前へ

次へ

目次

索引

この節では，システム・セキュリティに関する重要な問題や考慮事項について説明します。

3.3.1 Kerberos で不要になったセキュリティ拡張 (SECURITY)

V1.3--1

DECwindows Motif for OpenVMS Version 1.3--1 では， DECwindows Motif システムで Kerberos 認証を確立するのに，セキュリティ拡張 (SECURITY) が不要になりました。

以前のバージョンの『 『HP DECwindows Motif for OpenVMS Alpha New Features』 』には，セキュリティ拡張を有効にする処理が，( DECwindows Motif セッションの内部でも外部でも) Kerberos を設定するための前提条件であると説明されていました。本バージョン以降，この前提条件は無視してかまいません。

3.3.2 セッションの途中でのクライアント・セキュリティ・オプションの更新

V1.3

現在のセッションに対して代替 X 権限ファイルを指定したいようなケースが想定されますが，セッションの途中でセキュリティ・オプションを変更すると，それ以降，クライアント・アプリケーションが X サーバにアクセスできなくなる可能性があります。このような状況は， DECwindows Motif セッションの途中で次の一連の操作を実行した場合に発生します。

1. クライアントのアクセス制御方式をトークン・ベースのアクセス制御に変更またはリセットします。

2. セッションで使用している現在のディスプレイ・デバイスに対して，代替 X 権限ファイルを指定します。

代替 X 権限ファイルを指定すると，そのセッションでアクセスの承認に使用された元の設定は適用されなくなり，新しい設定もクライアントから使用できません。

セキュリティ・オプションを更新し，クライアントとサーバの権限エントリの同期を取るには，次の操作を実行します。

1. セッション・マネージャ ( 従来の DECwindows Desktop ) またはスタイル・マネージャ ( New Desktop ) の [オプション] メニューで [セキュリティ...] を選択します。

2. [セキュリティ・オプション] ダイアログ・ボックスで次のいずれかの操作を実行します。

   • マジック・クッキー・アクセス制御の場合は， [クッキーの作成] をクリックします。

   • Kerberos アクセス制御の場合は， [クライアント・アクセス制御] の [Kerberos] オプションの選択を解除して， [適用] をクリックします。次に，同じオプションを再選択して，[適用] をクリックします。

   
   いずれの操作でも，サーバの X 権限ファイルおよび代替 X 権限ファイルに新しい X 権限エントリが作成されます。

セッション・マネージャまたはスタイル・マネージャにアクセスできない場合は， DECwindows Motif セッションをいったん終了した後，再起動します。現在のセッションを終了すると，サーバはデフォルトの状態に戻ります。

3.3.3 Kerberos を有効にしたときに認識できないコードのエラーが表示される

V1.3

Kerberos の論理名 (KRB$ROOT) が適切に設定されていないと， DECwindows Motif デスクトップ，または KINIT を使用した DCL コマンド・ラインから Kerberos を有効にしようとしたときに，次のエラーが表示されます。

"Unknown code 6 while initializing krb5"

この問題を解決するには，Kerberos for OpenVMS Security Client ソフトウェアを構成し直します。この手順については，OpenVMS の Web サイト (http://www.hp.com/go/openvms) にある『Kerberos for OpenVMS Installation Guide and Release Notes』を参照してください。

3.3.4 非トラステッド接続でアプリケーションを実行したときに不正なアトム・エラーが表示される問題

V1.3

セキュリティ・ポリシが定義されていない非トラステッド接続で DECwindows Motif アプリケーションを実行しようとすると，多くのアプリケーションは，起動されないか，起動後に終了します。非トラステッド接続は， SET DISPLAY/GENERATE コマンドまたは XAUTH GENERATE コマンドによって生成されたクッキーを使用して X サーバへのアクセスを認めることにより，確立されます。

多くの場合，この問題が発生すると次のエラー・メッセージが表示されます。

X Error of failed request BadAtom (invalid Atom parameter)

非トラステッド接続上でアプリケーション・エラーが発生する可能性を低くするには， DECW$SECURITY_POLICY シンボルに DECW$EXAMPLES:DECW$SECURITY_POLICY.TXT を設定して，サーバを省略時のセキュリティ・ポリシ・ファイルで起動します。

ただし，次のアプリケーションは，セキュリティ・ポリシ・ファイルがあっても，非トラステッド接続上では正しく実行できません。

• ブックリーダ

• CDA ビューア

• 漢字端末エミュレータ

• DTPAD

• OpenVMS デバッガ

• ペイント

• 画面印刷

• スタイル・マネージャ

3.3.5 XINERAMA 拡張と SEC_XAG 拡張が存在すると非トラステッド接続で実行されるアプリケーションが動作しない問題

V1.3

生成されたクッキーを使用して非トラステッドで X サーバに接続されたアプリケーションは， XC-APPGROUP，SECURITY，および XINERAMA サーバ拡張がロードされている場合，動作しないことがあります。この問題は，サーバの起動時にこれらの 2 つの拡張が初期化される順序により発生します。

この問題を回避するには，XINERAMA と SEC_XAG (SECURITY と XC-APPGROUP を組み合わせたイメージ) の両方をロードする場合， DECW$PRIVATE_SERVER_SETUP.COM 内の DECW$SERVER_EXTENSIONS で，必ず XINERAMA を SEC_XAG より前に定義してください。

たとえば，次のように定義します。

$ decw$server_extensions == "XINERAMA,SEC_XAG"

次の定義は使用しないでください。

$ decw$server_extensions == "SEC_XAG,XINERAMA"

3.3.6 Kerberos および TCP/IP がノード名 0 を解釈できない問題

V1.3

TCP/IP で Kerberos を使用している場合，ローカル・ホストを意味するノード名 0 は正しく機能しません。この問題は，Kerberos がサーバの権限ファイルから初期化されている場合にのみ発生します。次の例を参照してください。

$ SET DISPLAY/TRANSPORT=TCPIP/NODE=0 $ RUN DECW$EXAMPLES:ICO Xlib: krb5_sname_to_principal failed: Hostname cannot be canonicalized Cannot open display : non-translatable vms error code: 0x182B2 %rms-e-rnf, record not found

この問題を回避するには，ローカル・ホストの TCP/IP アドレスを指定してください。

$ SET DISPLAY/TRANSPORT=TCPIP/NODE=11.22.33.44

3.3.7 サーバの X 権限ファイルから Kerberos の設定を初期化する際の DECwindows Motif ログインの使用禁止

V1.3

サーバの X 権限ファイルを使用して Kerberos の設定を初期化している場合， DECwindows Motif ログインは使用できません。これは，DECwindows ログインが特権付きイメージであり， Kerberos ランタイム・イメージはインストールされたイメージではないためです。さらに，ログインによって実行されたクライアントは， Kerberos の設定を操作します。このため，この構成ではセッション管理はサポートされません。

DECwindows ログイン・ボックスが表示されないようにするには，次に示すように， SYS$MANAGER:DECW$PRIVATE_APPS_SETUP.COM で DECW$MAINAPP を定義します。

$ DECW$MAINAPP == " "

3.3.8 Kerberos ログイン・ボックスのヘルプの問題

V1.3

チケットの削除 (Revoke Ticket) に関するオンライン・ヘルプの説明は正しくありません。正しい説明は『 『HP DECwindows Motif for OpenVMS Alpha New Features』 』を参照してください。

3.3.9 デフォルトの X 権限ファイルにおけるクッキーの生成

V1.3

デフォルトの X 権限ファイルにクッキーを書き込むと，セッションのクッキーで問題が発生することがあります。このため，生成したクッキーをデフォルトの X 権限ファイルに書き込まないことをお勧めします。クッキーをデフォルトの X 権限ファイルに書き込まないようにするには，次の操作を行います。 /XAUTH 修飾子を使用して，デフォルト以外の X 権限ファイルを指定してください。

$ SET DISPLAY/GENERATE=NOTIMEOUT/XAUTH=DISK$:[DIR]MYAUTHORITY.DECW$XAUTH

生成したクッキーをデフォルトの X 権限ファイルに書き込んだ場合は，現在のセッションを終了することで，通常の操作を復元できます。

DECwindows セッションの外部で，生成したクッキーをユーザのデフォルトの X 権限ファイルに書き込んだ場合は，ユーザがログインする前に X 権限ファイルを削除する必要があります。

3.3.10 アクセス制御の有効化と無効化

V1.0

DECwindows Motif では，省略時の設定でアクセス制御は行わず，サーバのアクセス制御の設定に従います。 DECwindows X11 ディスプレイ・サーバは，起動時にアクセス制御をオンに設定します。

DECwindows セッション・マネージャにログインするときにアクセス制御を明示的に有効または無効にするには，次の論理名のいずれかを定義します。

$ DEFINE/SYSTEM/EXECUTIVE DECW$LOGIN_ACCESS_CONTROL ENABLE $ DEFINE/SYSTEM/EXECUTIVE DECW$LOGIN_ACCESS_CONTROL DISABLE

論理名を定義しない場合，あるいは "SERVER" など他の値に定義した場合は， DECwindows ログインではアクセス制御を有効，無効のどちらにも設定しません。

通常，この論理名を定義する必要はありません。

3.4 デスクトップ管理

この節では，デスクトップ・アプリケーションの管理に関する重要な問題と考慮事項について説明します。

3.4.1 DECW$EXAMPLES グローバル・シンボル移動時のDECW$UTILS グローバル・シンボルの定義

V1.2

DECwindows Motif for OpenVMS Version 1.2 では新しいシンボル DECW$UTILS が導入されました。通常 DECW$UTILS は DECW$EXAMPLESのサブディレクトリを指します。 DECW$EXAMPLES グローバル・シンボルを DECW$PRIVATE_APPS_SETUP.COMコマンド・プロシージャで定義して， DECwindows プログラム例が入っているディレクトリを変更する場合は， DECW$UTILSを定義して，ユーティリティのディレクトリも必ず変更するようにしてください。

たとえば，DECW$EXAMPLESとDECW$UTILSの両方を再定義するには，下記の各行をSYS$MANAGER:DECW$PRIVATE_APPS_SETUP.COMプロシージャに追加します。

$ DECW$EXAMPLES == "SYS$SYSROOT:[DECWEXAMPLES] $ DECW$UTILS == "SYS$SYSROOT:[DECWEXAMPLES.UTILS]

ここで，次のコマンドで DECwindows Motif を再起動します。

$ @SYS$MANAGER:DECW$STARTUP RESTART

3.4.2 DECwindows ログイン画面の色に関する問題点

V1.2

DECW$LOGIN.DAT ファイルをカスタマイズしているシステムでは， [セッション起動] ダイアログ・ボックスの色が褐色ではなく青になるという問題が発生する場合があります。この状態が発生した場合は， SYS$COMMON:[DECW$DEFAULTS.USER] ディレクトリからカスタマイズされた DECW$LOGIN.DAT ファイルを探し，これを SYS$MANAGER に移します。 SYS$COMMON:[DECW$DEFAULTS.USER] に DECW$LOGIN.DAT ファイルがある場合， "*background:" リソースが定義されず，省略時の設定である青となります。

弊社提供の DECW$LOGIN.DAT ファイルが， SYS$COMMON:[DECW$DEFAULTS.SYSTEM] ディレクトリに置かれています。このファイルをカスタマイズしたものは， SYS$MANAGER にだけ置くようにしてください。

3.5 フォントとキーマップの管理

この節は，フォントとキーマップのサポートに関するリリース・ノートです。

3.5.1 ユーロ通貨記号の制限

V1.3

DECwindows Motif と，そのユーロ通貨記号のサポートに関して，次の制限事項があります。

• 異なるプラットフォーム (UNIX など) 上の他の X Window アプリケーションに， Compound Text フォーマットを使用してユーロ記号をペーストしたり送信した場合，その文字は他のプラットフォーム上ではユーロ記号として認識されないことがあります。

• ユーロ通貨記号は， DECwindows Motif で利用可能なスケーラブル・フォント・セットには含まれていません。スケーラブル・フォントを使用しているアプリケーションでは，ユーロ記号は表示できません。

• EDT を使用してユーロ文字をファイルに入力することはできますが，この記号は画面上には正しく表示されません。たとえば， Compose o xと入力すると，文字コードの A4 が表示されます。

3.5.2 Mode_switch 修飾子が実装されているキーマップのリソース設定の調整

V1.3

Mode_switch修飾子が実装されている従来の DECwindows Motif キーマップを使用している場合，ウィンドウのグラブが可能なように，最初にデフォルトのウィンドウ・マネージャのリソース設定を調整する必要があります。この調整を行っておかないと，デスクトップでオープンされているウィンドウのハンドルをマウスでグラブできません。

たとえば，AUSTRIAN_GERMAN_LK401AG_TW キーマップでは， compose キーはワンショットのロックダウン修飾キーとして実装されています。このキーマップをロードした状態で初めて compose キーを押すと， Mode_switch modifierがオンになり，デスクトップで現在オープンされているアプリケーション・ウィンドウのハンドルをグラブできなくなります。

この問題を回避するには，次のようにデフォルトのウィンドウ・マネージャ・リソースを再定義し， DECwindows Motif セッションを再起動します。

• New Desktop システムの場合:
  CDE$USER_DEFAULTS:[APP-DEFAULTS.C]DTWM.DAT ファイルを編集し， Dtwm*ignoreModKeysと Dtwm*ignoreAllModKeysの値を TRUE に設定します。このファイルおよびディレクトリが存在しない場合は，ディレクトリを作成し，DTWM.DAT ファイルを CDE$SYSTEM_COMMON:[APP-DEFAULTS.C] からそのディレクトリにコピーします。

• 従来の DECwindows Desktop システムの場合:
  DECW$SYSCOMMOM:[DECW$DEFAULTS.USER]DECW$MWM.DAT ファイルを編集し， Mwm*ignoreModKeysと Mwm*ignoreAllModKeysの値を TRUE に設定します。このファイルが存在しない場合は， DECW$MWM.DAT ファイルを DECW$SYSTEM_DEFAULTS からそのディレクトリにコピーします。

3.5.3 特定のキーマップでの性能の問題

V1.2--5

Austrian-Germanキーマップ(AUSTRIAN_GERMAN_LK401AG_TW)使用時に性能の問題が発生します。他のキーボードあるいは言語の変更の場合であっても，ユーザがキーボード・モディファイア・マップの mod4または mod5エントリに Mode_switchモディファイアを設定するキーボード・マップ/言語のシーケンスを選択すると発生する可能性があります。この問題は，[キーボード・オプション]ポップアップ・メニューで Mode_switchモディファイアを使用するキーボード・マップをユーザが選択することによって発生します。

キーボード・モディファイア・マップのどこに Mode_switchモディファイアがあるかを調べるには，次のコマンドを使用してください。

$ XMODMAP :== $DECW$UTILS:XMODMAP.EXE $ XMODMAP xmodmap: up to 3 keys per modifier, (keycodes in parentheses): shift Shift_R (0xab), Shift_L (0xae) lock Caps_Lock (0xb0) control Control_L (0xaf) mod1 Alt_L (0xac), Alt_R (0xb2) mod2 Mode_switch (0xb1) mod3 Multi_key (0xad) mod4 Mode_switch (0x7a) mod5 Help (0x7c)

回避策としては， DECW$UTILS:XMODMAP.EXE ユーティリティを使用して，キーボード・マップを選択した後，モディファイア・マッピングを変更します。

1. XMODMAP に渡したときに，現在のキーボード・モディファイア・マップを消去し， Mode_switch のマッピングをキーボード・モディファイア・マップ内の下位エントリに変更するファイルを作成します。

   clear shift clear lock clear control clear mod1 clear mod2 clear mod3 clear mod4 clear mod5 add shift = Shift_R Shift_L add lock = Caps_Lock add control = Control_L add mod1 = Alt_R Alt_L add mod2 = Multi_key add mod3 = Mode_switch add mod5 = Help

2. 次のコマンドを使用して，このファイルをXMODMAPに渡します。

   $ XMODMAP :== $DECW$UTILS:XMODMAP.EXE $ XMODMAP XMODMAPRC.DAT

3.6 プロキシ・サーバの管理

以降の項は，LBX (Low-Bandwidth X) プロキシ・サーバと，関連のプロキシ・アプリケーションの管理に関するリリース・ノートです。

3.6.1 プロキシ・サーバで XC-QUERY-SECURITY-1 プロトコルがサポートされない問題

V1.3--1

LBX (Low-Bandwidth X) プロキシ・サーバ (およびその他の他社製プロキシ・サーバ) では， XC-QUERY-SECURITY-1 認証プロトコルの使用はサポートされません。この認証プロトコルは SECURITY サーバ拡張によって有効になるもので，一般に接続先のディスプレイ・サーバのセキュリティ構成の検証のために，ファイアウォール・サーバで使用されます。通常，ファイアウォール・サーバはプロキシ・サーバを経由せずに，ディスプレイ・サーバに直接接続されます。

XC-QUERY-SECURITY-1 プロトコルを使用しているディスプレイ・サーバに接続するために，クライアント・アプリケーションで他社製プロキシ・サーバを使っている場合，アプリケーションでループやブロック，クラッシュなどが発生することがあります。 LBX プロキシ・サーバは，プロトコルが使用されているかどうかを検出するように変更され，使用されている場合は，次のエラー・メッセージが出力されるようになりました。

Multi-pass authentication not supported by LBX

プロキシ・サーバを使用して 1 つ以上の X ディスプレイ・サーバへの接続を処理する場合は，セキュリティ拡張 (SECURITY) が X サーバで有効になっていないことを確認してください。このことを確認するには，各サーバ・システムで DECW$PRIVATE_SERVER_SETUP.COM ファイルをスキャンし，パラメータ DECW$SERVER_EXTENSIONS の値が SEC_XAG でないことをチェックしてください。

前へ

次へ

目次

索引