Sun Microsystems Advanced Lights Out Management Guide
Advanced Lights Out Management
(ALOM) CMT v1.2 ガイド
Sun Microsystems, Inc.
www.sun.com
Part No. 819-7134-10
2006 年 7 月, Revision A
コメントの送付: http://www.sun.com/hwdocs/feedback
Copyright 2006 Sun Microsystems, Inc., 4150 Network Circle, Santa Clara, California 95054, U.S.A. All rights reserved.
米国 Sun Microsystems, Inc. (以下、米国 Sun Microsystems 社とします) は、本書に記述されている技術に関する知的所有権を有していま
す。これら知的所有権には、http://www.sun.com/patents に掲載されているひとつまたは複数の米国特許、および米国ならびにその他の
国におけるひとつまたは複数の特許または出願中の特許が含まれています。
本書およびそれに付属する製品は著作権法により保護されており、その使用、複製、頒布および逆コンパイルを制限するライセンスのもと
において頒布されます。サン・マイクロシステムズ株式会社の書面による事前の許可なく、本製品および本書のいかなる部分も、いかなる
方法によっても複製することが禁じられます。
本製品のフォント技術を含む第三者のソフトウェアは、著作権法により保護されており、提供者からライセンスを受けているものです。
本製品の一部は、カリフォルニア大学からライセンスされている Berkeley BSD システムに基づいていることがあります。UNIX は、
X/Open Company Limited が独占的にライセンスしている米国ならびに他の国における登録商標です。
本製品は、株式会社モリサワからライセンス供与されたリュウミン L-KL (Ryumin-Light) および中ゴシック BBB (GothicBBB-Medium) の
フォント・データを含んでいます。
本製品に含まれる HG 明朝 L と HG ゴシック B は、株式会社リコーがリョービイマジクス株式会社からライセンス供与されたタイプフェー
スマスタをもとに作成されたものです。平成明朝体 W3 は、株式会社リコーが財団法人 日本規格協会 文字フォント開発・普及センターから
ライセンス供与されたタイプフェースマスタをもとに作成されたものです。また、HG 明朝 L と HG ゴシック B の補助漢字部分は、平成明
朝体W3 の補助漢字を使用しています。なお、フォントとして無断複製することは禁止されています。
Sun、Sun Microsystems、Java、docs.sun.com は、米国およびその他の国における米国 Sun Microsystems 社の商標もしくは登録商標です。
サンのロゴマークおよび Solaris は、米国 Sun Microsystems 社の登録商標です。
すべての SPARC 商標は、米国 SPARC International, Inc. のライセンスを受けて使用している同社の米国およびその他の国における商標また
は登録商標です。SPARC 商標が付いた製品は、米国 Sun Microsystems 社が開発したアーキテクチャーに基づくものです。
OPENLOOK、OpenBoot、JLE は、サン・マイクロシステムズ株式会社の登録商標です。
ATO K は、株式会社ジャストシステムの登録商標です。ATOK 8 は、株式会社ジャストシステムの著作物であり、AT OK8 にかかる著作権そ
の他の権利は、すべて株式会社ジャストシステムに帰属します。AT OK Ser ve r/ ATO K1 2 は、株式会社ジャストシステムの著作物であり、
ATOK Server/ATOK12 にかかる著作権その他の権利は、株式会社ジャストシステムおよび各権利者に帰属します。
本書で参照されている製品やサービスに関しては、該当する会社または組織に直接お問い合わせください。
OPEN LOOK および Sun™ Graphical User Interface は、米国 Sun Microsystems 社が自社のユーザーおよびライセンス実施権者向けに開発
しました。米国 Sun Microsystems 社は、コンピュータ産業用のビジュアルまたは グラフィカル・ユーザーインタフェースの概念の研究開
発における米国 Xerox 社の先駆者としての成果を認めるものです。米国 Sun Microsystems 社は米国 Xerox 社から Xerox Graphical User
Interface の非独占的ライセンスを取得しており、このライセンスは米国 Sun Microsystems 社のライセンス実施権者にも適用されます。
U.S. Government Rights—Commercial use. Government users are subject to the Sun Microsystems, Inc. standard license agreement and
applicable provisions of the FAR and its supplements.
本書は、「現状のまま」をベースとして提供され、商品性、特定目的への適合性または第三者の権利の非侵害の黙示の保証を含みそれに限
定されない、明示的であるか黙示的であるかを問わない、なんらの保証も行われないものとします。
本書には、技術的な誤りまたは誤植のある可能性があります。また、本書に記載された情報には、定期的に変更が行われ、かかる変更は本
書の最新版に反映されます。さらに、米国サンまたは日本サンは、本書に記載された製品またはプログラムを、予告なく改良または変更す
ることがあります。
本製品が、外国為替および外国貿易管理法 ( 外為法) に定められる戦略物資等 (貨物または役務) に該当する場合、本製品を輸出または日本国
外へ持ち出す際には、サン・マイクロシステムズ株式会社の事前の書面による承諾を得ることのほか、外為法および関連法規に基づく輸出
手続き、また場合によっては、米国商務省または米国所轄官庁の許可を得ることが必要です。
原典: Advanced Lights Out Management (ALOM) CMT v1.2 Guide
Part No: 819-6672-10
Revision A
Please
Recycle
目次
はじめに xiii
1. Sun Advanced Lights Out Manager の概要 1
ALOM の機能 1
ALOM の監視対象 2
ALOM の使用 3
障害およびエラー関連の用語 4
fault 状態 4
failed 状態 5
プラットフォーム固有の情報 5
2. セキュリティーガイドライン 7
システムコントローラのセキュリティー保護 7
遠隔接続のタイプの選択 9
Secure Shell の有効化 9
Solaris オペレーティングシステムのセキュリティー 11
3. ALOM の構成 13
ALOM の構成手順 13
ALOM の構成計画 14
ALOM 通信ポートの選択 14
iii
シリアル管理ポート 15
ネットワーク管理 (Ethernet) ポート 16
デフォルトの DHCP 接続 16
構成ワークシート 19
構成変数ワークシート 20
DHCP を使用したネットワークの構成 21
手動でのネットワークの構成 21
電子メールによる警告の構成 22
ALOM の設定 22
4. ALOM に関する一般的な作業 25
ALOM への接続 25
ALOM アカウントへのログイン 26
ALOM のリセット 27
システムコンソールと ALOM 間の切り替え 28
ALOM からほかのデバイスへのシステムコンソールのリダイレクト 28
ALOM のバージョンの表示 28
ロケータ LED の制御 29
ホストサーバーの電源投入および電源切断 29
ホストサーバーのリセット 30
サーバーの環境情報の表示 30
ALOM 診断パラメータの再構成 31
Ethernet ポートを使用するための ALOM の再設定 32
setsc コマンドを使用したネットワークインタフェース変数の設定 35
ALOM ユーザーアカウントの追加 35
ALOM ユーザーアカウントの削除 37
自分のアカウントまたは別のユーザーのアカウントのパスワードの変更 38
警告メッセージの送受信 39
ALOM からの警告の受信 40
iv Advanced Lights Out Management (ALOM) CMT v1.2 ガイド • 2006 年 7 月
5. ALOM の障害管理作業 41
障害情報の原因 41
障害管理のためのナレッジ記事の入手 42
6. ALOM コマンドシェルの使用 43
ALOM コマンドシェルの概要 43
ALOM シェルコマンド 44
ALOM シェルコマンドの説明 49
bootmode 49
break 51
clearasrdb 52
clearfault 52
console 55
consolehistory 57
disablecomponent 59
enablecomponent 61
flashupdate 63
help 64
logout 67
password 68
powercycle 69
poweroff 69
poweron 71
removefru 72
reset 74
resetsc 75
restartssh 76
setdate 77
setdefaults 78
目次 v
setfru 80
setkeyswitch 80
setlocator 81
setsc 82
setupsc 83
showcomponent 85
showdate 86
showenvironment 87
showfaults 93
showfru 94
showhost 98
showkeyswitch 98
showlocator 99
showlogs 100
shownetwork 102
showplatform 103
showsc 104
showusers 107
ssh-keygen 108
useradd 109
userdel 110
userpassword 111
userperm 112
usershow 115
7. ALOM 構成変数の使用 117
ALOM 構成変数の概要 117
シリアル管理ポート変数 118
ネットワークインタフェース変数 119
vi Advanced Lights Out Management (ALOM) CMT v1.2 ガイド • 2006 年 7 月
ネットワーク管理および通知変数 119
システムユーザー変数 120
診断制御変数 121
構成変数の説明 121
diag_level 122
diag_mode 123
diag_trigger 124
diag_verbosity 125
if_connection 126
if_emailalerts 127
if_network 128
mgt_mailalert 129
mgt_mailhost 131
netsc_dhcp 133
netsc_enetaddr 133
netsc_ipaddr 134
netsc_ipgateway 135
netsc_ipnetmask 136
sc_backupuserdata 137
sc_clieventlevel 138
sc_cliprompt 139
sc_clitimeout 140
sc_clipasswdecho 141
sc_customerinfo 142
sc_escapechars 143
sc_powerondelay 144
sc_powerstatememory 145
ser_baudrate 146
目次 vii
ser_data 146
ser_parity 146
ser_stopbits 147
sys_autorunonerror 147
sys_enetaddr 148
A. 障害追跡 149
ALOM の問題の障害追跡 150
ALOM を使用したサーバーの問題の障害追跡 151
システムコンソールの書き込みロックの概要 152
ALOM シェルエラーメッセージ 152
使用方法に関するエラー 153
一般的なエラー 154
FRU 状態に関する CLI メッセージ 157
ALOM パスワードの回復 157
viii Advanced Lights Out Management (ALOM) CMT v1.2 ガイド • 2006 年 7 月
コード例
コード例 6-1 help コマンドの出力例 66
コード例 6-2 Sun Fire T2000 サーバーの showenvironment コマンドの出力例 (電源投入時)88
コード例 6-3 Sun Fire T1000 サーバーの showenvironment コマンドの出力例 (電源投入時)90
コード例 6-4 showenvironment コマンドの出力例 (電源切断時)92
コード例 6-5 Sun Fire T2000 で有効な引数を表示する showfru コマンドの出力例 95
コード例 6-6 Sun Fire T1000 で有効な引数を表示する showfru コマンドの出力例 96
コード例 6-7 有効な引数を使用した showfru コマンドの出力例 96
コード例 6-8 showlogs –p p コマンドの出力例 101
コード例 6-9 showsc での構成情報の表示例 104
コード例 6-10 showsc –v での構成情報の表示例 105
ix
x Advanced Lights Out Management (ALOM) CMT v1.2 ガイド • 2006 年 7 月
表目次
表 2-1 プラットフォームセキュリティー構成チェックリスト 8
表 2-2 SSH サーバーの属性 9
表 3-1 ALOM 構成変数の DHCP デフォルトの内容 16
表 3-2 機能別 Ethernet 変数 20
表 6-1 ALOM シェルコマンドの機能別リスト 44
表 6-2 bootmode コマンドオプション 50
表 6-3 break コマンドオプション 52
表 6-4 consolehistory コマンドオプション 58
表 6-5 flashupdate コマンドオプション 64
表 6-6 powercycle コマンドオプション 69
表 6-7 poweroff コマンドオプション 71
表 6-8 poweron コマンドオプション 72
表 6-9 removefru コマンドオプション 73
表 6-10 removefru の FRU 値 73
表 6-11 reset コマンドオプション 74
表 6-12 restartssh コマンドオプション 76
表 6-13 setdate コマンドオプション 78
表 6-14 setdefaults コマンドオプション 79
表 6-15 setkeyswitch コマンドオプション 81
表 6-16 showfru コマンドオプション 95
xi
表 6-17 showlogs コマンドオプション 101
表 6-18 showsc コマンドオプション 107
表 6-19 ssh-keygen コマンドオプション 109
表 6-20 userperm のアクセス権レベル 113
表 7-1 diag_level のタスク 122
表 7-2 diag_mode のタスク 123
表 7-3 diag_trigger のタスク 124
表 7-4 diag_verbosity のタスク 125
表 7-5 if_connection のオプション 126
表 7-6 if_network のタスク 128
表 7-7 mgt_mailalert のタスク 129
表 7-8 mgt_mailhost のタスク 131
表 7-9 netsc_dhcp のタスク 133
表 7-10 netsc_ipaddr のタスク 134
表 7-11 netsc_ipgateway のタスク 135
表 7-12 netsc_ipnetmask のタスク 136
表 7-13 sc_backuserdata のタスク 138
表 7-14 sc_clieventlevel のタスク 139
表 7-15 sc_cliprompt のタスク 139
表 7-16 sc_clitimeout のタスク 141
表 7-17 sc_clipasswdecho のタスク 142
表 7-18 sc_customerinfo のタスク 143
表 7-19 sc_escapechars のタスク 143
表 7-20 sc_powerondelay のタスク 144
表 7-21 sc_powerstatememory のタスク 145
xii Advanced Lights Out Management (ALOM) CMT v1.2 ガイド • 2006 年 7 月
はじめに
『Advanced Lights Out Management (ALOM) CMT v1.2 ガイド』では、Sun
Advanced Lights Out Manager (ALOM) システムコントローラについて説明しま
す。このコントローラを使用すると、Sun Fire™ サーバーを遠隔で管理できます。こ
のマニュアルは、UNIX
対象としています。
マニュアルの構成
第 1 章では、Sun Advanced Lights Out Manager の概要について説明します。
第 2 章では、サーバーのセキュリティーガイドラインについて説明します。
第 3 章では、サーバーに合わせて ALOM ソフトウェアをカスタマイズする方法につ
いて説明します。
第 4 章では、ALOM で簡単に実行できる一部の一般的な作業について説明します。
第 5 章では、ALOM で実行できる一部の障害管理作業について説明します。
®
コマンドについての知識と経験が豊富なシステム管理者を
第 6 章では、ALOM コマンド行インタフェースについて説明します。
第 7 章では、ALOM の動作を変更するために使用できる構成変数について説明しま
す。
付録 A では、診断について説明し、ALOM に関する問題を障害追跡する方法につい
て説明します。
xiii
UNIX コマンド
このマニュアルには、システムの停止、システムの起動、およびデバイスの構成など
に使用する基本的な UNIX コマンドと操作手順に関する説明は含まれていない可能
性があります。
これらについては、以下を参照してください。
■ 『Sun 周辺機器使用の手引き』
■ Solaris
■ 使用しているシステムに付属のその他のソフトウェアマニュアル
™
オペレーティングシステムの AnswerBook2™ オンラインマニュアル
書体と記号について
書体または記号 意味 例
AaBbCc123
AaBbCc123
AaBbCc123
『 』 参照する書名を示します。 『Solaris ユーザーマニュアル』
「 」 参照する章、節、または、強調す
\
コマンド名、ファイル名、ディレ
クトリ名、画面上のコンピュータ
出力、コード例。
ユーザーが入力する文字を、画面
上のコンピュータ出力と区別して
表します。
コマンド行の可変部分。実際の名
前や値と置き換えてください。
る語を示します。
枠で囲まれたコード例で、テキス
トがページ行幅を超える場合に、
継続を示します。
.login ファイルを編集します。
ls -a を実行します。
% You have mail.
%
su
Password:
rm filename と入力します。
第 6 章「データの管理」を参照。
この操作ができるのは「スーパー
ユーザー」だけです。
% grep ‘^#define \
XV_VERSION_STRING’
xiv Advanced Lights Out Management (ALOM) CMT v1.2 ガイド • 2006 年 7 月
シェルプロンプトについて
シェル プロンプト
UNIX の C シェル
UNIX の Bourne シェルと Korn シェル
スーパーユーザー (シェルの種類を問わない)
ALOM システムコントローラ
OpenBoot PROM ファームウェア
machine_name%
$
#
sc>
ok
関連マニュアル
次のマニュアルでは、ホストサーバーでの作業に関して、ALOM に関連する特定の
作業の実行方法について説明しています。
作業 タイトル
診断テストの実行 『SunVTS User's Guide』
『SunVTS Quick Reference Card』
『SunVTS Test Reference Manual』
『Sun Management Center ユーザーガイド』
システムおよびネットワークの管理
Solaris 10 System Administrator Collection
オペレーティングシステムの使用
Solaris 10 User Collection
はじめに xv
マニュアル、サポート、およびトレーニ
ング
Sun のサービス
マニュアル
サポート
トレーニング
URL
http://jp.sun.com/documentation/
http://jp.sun.com/support/
http://jp.sun.com/training/
Sun 以外の Web サイト
このマニュアルで紹介する Sun 以外の Web サイトが使用可能かどうかについては、
Sun は責任を負いません。このようなサイトやリソース上、またはこれらを経由して
利用できるコンテンツ、広告、製品、またはその他の資料についても、Sun は保証し
ておらず、法的責任を負いません。また、このようなサイトやリソース上、またはこ
れらを経由して利用できるコンテンツ、商品、サービスの使用や、それらへの依存に
関連して発生した実際の損害や損失、またはその申し立てについても、Sun は一切の
責任を負いません。
コメントをお寄せください
マニュアルの品質改善のため、お客様からのご意見およびご要望をお待ちしておりま
す。コメントは下記よりお送りください。
http://www.sun.com/hwdocs/feedback
ご意見をお寄せいただく際には、下記のタイトルと Part No. を記載してください。
『Advanced Lights Out Management (ALOM) CMT v1.2 ガイド』、Part No. 819-
7134-10
xvi Advanced Lights Out Management (ALOM) CMT v1.2 ガイド • 2006 年 7 月
第 1 章
Sun Advanced Lights Out Manager
の概要
この章では、Sun Advanced Lights Out Manager (ALOM) の概要について説明しま
す。この章は、次の節で構成されています。
■ 1 ページの「ALOM の機能」
■ 2 ページの「ALOM の監視対象」
■ 4 ページの「障害およびエラー関連の用語」
■ 5 ページの「プラットフォーム固有の情報」
このあとの章では、ALOM の構成および使用について詳細に説明します。
ALOM の機能
Sun Advanced Lights Out Manager (ALOM) は、サーバーの遠隔管理を行うための
システムコントローラです。
ALOM ソフトウェアは、サーバーにプリインストールされています。このため、
ALOM は、サーバーを設置して電源を入れるとすぐに動作します。その後、特定の
インストール環境で動作するように ALOM をカスタマイズできます。詳細は、13
ページの「ALOM の構成」を参照してください。
ALOM を使用すると、ネットワーク経由か、端末または端末サーバーに接続される
専用のシリアルポートのいずれかを使用して、サーバーを監視および制御できます。
ALOM で提供されるコマンド行インタフェースを使用して、地理的に分散されたマ
シンまたは物理的にアクセス不可能なマシンを遠隔から管理できます。44 ページの
「ALOM シェルコマンド」を参照してください。
1
また、ALOM を使用すると、サーバーのシリアルポートに物理的に近い場所で実行
する必要がある電源投入時自己診断 (Power-On Self-Test、POST) などの診断を遠隔
で実行できます。151 ページの「ALOM を使用したサーバーの問題の障害追跡」を
参照してください。また、ハードウェア障害、ハードウェア警告、およびサーバーま
たは ALOM に関連するその他のイベントの電子メールによる警告を送信するように
ALOM を設定することもできます。
ALOM 回路は、サーバーのスタンバイ電力を使用して、サーバーとは独立して動作
します。このため、サーバーのオペレーティングシステムがオフラインになった場合
や、サーバーの電源が切断された場合でも、ALOM ファームウェアおよびソフト
ウェアは機能し続けます。
ALOM の監視対象
この節では、サーバー上で ALOM が監視できるコンポーネントの一部について説明
します。
監視対象コンポーネント ALOM の監視内容
ファン ファンが取り付けられているかどうか、ファンの回転速度、お
よびファンが OK ステータスを報告しているかどうか
CPU
電源装置 電源装置の状態、および障害が報告されているかどうか
システム格納装置の温度 システム周辺の温度、および格納装置の温度の警告状態または
負荷 システム負荷 (アンペア)
電流 電流センサーの状態
電圧 正しい電圧が報告されているかどうか
サーバーのフロントパネル LED の状態
CPU で計測される温度、および温度の警告状態または障害状
態
障害状態
2 Advanced Lights Out Management (ALOM) CMT v1.2 ガイド • 2006 年 7 月
ALOM の使用
ALOM ソフトウェアは、ホストサーバーにプリインストールされています。このた
め、ALOM はサーバーを設置して電源を入れるとすぐに動作します。外部 ASCII 端
末をシリアル管理ポート (SERIAL MGT) に接続すれば、ALOM ソフトウェアを設定
しなくてもすぐに ALOM を開始できます。外部端末の接続の詳細は、使用している
ホストサーバーに付属のインストールガイドを参照してください。
ALOM ソフトウェアを使用すると、ALOM ハードウェアが設置されているホスト
サーバーを監視できます。この場合、ホストサーバーのみを監視することができ、
ネットワーク上のその他のサーバーは監視できません。複数のユーザーがホストサー
バーを監視できますが、一度に 1 人のユーザーのみがコンソールへの書き込み権を持
ちます。その他の接続は読み取り専用となります。その他のユーザーは、システムコ
ンソールおよび ALOM の出力を表示するためのコマンドを実行できますが、設定を
変更することはできません。
ALOM に接続するには、次のいくつかの方法があります。
1. SERIAL MGT ポートに ASCII 端末を直接接続します。詳細は、15 ページの「シ
リアル管理ポート」を参照してください。
2. telnet または ssh コマンドを使用し、ネットワーク管理 (Ethernet) (NET MGT)
ポートに接続されている Ethernet 接続を介して ALOM に接続します。詳細は、
16 ページの「ネットワーク管理 (Ethernet) ポート」を参照してください。
3. SERIAL MGT ポートに端末サーバーのポートを接続してから、telnet コマンド
を使用して端末サーバーに接続します。
はじめてサーバーに電源を入れると、ALOM は事前設定されているデフォルトのア
カウントを使用してシステムの監視を自動的に開始し、システムコンソールに出力を
表示します。デフォルトのアカウントは admin で、完全なアクセス権 (cuar) を持っ
ています。アクセス権の詳細は、112 ページの「userperm」を参照してください。
第 1 章 Sun Advanced Lights Out Manager の概要 3
ALOM にログインして admin のパスワードを指定するには、次の手順を実行しま
す。
■ ALOM コマンドプロンプト (sc>) で password コマンドを入力し、admin アカ
ウントのパスワードを指定します。詳細は、68 ページの「password」を参照し
てください。
ログインする前にタイムアウトした場合は、システムコンソールに戻り、次の
メッセージが表示されます。
Enter #. to return to ALOM.
必要に応じて、ALOM にログインしたあと、特定のインストール環境で動作するよ
うに ALOM をカスタマイズできます。詳細は、13 ページの「ALOM の構成」を参
照してください。
これで、ALOM ユーザーアカウントの追加など、一部の一般的な管理作業を実行で
きるようになります。詳細は、25 ページの「ALOM に関する一般的な作業」を参照
してください。
障害およびエラー関連の用語
すべての Sun Fire サーバーでは、ALOM を使用して表示および監視可能な 2 つの動
作状態 (ok および failed) が表示されます。一部のサーバーには、faulty という
動作状態もあります。この節では、faulty 状態と failed 状態の相違点について説
明します。
fault 状態
faulty 状態は、縮退状態でデバイスが動作しているが、デバイスは完全に機能して
いることを示しています。この縮退により、このデバイスは fault を示していないデ
バイスよりも信頼性が低くなることがあります。faulty 状態のデバイスは、主な機
能を引き続き実行できます。
たとえば、内部ファンに障害が発生すると、電源装置は faulty を示します。ただ
し、温度が危険しきい値を超えないかぎり、この電源装置は安定した電源を供給し続
けることができます。このような faulty 状態の電源装置は、温度、負荷、および効
率に応じて適切に機能しなくなることがあります。このため、障害が発生していない
電源装置よりも信頼性が低くなります。
4 Advanced Lights Out Management (ALOM) CMT v1.2 ガイド • 2006 年 7 月
failed 状態
failed 状態は、デバイスがシステムの要求どおりに機能していないことを示してい
ます。重大な障害状態または複数の障害の併発が原因で、デバイスに障害が発生しま
す。デバイスが failed 状態になると機能が停止するため、システム資源として使用
することができなくなります。
電源装置の例では、電源装置は、安定した電源の供給を停止したときに failed 状態
であるとみなされます。
プラットフォーム固有の情報
flashupdate コマンドを使用して ALOM ファームウェアを更新する前に、次の点
を確認してください。
■ 仮想キースイッチがロック位置に設定されていない。
■ ALOM がネットワーク構成されている。サーバーの現在のネットワーク構成を表
示する方法については、102 ページの「shownetwork」を参照してください。
■ 適切なアクセス権 (アクセス権レベル: a) を持っている。
■ 有効な ALOM ファームウェアイメージがネットワークアクセス可能なディレクト
リに配置されている。
詳細は、使用しているシステムに付属のインストールガイドを参照してください。
第 1 章 Sun Advanced Lights Out Manager の概要 5
6 Advanced Lights Out Management (ALOM) CMT v1.2 ガイド • 2006 年 7 月
第 2 章
セキュリティーガイドライン
この章では、セキュリティー上の重要なガイドラインについて説明します。承認され
ていないアクセスを制限するようにシステムを構成することを、セキュリティー強化
と呼びます。この章の内容は、次のとおりです。
■ 7 ページの「システムコントローラのセキュリティー保護」
■ 9 ページの「遠隔接続のタイプの選択」
■ 9 ページの「Secure Shell の有効化」
■ 11 ページの「Solaris オペレーティングシステムのセキュリティー」
システムコントローラのセキュリティー保護
SC は、ホストドメインから独立して動作します。SC は、RAM メモリーや持続的記
憶領域などのコンピュータリソースをホストドメインと共有しません。SC は専用
ハードウェアを使用してホストドメインと通信します。SC は、ホストドメインにロ
グインすることはありませんが、ユーザーログインのためにホストのシリアルコン
ソールポートへのアクセスを提供し、すべてのコンソールトラフィックをログに記録
します。
考慮すべきセキュリティー上の対策は次のとおりです。
■ すべてのパスワードがセキュリティーガイドラインに必ず準拠するようにしま
す。たとえば、ホストドメインと SC には一意のパスワードを設定することをお勧
めします。
■ プラットフォームおよびホストドメインのパスワードを定期的に変更します。
■ ログファイルを定期的に精査して、不正がないか確認します。
システムの強化に役立つ構成手順を次に示します。
■ SC のアプリケーションファームウェアを更新した直後や、ホストドメインを構成
またはインストールする前に、セキュリティーの変更を実装します。
■ SC コマンドシェルへのアクセスを制限します。
■ SC ユーザーに対し、役割に基づいて特定の権限を割り当てます。
7
■ 特定の構成変更のあとには再起動を予定します。
Solaris オペレーティングシステムが動作しているシステムに対してセキュリティー
保護された構成を作成する場合の、Solaris Security Toolkit の使用に関する情報につ
いては、次の Web サイトを参照してください。
http://www.sun.com/software/security/jass
表 2-1 のプラットフォームセキュリティー構成チェックリストに、setsc および
setupsc コマンドのパラメータと、SC およびホストをセキュリティー保護するため
のその他のタスクを示します。システムコントローラのセキュリティーに関連する
setsc および setupsc コマンドのパラメータの詳細は、82 ページの「setsc」お
よび 83 ページの「setupsc」のコマンド説明を参照してください。
表 2-1 プラットフォームセキュリティー構成チェックリスト
設定またはタスク 推奨事項
遠隔接続のタイプ setupsc コマンドまたは setsc if_connection ssh で、接続タイ
プとして ssh を選択します。
注: ネットワークベースの端末サーバーを使用する場合は、端末サー
バーへのアクセスに SSH を使用して、サーバーとのすべての通信が暗
号化されるようにしてください。
SC のパスワードの設定長さ 8 文字のパスワードを使用します。パスワードには、大文字、小
文字、数字、および区切り文字を組み合わせて指定することをお勧め
します。
68 ページの「password」の「パスワードの制限」を参照してくださ
い。
SC のユーザーアク
セス権の設定
シリアルポートへ
のアクセスの制限
アイドルセッショ
ンタイムアウトの
設定
必要に応じて再起動特定の構成変数を変更した場合は、それらを有効にするためにリセッ
SC のユーザーアカウントには、必ずユーザーの役割に応じたアクセス
権を付与してください。ユーザーアカウントには 4 つのアクセス権レ
ベルを指定できます。11 2 ページの「userperm」の「アクセス権レベ
ル」を参照してください。
シリアルポートへの物理的なアクセスを制限します。
シリアル接続またはネットワーク接続 (Telnet または SSH) を介して確
立された対話型セッションのタイムアウトを設定します。詳細は、140
ページの「sc_clitimeout」を参照してください。
トを実行する必要があります。必要に応じて、再起動が確実に行われ
るようにしてください。
8 Advanced Lights Out Management (ALOM) CMT v1.2 ガイド • 2006 年 7 月
遠隔接続のタイプの選択
SC では、遠隔接続に対して SSH プロトコルとともに DHCP がデフォルトで使用可
能になっています。SSH セッションを確立するには、admin パスワード、または
シャーシシリアル番号に基づくシステム固有のデフォルトパスワードが必要です。詳
細は、16 ページの「デフォルトの DHCP 接続」を参照してください。SC へのすべ
てのネットワーク接続に適用されるセッションアイドルタイムアウト時間を定義でき
ます。デフォルトでは、セッションアイドルタイムアウト時間は設定されていませ
ん。
Secure Shell の有効化
SC が汎用ネットワーク上にある場合は、Te ln et ではなく Secure Shell を使用するこ
とで、SC へのセキュリティー保護された遠隔アクセスを確保できます。SSH は、ホ
ストとクライアントの間で送受信されるデータを暗号化します。SSH はホストと
ユーザーの両方を識別する認証メカニズムを提供するため、既知のシステム間のセ
キュリティー保護された接続を可能にします。Teln et プロトコルではパスワードを含
む情報が暗号化されずに転送されるため、基本的にセキュリティーが保護されませ
ん。
注 – SSH は、FTP または Telnet プロトコルのセキュリティー保護には使用できませ
ん。FTP は新しい ALOM イメージのダウンロードに使用されます。これらのプロト
コルはセキュリティー保護されていないため、汎用ネットワーク上では慎重に使用す
ることをお勧めします。
SC は、提供する SSH 機能に制限があり、SSH version 2 (SSHv2) のクライアント要
求のみをサポートします。表 2-2 では、SSH サーバーの各種属性を示し、このサブ
ネットでその属性がどのように処理されるかについて説明します。これらの属性の設
定は構成可能ではありません。
表 2-2 SSH サーバーの属性
属性 値 コメント
Protocol 2
Port 22
ListenAddress 0.0.0.0
AllowTcpForwarding no
RSAAuthentication no
PubkeyAuthentication no
SSH v2 のサポートのみ
待機ポート
複数の IP アドレスをサポート
ポート転送はサポートされない
公開鍵の認証は使用不可
公開鍵の認証は使用不可
第 2 章 セキュリティーガイドライン 9
表 2-2 SSH サーバーの属性 (続き)
属性 値 コメント
PermitEmptyPasswords yes
MACs
Ciphers
hmac-sha1、hmacmd5
aes128-cbc、
blowfish-cbc、
3des-cbc
SC によって制御されるパスワード認
証
Solaris 9 オペレーティングシステム
と同じ SSH サーバーの実装
Solaris 9 オペレーティングシステム
と同じ SSH サーバーの実装
遠隔アクセスタイプとして SSH を使用する場合は、SC への SSH 接続を 4 つ同時に
確立できます。
SSH を有効にする手順
詳細は、34 ページの「ネットワークインタフェース変数を構成する」を参照してく
ださい。
SSH によってサポートされない機能
ALOM 上の SSH サーバーは、次の機能をサポートしません。
■ 遠隔でのコマンド行の実行
■ scp コマンド (セキュリティー保護されたコピープログラム)
■ sftp コマンド (セキュリティー保護されたファイル転送プログラム)
■ ポート転送
■ 鍵ベースのユーザー認証
■ SSHv1 クライアント
上記のいずれかの機能の使用を試みると、エラーメッセージが生成されます。たとえ
ば、次のコマンドを実行します。
# ssh SCHOST showplatform
この場合、次のメッセージが生成されます。
■ SSH クライアントの場合:
Connection to SCHOST closed by remote host.
10 Advanced Lights Out Management (ALOM) CMT v1.2 ガイド • 2006 年 7 月
■ SC コンソールの場合:
[0x89d1e0] sshdSessionServerCreate: no server registered
for showboards
[0x89d1e0] sshd: Failed to create sshdSession
SSH ホスト鍵の変更
定期的に新しいホスト鍵を取得することは、マシンを適切に管理するための望ましい
セキュリティー対策です。ホスト鍵が危殆化されている可能性がある場合は、ssh-
keygen コマンドを使用して、システムのホスト鍵を再生成できます。
ホスト鍵は、いったん生成されると、置換のみ行うことができ、setdefaults コマ
ンドを実行しないかぎり削除できません。新しく生成されたホスト鍵を使用可能にす
るには、restartssh コマンドを実行するか、reboot コマンドによる再起動を実行
して、SSH サーバーを再起動します。ssh-keygen および restartssh コマンドの
詳細とその例については、108 ページの「ssh-keygen」および 76 ページの
「restartssh」を参照してください。
注 – ssh-keygen コマンドを使用して、SC 上のホスト鍵フィンガープリントを表示
することもできます。
Solaris オペレーティングシステムのセキュリ
ティー
Solaris オペレーティングシステムのセキュリティー保護の詳細は、次のマニュアル
および記事を参照してください。
■ Solaris のセキュリティーに関する優良実例は、次の We b サイトで入手できます。
http://www.sun.com/security/blueprints
■ Solaris Security Toolkit は、次の Web サイトで入手できます。
http://www.sun.com/software/security/jass
■ 使用している Solaris OS の Solaris System Administrator Collection にある
『Solaris のシステム管理 (セキュリティサービス)』
第 2 章 セキュリティーガイドライン 11
12 Advanced Lights Out Management (ALOM) CMT v1.2 ガイド • 2006 年 7 月
第 3 章
ALOM の構成
この章では、次の基本的な構成作業について説明します。
■ 13 ページの「ALOM の構成手順」
■ 14 ページの「ALOM の構成計画」
■ 14 ページの「ALOM 通信ポートの選択」
■ 19 ページの「構成ワークシート」
■ 22 ページの「電子メールによる警告の構成」
■ 22 ページの「ALOM の設定」
ALOM の構成手順
ALOM ソフトウェアはホストサーバーにプリインストールされているため、サー
バーの電源を入れるとすぐに動作します。シリアル管理ポート (SERIAL MGT) に端
末を接続し、ALOM での作業をすぐに開始できます。
ただし、インストール環境に合わせて ALOM をカスタマイズする場合は、いくつか
の基本的な作業を実行する必要があります。
ALOM をカスタマイズするために完了する必要がある作業は、次のとおりです。
1. 構成のカスタマイズ方法を計画します。詳細は、14 ページの「ALOM の構成計
画」を参照してください。
2. 構成ワークシートを使用して設定を記録します。詳細は、20 ページの「構成変数
ワークシート」を参照してください。
3. setupsc コマンドを実行します。詳細は、22 ページの「ALOM の設定」を参照
してください。
4. 構成変数を使用して ALOM ソフトウェアをカスタマイズします。詳細は、117
ページの「ALOM コマンドシェルで構成変数を使用する」を参照してください。
13
次に、これらの作業について説明します。
ALOM の構成計画
ALOM ソフトウェアは、ホストサーバーにプリインストールされています。ALOM
を再インストールまたは更新するには、この節の指示に従ってください。
注 – ALOM のシリアル接続および Ethernet 接続の場所については、使用しているシ
ステムの管理マニュアルを参照してください。
setupsc コマンドを実行して ALOM を設定する前に、ALOM でホストサーバーを
管理する方法を決定する必要があります。構成に関して決定する必要のある事項は次
のとおりです。
■ 使用する ALOM 通信ポート。詳細は、14 ページの「ALOM 通信ポートの選択」
を参照してください。
■ 警告メッセージの使用の有無および警告メッセージの送信先。詳細は、19 ページ
の「構成ワークシート」を参照してください。
これらの事項を決定したら、20 ページの「構成変数ワークシート」に示す構成ワー
クシートを印刷し、このシートを使用して setupsc コマンドに対する応答を記録し
ます。
ALOM 通信ポートの選択
ALOM ハードウェアには、次の 2 種類の通信ポートがあります。
■ シリアル管理ポート (SERIAL MGT)
■ ネットワーク管理 (Ethernet) ポート (NET MGT)
どちらのポートでも、ALOM コマンドシェルにアクセスできます。デフォルトで
は、ALOM は起動時に SERIAL MGT ポートを使用して通信します。
注 – サーバーのシリアル管理接続およびネットワーク管理 (Ethernet) 接続の場所に
ついては、使用しているシステムの管理マニュアルを参照してください。
14 Advanced Lights Out Management (ALOM) CMT v1.2 ガイド • 2006 年 7 月
Loading...