日本語HP TCP/IP Services for OpenVMS
リリース・ノート
2.5.4 SNMP のスタートアップとシャットダウンのカスタマイズ
TCPIP$CONFIG.COM コマンド・プロシージャを使用して SNMP を有効にした場合,次のファイルは作成されなくなりました。
- TCPIP$SNMP_SYSTARTUP.COM
- TCPIP$SNMP_SYSHUTDOWN.COM
これらのコマンド・プロシージャ・ファイルは,カスタム SNMP サブエージェントの起動と停止に使用されます。将来のバージョンの TCP/IP Services をインストールしても,これらのファイルに影響ありません。
2.5.5 TCP/IP Services のインストール時の SNMP メッセージ
同じバージョンの TCP/IP Services を 2 回以上インストールするサイトでは,次のような情報メッセージがインストレーション・ダイアログに表示されることがあります。
Do you want to review the options? [NO]
Execution phase starting ...
The following product will be installed to destination:
DEC AXPVMS TCPIP T5.3-9I DISK$AXPVMSSYS:[VMS$COMMON.]
The following product will be removed from destination:
DEC AXPVMS TCPIP T5.3-9H DISK$AXPVMSSYS:[VMS$COMMON.]
%PCSI-I-RETAIN, file [SYSEXE]TCPIP$ESNMP_SERVER.EXE was not replaced because
file from kit does not have higher generation number
%PCSI-I-RETAIN, file [SYSEXE]TCPIP$HR_MIB.EXE was not replaced because file
from kit does not have higher generation number
%PCSI-I-RETAIN, file [SYSEXE]TCPIP$OS_MIBS.EXE was not replaced because file
from kit does not have higher generation number
%PCSI-I-RETAIN, file [SYSLIB]TCPIP$ESNMP_SHR.EXE was not replaced because file
from kit does not have higher generation number
%PCSI-I-RETAIN, file [SYSLIB]UCX$ESNMP_SHR.EXE was not replaced because file
from kit does not have higher generation number
|
これらのメッセージは無視してかまいません。
2.5.6 SNMP サブエージェントのスタートアップ・メッセージ
SNMP スタートアップ・プロシージャは,次のエラー・メッセージをサブエージェント・ログ・ファイルに出力することがあります。
25-JUL-2001 14:13:32.47 **ERROR ESNMP_INIT.C line 3777: Could not
connect to master: connection refused
25-JUL-2001 14:13:32.94 WARNING OS_MIBS.C line 942: Master agent
cannot be reached. Waiting to attempt reconnect.
|
これらのメッセージが記録されるのは,タイミングに関する問題が発生したためですが,無視してかまいません。
2.6 SMTP と LPD のシャットダウンの問題のトラブルシューティング
SMTP または LPD のシャットダウンで,キュー・マネージャが実行されていないことを示すエラーが発生した場合には,サイト固有のシャットダウン・コマンド・プロシージャ (SYS$MANAGER:SYSHUTDWN.COM) をチェックしてください。このプロシージャがキュー・マネージャを停止するコマンド (STOP/QUEUE/MANAGER) を含んでいる場合には,このコマンドが TCPIP$SHUTDOWN.COM プロシージャの呼び出しの後に置かれていることを確認してください。
注意
キュー・マネージャを明示的に停止する必要はありません。キュー・マネージャは自動的に停止され,システムの再起動の際に自動的に起動されます。
|
第 3 章
問題点と制限事項
この章では,現在のバージョンの日本語 TCP/IP Services の問題点と制限事項について説明します。
3.1 アドバンスト・プログラミング環境の制限事項とガイドライン
TCP/IP のアドバンスト・プログラミング機能を使用する場合は,次のことに注意してください。
- TCPIP$EXAMPLES 内のヘッダ・ファイルは, TCP/IP アドバンスト・プログラミング環境の一部として提供されるものです。これらのファイルを使用する場合,次の制限事項およびガイドラインに注意してください。
- TCPIP$EXAMPLES:RESOLV.H に記述されている関数および構造体の使用は,32 ビット・ポインタに制限されています。下位インプリメンテーションでは, 32 ビット・ポインタのみを処理します。以前は 64 ビット・ポインタが誤って受け付けられていましたが,その結果,下位インプリメンテーションで未定義の動作が発生していました。
- IP.H および IP6.H というヘッダ・ファイルは, OpenVMS 環境では不完全です。これらのファイルには,本バージョンの TCP/IP Services で提供されないヘッダ・ファイルに対する
includeディレクティブが含まれています。
- NAMESER.H および RESOLV.H には,ネームサーバおよびリゾルバ API ルーチンの呼び出しを傍受し, TCPIP$LIB.OLB へリダイレクトするトランスリテレーションが含まれています。これらのルーチンに関して, TCP/IP Services でインプリメントされているルーチン以外を使用する場合は,次のシンボルを定義してください。
ネームサーバ API ルーチンの場合:
__TCPIP_NO_NS_TRANSLITERATIONS
リゾルバ API ルーチンの場合:
__TCPIP_NO_RES_TRANSLITERATIONS
- 基本ソケット API の問題点
Basic Socket Interface Extensions for IPv6 (RFC 2553bis) の一部として記述されているルーチン
getaddrinfo,
getnameinfo,および
freeaddrinfoは,スレッドセーフでありません。
3.2 failSAFE IP の制限事項
インタフェース障害が発生した後, TCP/IP 管理コマンド SHOW INTERFACE は擬似インタフェース・アドレスを表示しません。 failSAFE IP のユーザは,
ifconfigユーティリティを使用して IP アドレスを表示する必要があります。 failSAFE IP の使用についての詳細は,『 HP TCP/IP Services for OpenVMS Management 』を参照してください。
3.3 BIND/DNS の制限事項
DNSSEC を使用する場合,BIND バージョン 9 には次の制限事項があります。
- BIND サーバの特定のインプリメンテーションでは, AAAA (IPv6 アドレス) レコードがサポートされません。 BIND リゾルバで AAAA (IPv6) レコード・タイプを問い合わせると,これらのネーム・サーバは,同じドメイン名に対して A (IPv4) レコードが存在する場合でも, NXDOMAIN という状態を返します。これらのネーム・サーバは,このようなクエリに対して,本来なら状態として NOERROR を返さなければなりません。この問題により,ホスト名の解決で遅延が発生することがあります。
本バージョンの TCP/IP Services でサポートされる BIND バージョン 9.2.1 では,この問題は発生しません。
- セキュア・ゾーンのサービス
信頼されるネーム・サーバとして動作しているときに,クエリに DO フラグが設定されている場合, BIND バージョン 9 では,RFC 2535 の指定に従って,応答に KEY,SIG,および NXT レコードが含まれます。
セキュア・ゾーン内でのワイルドカード・レコードに対する応答の生成は,完全にはサポートされていません。名前が存在しないことを示す応答には,名前自体が存在しないことを示す NXT レコードが含まれますが,対応するワイルドカード・レコードが存在しないことを示す NXT レコードは含まれません。ワイルドカードの展開から得られる肯定応答には,非ワイルドカード一致や,より特定のワイルドカード一致が存在しないことを示す NXT レコードは含まれません。
- セキュア・リゾリューション
応答の DNSSEC 署名の検証に対する基本サポートは,インプリメントされていますが,まだ実験的な段階であると考えてください。
キャッシング・ネーム・サーバとして動作する場合, BIND バージョン 9 は,不在応答だけでなく,肯定応答の基本的な DNSSEC 検証を実行することができます。この機能は,DNSSEC 階層構造の最上位レベルのゾーン・キーを含む
trusted-keysをコンフィギュレーション・ファイルに指定することで有効になります。
現在,ワイルドカード応答の検証はサポートされていません。特に,一致するワイルドカードが存在しないことを示す NXT レコードがサーバに含まれていない場合でも, "
name does not exist" 応答は正しいと検証されます。
セキュア・ゾーンから委任された非セキュア・ゾーンの非セキュア状態の検証は,ゾーンが完全に非セキュアである場合は機能します。セキュア・ゾーンから委任されたプライベート・セキュア・ゾーンは,どの場合も機能しません。たとえば,プライベート・セキュア・ゾーンが祖先 (親を除く) ゾーンと同じサーバのサービスを受けている場合などは,正常に機能しません。
クエリの CD ビットの取り扱いは完全にインプリメントされました。 CD が設定されている場合,再帰的クエリに対して検証は行われません。
- セキュアな動的アップデート
セキュア・ゾーンの動的アップデートは部分的にインプリメントされています。アップデートが行われるときに,影響を受ける NXT および SIG レコードは,サーバによってアップデートされます。高度なアクセス制御を行うには,ゾーン定義に
update-policy文を指定します。
- セキュアなゾーン転送
BIND バージョン 9 では,RFC 2535 のゾーン転送セキュリティ機能がインプリメントされていません。これは,ゾーン転送の整合性を維持するのに,これらの機能を使用するより,TSIG や SIG(0) を使用する方が有利であると考えられているからです。
3.4 tcpdump の制限事項
tcpdumpは,多くの点で, OpenVMS システムでも UNIX システムでも同じように動作しますが,次の制限事項があります。
- UNIX システムでは,
tcpdumpは NIC を promiscuous モードに設定し,転送中のものすべてを
tcpdumpに送信します。
OpenVMS システムでは,
tcpdumpはローカル・ホスト宛のパケットおよびローカル・ホストから送信されるパケットだけを確認します。したがって,
tcpdumpは copy-all モードで動作します。
tcpdumpは,TCP/IP カーネルで処理されるパケットのコピーだけを認識するので,イーサネット上で IP,IPv6,および ARP だけをネイティブにトレースすることができます。
tcpdumpは,promiscuous モードで
tcpdumpを実行している別のプラットフォームからトレースされたパケットの書式設定またはフィルタ処理を行うことができます。この場合,DECnet などの他のプロトコルを処理します。
- サポートされる NIC のタイプはイーサネットだけです。 NIC の他のタイプ (ATM,FDDI,トークン・リング, SLIP,PPP など) はサポートされません。
-
-iオプションはサポートされません。 UNIX システムでは,このオプションは,
tcpdumpの接続先のインタフェースを指定します。
OpenVMS システムでは,
tcpdumpは TCP/IP カーネルからパケットを取得します。
-
-pオプションはサポートされません。
UNIX システムでは,このオプションは,
tcpdumpが promiscuous モードでの動作を停止することを指定します。
OpenVMS システムでは,
tcpdumpは promiscuous モードで動作しません。したがって,省略時の設定としてこのオプションが設定されます。
- イーサネット・ソフトウェアを使用して, IPv6 ネットワーク・トラフィックをダンプする場合は,次の形式のコマンドを使用して,データを正しい形式で書き込んでください。
- 一度に 1 つのプロセスだけがトレースを実行できます。これは,TCPTRACE と tcpdump の両方に共通の制限事項です。
3.5 SSH の制限事項
ここでは,次のことについて説明します。
3.5.1 SSH に関する全般的な制限事項
ここでは,特定の SSH アプリケーションに限定されない,全般的な制限事項について説明します。
- ホストベースの認証が機能しない場合には,SSH サーバが,クライアントから送信されたホスト名と, DNS から検出したホスト名の対応付けに失敗した可能性があります。この問題が発生したかどうかは,次のコマンドの出力を比較することで確認できます (出力される文字列で,大文字と小文字の違いは無視してください)。
- 本リリースでは,SSH クライアント・ユーザは,過去に接続していない SSH サーバから独自のバージョンのパブリック・キーをコピーできます。ユーザがシステム全体で有効なバージョンのサーバ・パブリック・キーだけを使用するように設定するには,次の操作を実行します。
注意
ステップ 2 とステップ 3 では,システム・ファイルを変更します。したがって,将来, TCP/IP Services のアップデートをインストールした後,これらのステップを再び実行しなければならない可能性があります。
|
- TCPIP$SSH_DEVICE:[TCPIP$SSH]SSH2_CONFIG. を編集して,次の行を追加します。
StrictHostKeyChecking yes
|
- TCPIP$SSH_DEVICE:[TCPIP$SSH]SSH2_CONFIG. へのユーザのアクセスを制限します。次の例を参照してください。
$ SET SECURITY/PROTECTION=(G,W) TCPIP$SSH_DEVICE:[TCPIP$SSH.SSH2]SSH2_CONFIG.;
|
- SYS$STARTUP:TCPIP$SSH_CLIENT_STARTUP.COM コマンド・プロシージャを編集して,スタートアップ時に READALL 特権を使用して, SSH サーバ・イメージをインストールするようにします。次の例に示すように,既存の行 (existing line) を置き換えの行 (replacement) に変更します。
...
$ image = f$edit("sys$system:tcpip$ssh_ssh2.exe","upcase")
$! call install_image 'image' "" <== existing line
$ call install_image 'image' "readall" <== replacement
...
|
- 『 HP TCP/IP Services for OpenVMS Guide to SSH 』の説明に従って, SSH クライアントを有効にします。
- OpenVMS SSH サーバでリモート・コマンドを実行すると,ユーザ・アカウントの論理名 SYS$LOGIN によって定義されるディレクトリに,ログ・ファイル TCPIP$SSH_RCMD.LOG が作成されます。このログ・ファイルは,手動でパージする必要があります。
- OpenVMS SSH サーバ以外のサーバに接続されている OpenVMS SSH クライアントでリモート・コマンドを実行すると,次の問題が発生することがあります。
- 出力が正しく表示されないことがあります。たとえば,次の例に示すように,改行がないと,一連の行がずれて表示されることがあります。
$ ssh user@unixhost ls -a
user's password:
Authentication successful.
.
..
.TTauthority
.Xauthority
.cshrc
.dt
.dtprofile
|
出力を正しく表示するには,次の形式を使用します。
$ ssh -t [options] user@unixhost [command]
|
- MONITOR ユーティリティなど,表示を自動的に更新するコマンドは,正しい表示を行うことができないことがあります。
- サーバ・コンフィギュレーション・パラメータ
PermitRootLoginはサポートされません。
- クライアント・コンフィギュレーション・パラメータ
EnforceSecureRutilsはサポートされません。
- UNIX ROOT アカウントから OpenVMS SYSTEM アカウントへの自動的なマッピングは行われません。
- SSH1 プロトコル・スイートは,端末セッション,リモート・コマンド実行,およびファイル転送操作に対してサポートされません。サーバおよびクライアント・コンフィギュレーション・ファイルで SSH1 に関連するパラメータは無視されます。
- SSH セッションを再帰的に起動すると (たとえば,既存の SSH セッションの内部から別の SSH セッションを起動するなど),セッションのレイヤが作成されます。最も内部のセッションからログアウトすると,そのセッションを起動したレイヤ以外のレイヤに戻ることがあります。
- 一部の SSH 情報メッセージ・コード, SSH 警告メッセージ・コード, SSH エラー・メッセージ・コードの表示は,途中で切り捨てられます。次の例を参照してください。
%TCPIP-E-SSH_FC_ERR_NO_S, file doesn't exist
|
- OpenVMS サーバで SSH 端末セッションからカット & ペーストを行うと,データが途中で切り捨てられることがあります。この状況が発生すると,次のエラー・メッセージが表示されます。
-SYSTEM-W-DATAOVERUN, data overrun
|
- 一部の SSH ログおよびトレース出力メッセージ,情報メッセージ,警告メッセージ,およびエラー・メッセージでは,ファイル指定が UNIX パス名として表示されます。
- UNIX クライアントから,名前 (デバイス名など) に対して OpenVMS の構文を使用する場合は,名前を単一引用符で囲むことで,特定の文字が UNIX 形式で解釈されないようにしてください。
たとえば,次のコマンドでは,UNIX はデバイス名
SYS$SYSDEVICE:[user]のドル記号 ($) を
SYS:[user]として解釈します。
# ssh user@vmssystem directory SYS$SYSDEVICE:[user]
|
この問題を回避するには,次の形式を使用してコマンドを入力します。
# ssh user@vmssystem directory 'SYS$SYSDEVICE:[user]'
|
- システム論理名 SYS$ANNOUNCE の変換は,認証完了後に表示されます。本バージョンの SSH には,このテキストをプリログイン・バナーとして表示するための自動機能はありません。
テキスト・ファイルからプリログイン・バナーを提供するには,ログイン前に表示されるテキストを格納したファイル SSH_BANNER_MESSAGE. を作成します。
複数行のバナー・テキストを入力するには,最後の行以外の各行の末尾にキャッリジ・リターン文字を入力します。
バナー・メッセージ・ファイルは TCPIP$SSH_DEVICE:[TCPIP$SSH.SSH2] ディレクトリに保存し,ユーザ・アカウント [TCPIP$SSH] からの読み込みを許可する特権を与えます。
バナー・メッセージ・ファイルに対して,省略時のファイル名および保存場所を使用しない場合は, TCPIP$SSH_DEVICE:[TCPIP$SSH.SSH2]SSHD2_CONFIG. ファイルで
BannerMessageFileオプションを使用して定義します。バナー・メッセージ・ファイルの場所とファイル名は,次のいずれかの形式を使用して,オプションの引数として指定します。
BannerMessageFile TCPIP$SSH_DEVICE:[TCPIP$SSH]BANNER1.TXT
BannerMessageFile /TCPIP$SSH_DEVICE/TCPIP$SSH/BANNER2.TXT
BannerMessageFile /etc/banner3.txt
|
引数は,OpenVMS 形式でも UNIX 形式でもかまいません。引数では,大文字と小文字は区別されません。コンフィギュレーション・ファイルに同じオプションの定義が 2 つ以上登録されている場合は,最後に登録されている定義が有効になります。
UNIX のパス
/etcは, OpenVMS SSH サーバで TCPIP$SSH_DEVICE:[TCPIP$SSH] として解釈されます。
- SSH リモート・コマンドを実行した後, DCL プロンプトに戻るために,[Return] キーを押さなければならないことがあります。
- 次の例に示すように,ログアウト時に,ホスト
tst1で確立された SSH セッションから, "Connection to hostname closed." というメッセージがログアウト・メッセージの最後の行に上書きされることがあります。
$ LOGOUT
Connection to tst1 closed.at 7-AUG-2003 14:37:15.01
|
- 以下のコマンドを実行するなどの操作を実行しても, SSH セッションから OpenVMS システムをシャットダウンすることはできません。
$ @SYS$SYSTEM:SHUTDOWN.COM
|
本バージョンの SSH では,ユーザ・プロセスを停止するシャットダウン・フェーズは SSH セッションを切断します。
- OpenVMS 以外のクライアントから,OpenVMS サーバでパスワードの有効期限が切れたユーザへの SSH アクセスは, SSHD2_CONFIG ファイルの
AllowNonvmsLoginWithExpiredPwオプションの値によって制御されます。このオプションについての詳細は,『 HP TCP/IP Services for OpenVMS Guide to SSH 』を参照してください。
- SSH エスケープ・シーケンスのサポートは完全ではありません。たとえば,
Escape .終了シーケンスを有効にするには,このシーケンスを 2 回入力しなければなりません。終了時に,端末は NOECHO および PASTHRU モードのままになります。
- 表示を更新する OpenVMS コマンドをリモート SSH コマンドとして実行すると,予測できない結果が発生することがあります。たとえば,次のコマンドを実行すると,予測できない動作が発生します。