UNIX エンドポイント管理ガイドパフォーマンスの向上 › 名前の解決

前のトピック: クラスの権限付与

次のトピック: UNIX exit の使用

名前の解決

seos.ini ファイルの[seosd]セクションにある複数のトークン(GroupidResolution、HostResolution、ServiceResolution、UseridResolution など)は、CA Access Control による名前解決の実行方法を制御します。 これらのトークンを適切に設定すると、パフォーマンスが向上します。

または、(システムの名前解決を実行する代わりに)lookaside データベースを作成できます。 パフォーマンスを向上させるには、lookaside データベース オプションを選択します。 この機能に関するトークンには、lookaside_path や use_lookaside などがあります。

注: これらのトークンの詳細については、「リファレンス ガイド」の seos.ini 初期設定ファイルの説明を参照してください。

UID をユーザ名に、GID をグループ名に、IP アドレスをホスト名に、およびポート番号をサービス名にそれぞれ変換する場合は、CA Access Control のパフォーマンスに影響が出ることがあります。 CA Access Control がこれらの変換を実行する方法は、seos.ini ファイルのトークンの値によって決まります。特に関係するトークンは、under_NIS_server、use_lookaside、GroupidResolution、HostResolution、ServiceResolution、UseridResolution、および resolve_timeout です。

ネイティブ オペレーティング システムのメカニズムを使用して変換を実行する場合は、システム パフォーマンスへの影響は比較的少なくなります。 IP アドレスをホスト名に変換する場合は、DNS などの外部メカニズムを使用して変換を実行する必要があります。 この場合は、システム パフォーマンスが大幅に低下することがあります。 パフォーマンスが大幅に低下する理由は、seosd がホスト名の受け取りを待機している間、CA Access Control がインターセプトした他のすべてのプロセスも、seosd が処理を完了するまで待機する必要があるためです。

端末の種類

ソース

スタンドアロン

seosd は、以下のファイルを変換に使用します。

  • UID をユーザ名に変換する場合は、/etc/passwd
  • GID をグループ名に変換する場合は、/etc/group
  • IP アドレスをホスト名に変換する場合は、/etc/hosts
  • サービス ポートをサービス名に変換する場合は、/etc/services

NIS クライアント

情報のソースは、オペレーティング システムおよびそのバージョン番号によって異なります。 通常は、/etc ファイルおよび NIS サーバから情報を取得します。 ただし、一部のシステムでは、/etc のファイルはソースではなく、変換が行われる順序はシステムの環境設定の際に変更されます。 たとえば、Solaris 2.x システムの場合、変換順序は /etc/nsswitch.conf ファイルによって決定されます。

DNS クライアント

ユーザ、グループ、およびサービスの変換は、/etc のファイルを使用して実行されます。 ホスト名は、DNS サーバを呼び出して変換されます。一部のシステムでは、/etc/hosts ファイルの読み込みも行われます。

NIS クライアントおよび DNS クライアント

IP アドレスからホスト名への変換は、DNS で実行されます。 ユーザ、グループ、およびサービスの変換については、NIS クライアントの場合と同様の変換方法で実行されます。

端末の種類

ソース

NIS サーバ

通常、サーバ コンピュータはサーバおよびクライアントとして動作し、変換を行うために NIS サーバ デーモンをクエリします。 NIS 名前解決マップのソースが含まれるファイルは、通常 /var/yp にあります。ただし、サイトの構成およびオペレーティング システムの種類とバージョンによって、ファイルの場所は異なる場合があります。

DNS サーバ

変換に使用される情報のソースは、サイトの構成によって異なります。 DNS には、名前解決データベースをスキャンするオプションがありません。したがって、CA Access Control はキャッシュを使用できないため、lookaside データベースを使用する必要があります。 sebuildla ユーティリティがホスト リスト ファイルを使用できるように、lookaside データベースを設定する必要があります。 詳細については、この章の sebuildla ユーティリティの説明を参照してください。

その他すべて

DNS サーバと同様です。

バージョン 2 以降の CA Access Control の seosd では、変換プロセスを制御するために、GroupidResolution、HostResolution、ServiceResolution、UseridResolution、および resolve_timeout の各トークンも使用できます。 これらのトークンの詳細については、「リファレンス ガイド」を参照してください。