべてリスト されているかどうかを確かめてください。このサーバーのエントリーは次のようになっ ているはずです。 my_server admin Enterprise 3.62 /netscape/suitespot 最初のフィールドはサーバー名です。2 番目のフィールドは、DCE WebSecure/Admin タイプ (secure 専用の場合は secure、admin/secure の場合は admin) です。3 番目の フィールドは、Netscape サーバー・タイプ (Enterprise または FastTrack) です。4 番目のフィールドは、Netscape のバージョン番号です。最後のフィールドは、サーバー の Netscape ホーム・ディレクトリーです。 移行を実行する前にこのファイルを見ると、一部の行が分割されていることがあり ます。そのような分割行を修正しないでください。サーバー・ファイルは、DCE プログラムでしか変更してはなりません (DCE の資料に他に指示がない限り)。 以前構成した DCE WebSecure/Admin サーバーのいずれかがリストされていない場合 は、次のようにします。 1. 欠落している dceweb サーバーごとに、ルートとして以下を実行します。 add_dceweb_entry たとえば、 add_dceweb_entry my_server admin /netscape/suitespot となり    ます。 2. サーバー・ファイルへのエントリーの追加がすべて正常に完了したら、DCE WebSecure/Admin 移行プログラム migrate.dceweb を実行します。 add_dceweb_entry プログラムは以下のことを行います。 * /opt/dcelocal/web/etc/servers ファイルにすでにサーバー・エントリー が存在する場合、そのエントリーが表示されます。 * サーバー・ファイルへのサーバー・エントリーの追加が正常に完了したら、 新規のエントリーが表示されます。 * エラーが起きた場合、疑問符を 3 個 (???) 付けて、エラーの原因となった データが表示されます。. add_dceweb_entry プログラムは、サーバー・ファイルにエントリーを追加するため だけのプログラムです。このプログラムが、すでに存在するエントリーを更新する ことはありません。 ========================================= A.1.7 dceweb 構成での同一サーバー名の制限 複数の Netscape バージョン (たとえば、Enterprise と FastTrack) がインストール されていて、そのうちの 2 つ以上の Netscape バージョンで同じサーバー名 (たとえば、 server1) が使われている場合、DCE は 1 つのサーバーしか構成できません。 ======================== A.1.8 セル名数の上限 DCE セルの構成時に使える最大セル名数は、255 の最大ファイル名サイズに 基づいて計算されます。DCE で作成される最大ファイル名数は、 #_ch.checkpoint<10 digit number> です。このような 制限があるため、セル名サイズは (229 - ) と計算されます。 Security Master サーバーの構成時、または最初または追加の CDS サーバーの 構成時に、この制限値が適用されます。既存のセル内でのクライアントの構成時、 または他のサーバーの構成時に、255 の最大セル名サイズが適用されます。 ========================================================================================== A.1.9 SMIT インストール・メニューにリストされている重複ファイル・セットと旧ファイル・セット DCE ファイル・セットのうちのいくつかは、3.1 リリースで名前を変更されてい ます。アップグレード・インストールを実行すると、現在インストールされている ものに基づいてファイル・セットがインストールされます。これらのファイル・ セットは名前を変更されているため、新しい名前のファイル・セットはシステム 上で検出されません。アップグレードができるよう、旧名の付いた「ダミー」の ファイル・セットが作成されました。このファイル・セットは、単に新しい名前 のファイル・セットのために必要であるにすぎません。これはどのファイルも インストールしません。 「install latest」または「install all」メニューを使って SMIT を介して インストールすると、同じ 2 つのファイルセットが示されます。片方は、 新規のファイルセット名の付いた実際のファイルセットであり、もう片方は、 「ダミー」のファイルセットです。「ダミー」ファイルセットには、 ファイルセットの説明に「FOR UPGRADES」という付記があります。たとえば、 dce.client.core.rte という名前は dce.client.rte に変更されています。つまり、 dce.client.core.rte という名前の「ダミー」ファイルセット名があるということ です。dce.client パッケージの説明の表示は、(Notice that there are two entries for "DCE Client Services". One contains "- FOR UPGRADES".This is the "dummy" fileset. (注意: DCE Client Services には 2 つのエントリー があります。片方には FOR UPGRADES と書かれていますが、これは「ダミー」の ファイル・セットです。)) dce.client + 3.1.0.0 DCE Client Administrative Tools + 3.1.0.0 DCE Client CDS Tools + 3.1.0.0 DCE Client Configuration Tools + 3.1.0.0 DCE Client RPC Tools + 3.1.0.0 DCE Client Security Tools + 3.1.0.0 DCE Client Services + 3.1.0.0 DCE Client Services - FOR UPGRADES + 3.1.0.0 DCE Client Time Tools + 3.1.0.0 DCE Client Time Zones + 3.1.0.0 DCE SMIT Client Tools + 3.1.0.0 DCE Threads Compatibility Library + 3.1.0.0 DCE Web Secure 「ダミー」ファイルセット・オプションは選択対象ではありません。これは、 「update all」メニューで使用するためのものです。 DCE のインストールが終わったら、「ダミー」ファイル・セットはシステム ではもう必要なくなります。その大半は、他のファイル・セットによって 除去されます。場合によっては、数個がシステムに残ることがあります。インストール の順序によっては、一部のものが残っているかもしれません。それらをシステム に残しても除去してもかまいませんが、ユーザーの判断にゆだねます。 以下に「ダミー」ファイル・セットのリストを示します。これらのファイル ・セットは、旧リリースの DCE にあったものです。これらは、DCE 3.1 リリース では名前を変更されているか、または他のファイル・セットと組み合わせられ ています。 dce.client.core.rte dce.compat.cds.smit dce.compat.client.core.smit dce.compat.security.smit dce.compat.sysmgmt.ems.smit dce.compat.sysmgmt.snmpagt.smit dce.compat.web.admin.smit dce.msg.Es_ES.client.core.rte dce.msg.Es_ES.compat.cds.smit dce.msg.Es_ES.compat.client.core.smit dce.msg.Es_ES.compat.security.smit dce.msg.Es_ES.compat.sysmgmt.ems.smit dce.msg.Es_ES.compat.sysmgmt.snmpagt.smit dce.msg.Es_ES.pthreads.rte dce.msg.Es_ES.web.admin.rte dce.msg.Es_ES.web.secure.rte dce.msg.Ja_JP.client.core.rte dce.msg.Ja_JP.compat.cds.smit dce.msg.Ja_JP.compat.client.core.smit dce.msg.Ja_JP.compat.security.smit dce.msg.Ja_JP.compat.sysmgmt.ems.smit dce.msg.Ja_JP.compat.sysmgmt.snmpagt.smit dce.msg.Ja_JP.pthreads.rte dce.msg.Ja_JP.web.admin.rte dce.msg.Ja_JP.web.secure.rte dce.msg.Zh_TW.client.core.rte dce.msg.Zh_TW.compat.cds.smit dce.msg.Zh_TW.compat.client.core.smit dce.msg.Zh_TW.compat.security.smit dce.msg.Zh_TW.compat.sysmgmt.ems.smit dce.msg.Zh_TW.compat.sysmgmt.snmpagt.smit dce.msg.Zh_TW.pthreads.rte dce.msg.Zh_TW.web.admin.rte dce.msg.Zh_TW.web.secure.rte dce.msg.en_US.client.core.rte dce.msg.en_US.compat.cds.smit dce.msg.en_US.compat.client.core.smit dce.msg.en_US.compat.security.smit dce.msg.en_US.compat.sysmgmt.ems.smit dce.msg.en_US.compat.sysmgmt.snmpagt.smit dce.msg.en_US.pthreads.rte dce.msg.en_US.web.admin.rte dce.msg.en_US.web.secure.rte dce.msg.es_ES.client.core.rte dce.msg.es_ES.compat.cds.smit dce.msg.es_ES.compat.client.core.smit dce.msg.es_ES.compat.security.smit dce.msg.es_ES.compat.sysmgmt.ems.smit dce.msg.es_ES.compat.sysmgmt.snmpagt.smit dce.msg.es_ES.pthreads.rte dce.msg.es_ES.web.admin.rte dce.msg.es_ES.web.secure.rte dce.msg.ja_JP.client.core.rte dce.msg.ja_JP.compat.cds.smit dce.msg.ja_JP.compat.client.core.smit dce.msg.ja_JP.compat.security.smit dce.msg.ja_JP.compat.sysmgmt.ems.smit dce.msg.ja_JP.compat.sysmgmt.snmpagt.smit dce.msg.ja_JP.pthreads.rte dce.msg.ja_JP.web.admin.rte dce.msg.ja_JP.web.secure.rte dce.msg.ko_KR.client.core.rte dce.msg.ko_KR.compat.cds.smit dce.msg.ko_KR.compat.client.core.smit dce.msg.ko_KR.compat.security.smit dce.msg.ko_KR.compat.sysmgmt.ems.smit dce.msg.ko_KR.compat.sysmgmt.snmpagt.smit dce.msg.ko_KR.pthreads.rte dce.msg.ko_KR.web.admin.rte dce.msg.ko_KR.web.secure.rte dce.msg.zh_TW.client.core.rte dce.msg.zh_TW.compat.cds.smit dce.msg.zh_TW.compat.client.core.smit dce.msg.zh_TW.compat.security.smit dce.msg.zh_TW.compat.sysmgmt.ems.smit dce.msg.zh_TW.compat.sysmgmt.snmpagt.smit dce.msg.zh_TW.pthreads.rte dce.msg.zh_TW.web.admin.rte dce.msg.zh_TW.web.secure.rte dce.web.admin.rte dce.web.secure.rte =============================================================== A.1.10 新たに構成されたマシン上での idms サーバーの構成上の問題 場合によっては、idms サーバーの構成で idmsd keytab を作成できないことが あります。キー・テーブルのエントリーは、dced の初期化が完了しない限り 作成できません。以下のいずれかを行います。 * rpc、sec_cl、sec_srv (or sec_rep)、および cds_cl の構成の後、数分待って  から idms を構成します。(1〜5 分しか待つ必要はありません。) * /opt/dcelocal/etc/usrstime.tcl を編集し、キー・テーブルの作成が正常に  完了するまで config.dce が待機する時間を変更します。wait_for_keytab_to_work  の値を 90 よりも長い時間の秒数に変更します。 * idms の実行中に config.dce が失敗した場合、unconfig.dce idms を実行  して、しばらく待ってから、config.dce idms コマンドをもう一度実行し  ます。(1〜5 分しか待つ必要はありません。) ===================================================== A.2 セキュリティー =================================================== A.2.1 maxtktrenew および maxtktlife 属性の設定 dcecp の account modify コマンドを使って、ユーザーのアカウントの maxtktrenew または maxtktlife 属性の値を設定すると、 "msgID=0x17122084 Invalid data record (データ・レコードが無効です)" というエラーが出されることがあります。このエラーが起きるのは、これら の属性に正しい値を指定したとしても、この 2 つのアカウント属性のいずれか を初めて設定する場合である考えられます。アカウントに maxtktrenew または maxtktlife を初めて設定するときは、dcecp account modify コマンドに両方 の属性を指定する必要があります。両方の属性をアカウント用に設定し終わっ たら、次に dcecp を使ってどちらでも単独で変更することができます。 ===================================================== A.2.2 Intercell および Password Strength Server 2 または 3 の pwd_val_type ERA を使用する場合、セル間およびパスワード の生成を使用するには、完全な正規のバインディングと外部セル名を pwd_mgmt_binding ERA に指定しなければなりません。 たとえば、ローカル・セルでは、次のように指定することができます。 dcecp -c principal modify -add {pwd_mgmt_binding {{ dce /...//pwd_strengthd pktprivay secret name} /...//subsys/dce/pwd_mgmt/pwd_strengthd}} このコマンドは、パスワードの生成が要求されるたびに、デフォルトのローカル ・セルにではなく、 のパスワード生成に を送信 します。 セル間接続または Password Strength Server の要件の詳細は、 『IBM DCE 3.1 for AIX and Solaris: Administration Guide - Core Components』を参照してください。 ============================================================================== A.2.3 Password Strength Server の mindiff、histexpire、および histsize の規則 現在のパスワードに対して新規パスワードを比較するときの mindiff、histexpire、 および histsize の規則では、その遵守のために、Password Strength Server で 1 つのパスワードの変更がすでに行われている必要があります。検査ルーチンは、 Password Strength のヒストリー・データベースで現在のパスワードを検索しま す。Password Strength Server を使って現在のパスワードを変更していないと、 そのパスワードはヒストリー・データベース内に存在しません。その場合、 新規パスワードはブランクに対して比較され、オペレーションは正常に完了しな いことがあります。 =============================================================== A.2.4 Event Management Service を使った DCE の新規監査アクション 監査サービス用の監査フィルターを変更および作成する場合、新しいアクション である ems をフィルター・ガイドに指定できます。フィルター・ガイド内で ems をアクションと指定すると、監査イベントは Event Management Service に 送られます。 =========================================================== A.2.5 Password Strength Server のコマンド行オプションの拡張 本バージョンの DCE には、新しい拡張 Password Strength Server が用意され ています。旧バージョンの DCE では Password Strength Server で使えた いくつかのコマンド行オプションが、現在は旧オプションになっています。それ らのオプションは次のものです。 +/-all_spaces +/-alpha_num -min_len 上記のオプションは、互換性を保つために拡張 Server 上でも継続して機能します が、使わないようにしてください。代わりに拡張 Server は、レジストリー からこれと同様のパスワード規則を読み取ることができ、それを使ってユーザー ・パスワードを検査します。そのために、dcecp コマンドの registry modify および organization modify を使って、レジストリー全体または組織固有の パスワード・ポリシーが設定されます。パスワードの最小の長さを設定するには、 IBM_pwd_comp_rules ERA に minlen 値を設定する必要があります。拡張 Password Strength Server を使用するユーザーを対象としたパスワード規則の 設定法の詳細とその例は、『IBM DCE 3.1 for AIX and Solaris: Administration Guide - Core Components』を参照してください。 ======================================================= A.3 I18 Web Administration および Web Secure の考慮事項 ===================================================== A.3.1 Netscape を使ったコード・ページ 850 での DCE Web Admin の実行 Netscape ブラウザーのフォントをコード・ページ 850 に変更するには、次の ようなステップを行います。 - 「Edit」、「Preferences」、「Appearance」、「Fonts」で、 「Encoding」に「User-Defined」を選び、フォントに「ibm-850」を選びます。 - 「View」、「Character Set」で、「User-Defined」を選びます。 ======================================== A.3.2 コマンド行からの Web Secure の始動 一部のアジア・ロケールでは、コマンド行から aixterm で DCE Web Secure な どの Netscape Web サーバーを始動できません。コマンド行から DCE Web Secure を構成または始動する予定の場合、aixterm ではなく dtterm を使用してくだ さい。 あるいは、コマンド行ではなく、Netscape の「Server Administration」 ページを使って、DCE Web Secure を管理することもできます。 ========================================================= A.3.3 DCE Web Administration のアクティブ・ロケールの変更 まず Web Secure を停止し、そのロケールを変更してから、再始動します。 たとえば、コマンド行から、次のようなコマンドを使うことができます。 >/usr/netscape/suitespot/httpd-/stop >export LC_ALL= >/usr/netscape/suitespot/httpd-/start 次に、Netscape ブラウザーをいったん停止してから始動して、DCE Web Administration にアクセスします。 =================================== A.3.4 英語専用の asciiview コマンド asciiview コマンドは、英語以外の言語では機能しません。 別の言語で 3270 フォーマットの文書を見るには、次のようにします。 - vi などのエディターを使って、適切なディレクトリー  /usr/lpp/dcedoc/3270/ に変更します。 - ブック・リストをブラウズして正しい文書を確かめます。 - vi などの任意のテキスト・エディターを使って、選択した文書を表示します。 =====================================================