Ändern der OpenWBEM CIMOM-Konfiguration

Beim Start von OpenWBEM CIMOM (owcimomd) liest der Daemon seine Laufzeitkonfiguration aus der Datei openwbem.conf ein. Die Datei openwbem.conf befindet sich im Verzeichnis /etc/openwbem.

Jede Einstellung in dieser Datei, deren Optionen durch einen Strichpunkt (;) oder ein Gatter (#) auskommentiert sind, verwendet die Standardeinstellung.

Diese Datei können Sie in jedem Texteditor bearbeiten, der die Datei in einem der Plattform entsprechenden Format speichert.

Sie können alle Einstellungen der Datei openwbem.conf ändern. In diesem Abschnitt werden die folgenden Konfigurationseinstellungen besprochen:

Ändern der Authentifizierungskonfiguration

Im Zusammenhang mit der Authentifizierung können Sie folgende Aspekte beeinflussen:

  • Wer hat Zugriff auf den CIMOM?

  • Welches Authentifizierungsmodul wird verwendet?

Sehen Sie sich hierzu die folgenden Einstellungen an:

http_server.allow_local_authen

Beschreibung

Weist den http_server an, die lokale Authentifizierung ohne Eingabe eines Passworts zuzulassen, also die Dateiberechtigungen des lokalen Systems zu übernehmen.

Diese Einstellung kann mit der Basis- und der Digestauthentifizierung verwendet werden.

Syntax

http_server.allow_local_authentication = Option

Option

Beschreibung

true

Aktiviert die lokale Authentifizierung.

Das ist die Standardeinstellung.

false

Deaktiviert die lokale Authentifizierung.

Beispiel

http_server.allow_local_authentication = true

http_server.digest_password_file

Beschreibung

Gibt den Speicherort der Passwortdatei an. Dies ist erforderlich, wenn die Einstellung http_server.use_digest aktiviert ist.

Syntax

http_server.digest_password_file = path_filename

Der Standardpfad und -dateiname der Digest-Passwortdatei lautet:

/etc/openwbem/digest_auth.passwd

Beispiel

http_server.digest_password_file = /etc/openwbem/digest_auth.passwd

http_server.ssl_client_verification

Beschreibung

Bestimmt, ob der Server die Clients mittels der SSL-Client-Zertifikatüberprüfung authentifizieren soll.

Diese Einstellung ist standardmäßig deaktiviert.

Syntax:

http_server.ssl_client_verification = Option

Option

Beschreibung

autoupdate

Legt die gleiche Funktionalität fest, wie die Option Optional. Allerdings werden bislang unbekannte Client-Zertifikate, die die HTTP-Authentifizierung bestehen, einem verbürgten Speicher hinzugefügt. Nachfolgende Client-Verbindungen mit den gleichen Zertifikaten müssen die HTTP-Authentifizierung daher nicht erneut durchlaufen.

disabled

Deaktiviert die Client-Zertifikatüberprüfung.

Das ist die Standardeinstellung.

optional

Lässt die Authentifizierung eines verbürgten Zertifikats zu (die HTTP-Authentifizierung ist nicht mehr erforderlich).

Außerdem besteht ein nicht verbürgtes Zertifikat das SSL-Handshake, wenn der Client die HTTP-Authentifizierung besteht.

required

Für ein erfolgreiches SSL-Handshake ist ein verbürgtes Zertifikat erforderlich.

Beispiel

http_server.ssl_client_verification = disabled

http_server.ssl_trust_store

Beschreibung

Gibt das Verzeichnis für den verbürgten OpenSSL-Speicher an.

Syntax

http_server.ssl_trust_store = Pfad

Der Standardpfad der verbürgten Speicherdatei lautet:

/etc/openwbem/truststore

Beispiel

http_server.ssl_trust_store = /etc/openwbem/truststore

http_server.use_digest

Beschreibung

Weist den HTTP-Server an, die Digest-Authentifizierung zu verwenden, die den Mechanismus der Basisauthentifizierung umgeht. Für diese Art der Authentifizierung muss unter owdigestgenpass die Digest-Passwortdatei eingerichtet sein.

Digest verwendet nicht das unter owcimomd.authentication_module angegebene Authentifizierungsmodul.

Syntax

http_server.use_digest = Option

Option

Beschreibung

false

Aktiviert die Basisauthentifizierung.

Das ist die Standardeinstellung.

true

Aktiviert die Digest-Authentifizierung.

Beispiel

http_server.use_digest = false

owcimomd.ACL_superuser

Beschreibung

Gibt den Benutzernamen des Benutzers an, der auf alle Daten des Common Information Model (CIM) in allen von owcimomd verwalteten Namespaces zugreifen darf. Dieser Benutzer kann als Administrator des Namespace /root/security eingesetzt werden, in dem sämtliche ACL-Benutzerrechte gespeichert sind.

Die ACL-Verarbeitung wird allerdings erst durch den Import der Datei OpenWBEM_Acl1.0.mof aktiviert.

Syntax

owcimomd.ACL_superuser = Benutzername

Beispiel

owcimomd.ACL_superuser = root

owcimomd.allow_anonymous

Beschreibung

Aktiviert bzw. deaktiviert anonyme Anmeldungen bei owcimomd.

Syntax

owcimomd.allow_anonymous = Option

Option

Beschreibung

false

Für den Zugriff auf owcimomd-Daten ist die Anmeldung über Benutzername und Passwort erforderlich.

Dies ist die Standardeinstellung (empfohlen).

true

Ermöglicht den Zugriff auf owcimomd über die anonyme Anmeldung.

Die Authentifizierung wird dadurch deaktiviert. Für den Zugriff auf owcimomd-Daten ist weder Benutzername noch Passwort erforderlich.

Beispiel

owcimomd.allowed_anonymous = false

owcimomd.allowed_users

Beschreibung

Legt die Liste der Benutzer fest, die auf owcimomd-Daten zugreifen dürfen.

Syntax

owcimomd.allowed_users = Option

Option

Beschreibung

Benutzername

Gibt einen oder mehrere Benutzer an, die auf die owcimomd-Daten zugreifen dürfen.

Die einzelnen Benutzernamen müssen durch eine Leerstelle getrennt werden.

Der Root-Benutzer ist standardmäßig eingestellt.

*

Ermöglicht allen Benutzern die Authentifizierung (stattdessen kann der Zugriff zum Beispiel über ACLs gesteuert werden).

Diese Option wird bei allen Authentifizierungsmethoden durchgesetzt, es sei denn, owcimomd.allow_anonymous ist auf true eingestellt.

Beispiel

owcimomd.allowed_users = bcwhitely jkcarey jlanderson

owcimomd.authentication_module

Beschreibung

Bestimmt das von owcimom verwendete Authentifizierungsmodul. Diese Einstellung sollte den absoluten Pfad der freigegebenen Bibliothek angeben, die das Authentifizierungsmodul enthält.

Syntax

owcimomd.authentication_module = path_filename

Der Standardpfad und -dateiname der Bibliothek mit den Authentifizierungsmodulen lautet:

/usr/lib/openwbem/authentication/libpamauthentication.so

Beispiel

owcimomd.authentication_module = /usr/lib/openwbem/authentication/libpamauthentication.so

simple_auth.password_file

Beschreibung

Gibt den Pfad der Passwortdatei an, die für das einfache Authentifizierungsmodul erforderlich ist.

Diese Einstellung ist standardmäßig deaktiviert.

Syntax

simple_auth.password_file = path_filename

Beispiel

simple_auth.password_file = /etc/openwbem/simple_auth.passwd

Ändern der Zertifikatkonfiguration

Die Einstellungen http_server.SSL_cert und http_server.SSL_key legen den Pfad für die Dateien fest, die den privaten Schlüssel des Host und das von OpenSSL für die HTTPS-Kommunikation verwendete Zertifikat enthalten.

Standardmäßig befinden sich die .pem-Dateien in folgenden Verzeichnissen:

/etc/openwbem/servercert.pem

/etc/openwbem/serverkey.pem

Syntax

http_server.SSL_cert = path_filename

oder

http_server.SSL_key = path_filename

[Note]

Schlüssel und Zertifikat können auch in der gleichen Datei gespeichert werden. In diesem Fall wären die Werte von http_server.SSL_cert und http_server.SSL_key identisch.

Beispiele

http_server.SSL_cert = /etc/openwbem/servercert.pem

http_server.SSL_key = /etc/openwbem/servercert.pem

http_server.SSL_key = /etc/openwbem/serverkey.pem

Ändern der Portkonfiguration

Die Einstellungen http_server.http_port und server.https_port legen die Portnummern fest, die owcimomd bei der HTTP- bzw. HTTPS-Kommunikation überwacht.

Syntax

http_server.http_port = Option

oder

http_server.https_port = Option

Option

Beschreibung

Specific_port_number

Legt eine bestimmte Portnummer für die HTTP- bzw. HTTPS-Kommunikation fest.

Der Standardport für HTTP ist Port 5988.

Der Standardport für HTTPS ist Port 5989.

-1

Deaktiviert HTTP- bzw. HTTPS-Verbindungen (Sie können zum Beispiel HTTP deaktivieren, wenn Sie nur HTTPS-Verbindungen zulassen möchten).

0

Weist die Portnummer dynamisch während der Laufzeit zu.

Beispiel

Die nachfolgenden Einstellungen deaktivieren den HTTP-Port und aktivieren Port 5989 für HTTPS-Verbindungen:

http_server.http_port = -1

http_server.https_port = 5989

Ändern der Standardprotokollkonfiguration

Mit den folgenden Protokolleinstellungen in der Datei owcimomd.conf legen Sie das Ausmaß der Protokollierung, den Typ der protokollierten Fehler, die Protokollgröße, den Pfad und Dateinamen des Protokolls sowie das Protokollformat fest:

Informationen zur Einrichtung der Debug-Protokollierung finden Sie in Abschnitt 11.2.5, „Konfigurieren der Debug-Protokollierung“.

Informationen zur Einrichtung weiterer Protokolle finden Sie in Abschnitt 11.2.6, „Konfigurieren weiterer Protokolle“.

log.main.categories

Beschreibung

Legt die protokollierten Fehlerkategorien fest.

Syntax

log.main.categories = option

Option

Beschreibung

category_name

Legt die protokollierten Fehlerkategorien fest. Geben Sie die einzelnen Kategorien jeweils getrennt durch ein Leerzeichen ein.

In owcimomd werden folgende Fehlerkategorien verwendet:

  • DEBUG

  • ERROR

  • FATAL

  • INFO

Weitere Informationen über diese Optionen erhalten Sie in Abschnitt 11.2.4.4, „log.main.level“.

Sofern mit dieser Option angegeben, werden die vordefinierten Kategorien nicht als Ebenen, sondern als unabhängige Kategorien behandelt. Für diesen Parameter gibt es keine Standardeinstellung. Wenn keine Kategorie festgelegt ist, also keine Kategorien protokolliert werden, wird die Einstellung log.main.level verwendet.

*

Alle Kategorien werden protokolliert.

Das ist die Standardeinstellung.

Beispiel

log.main.categories = FATAL ERROR INFO

log.main.components

Beschreibung

Legt die Komponenten fest, über die ein Protokoll geführt wird.

Syntax

log.main.components = option

Option

Beschreibung

component_name

Legt die protokollierten Komponenten fest (z. B. owcimomd). Geben Sie die einzelnen Komponenten jeweils getrennt durch ein Leerzeichen ein.

Anbieter können ihre eigenen Komponenten verwenden.

*

Alle Komponenten werden protokolliert.

Das ist die Standardeinstellung.

Beispiel

log.main.components = owcimomd nssd

log.main.format

Beschreibung

Legt das Format der Protokollmeldungen fest (Text gemischt mit printf()-Konvertierungsangaben).

Syntax

log.main.format = conversion_specifier

Option

Angabe

%%

%

%c

Komponente (z. B. owcimomd)

%d

Datum

Danach ist eine Datumsformatangabe in eckigen Klammern möglich. Zum Beispiel: %d{%H:%M:%S} oder %d{%d %b %Y %H:%M:%S}. Wenn die Datumsformatangabe fehlt, wird das ISO 8601-Format verwendet.

Der einzige mögliche Zusatz ist %Q (Anzahl der Millisekunden).

Weitere Informationen zu Datumsformatangaben finden Sie in der Beschreibung der Funktion strftime(), die im <ctime>-Header vorkommt.

%e

Meldung im Format XML CDATA; Dies umfasst die “<![CDATA[“ und Endung “]]>”

%F

Dateiname

%l

Dateiname und Zeilennummer; zum Beispiel: datei.cpp(100)

%L

Zeilennummer

%M

Name der Methode, bei der die Protokollierungsanfrage ausgegeben wurde (funktioniert nur auf C++ Compilern, die __PRETTY_FUNCTION__ oder C99’s __func__ unterstützen).

%m

Meldung

%n

Plattformabhängiges Zeilentrennzeichen (\n) oder Zeichen (\r\n).

%p

Kategorie, auch als Ebene oder Priorität bezeichnet

%r

Zeit in Millisekunden zwischen dem Start der Anwendung und der Erstellung des Protokollereignisses

%t

Thread-ID

\n

Neue Zeile

\t

Register

\r

Zeilenumbruch

\\

\

\x<hexDigits>

Zeichen in Hexadezimalformat

Außerdem kann die minimale und maximale Feldbreite sowie die Ausrichtung geändert werden. Der optionale Format-Modifier wird zwischen dem Prozentzeichen (%) und dem Konvertierungszeichen eingefügt. Der erste optionale Format-Modifier ist die Flag für Linksausrichtung, ein Minuszeichen (-). Darauf folgt der optionale Format-Modifier für die minimale Feldbreite, eine Ganzzahl, die die Mindestanzahl der auszugebenden Zeichen angibt. Falls für das Datumselement weniger Zeichen erforderlich sind, wird das Feld abhängig vom Ausrichtungsflag links oder rechts mit Leerzeichen aufgefüllt. Sind mehr Zeichen erforderlich, als die minimale Feldbreite vorgibt, wird das Feld entsprechend vergrößert.

Der Format-Modifier für die maximale Feldbreite ist ein Punkt (.) gefolgt von einer Dezimalkonstante. Falls das Datumselement länger als die maximale Feldbreite ist, wird standardmäßig am Anfang des Elements bzw. bei Auswahl der Linksausrichtung am Ende des Elements die entsprechende Anzahl an Zeichen abgeschnitten.

Beispiele

Log4j TTCC-Layout:

"%r [%t] %-5p %c - %m"

Ähnlich wie TTCC, allerdings mit einigen Feldern mit fester Größe:

"%-6r [%15.15t] %-5p %30.30c - %m"

log4j.dtd 1.2-konforme XML-Ausgabe, die von Chainsaw verarbeitet werden kann (normalerweise ohne Zeilenumbruch; zur besseren Lesbarkeit ist die Ausgabe hier jedoch auf mehrere Zeilen aufgeteilt):

"<log4j:event logger="%c" timestamp="%d{%s%Q}" level="%p" thread="%t"> <log4j:message>%e</log4j:message> <log4j:locationInfo class="" method="" file="%F" line="%L"/></log4j:event>"

Die Standardeinstellung lautet:

log.main.format = [%t]%m

log.main.level

Beschreibung

Legt die protokollierte Ebene fest. Wenn eingestellt, gibt das Protokoll alle vordefinierten Kategorien ab der angegebenen Ebene aus.

Syntax

log.main.level = option

Option

Beschreibung

DEBUG

Das Protokoll gibt alle Debug-, Info-, Error- und Fatal-Fehlermeldungen aus.

ERROR

Das Protokoll gibt alle Error- und Fatal-Fehlermeldungen aus.

Das ist die Standardeinstellung.

FATAL

Das Protokoll gibt nur Fatal-Fehlermeldungen aus.

INFO

Das Protokoll gibt alle Info, Error- und Fatal-Fehlermeldungen aus.

Beispiel

log.main. level = ERROR

log.main.location

Beschreibung

Gibt den Speicherort der von owcimomd verwendeten Protokolldatei an, wenn in der Einstellung log.main.type festgelegt ist, dass das Protokoll in eine Datei ausgegeben wird.

Syntax

log.main.location = path_filename

Beispiel

log.main.location = /system/cimom/var/owcimomd.log

log.main.max_backup_index

Beschreibung

Gibt an, wie viele Sicherungsprotokolle aufbewahrt werden, bevor das älteste Protokoll gelöscht wird.

Syntax

log.main.backup_index = Option

Option

Beschreibung

unsigned_integer_above_0

Gibt die Anzahl der aufzubewahrenden Sicherungsprotokolle an.

Die Standardeinstellung ist 1.

0

Es werden keine Sicherungsprotokolle erstellt. Sobald das Protokoll seine maximale Dateigröße erreicht, werden die Einträge am Anfang gelöscht.

Beispiel

log.main.max_backup_index = 1

log.main.max_file_size

Beschreibung

Gibt die maximal zulässige Dateigröße (in KB) des owcimomd-Protokolls an.

Syntax

log.main.max_file_size = option

Option

Beschreibung

unsigned _integer_in_KB

Legt die maximale Größe des Protokolls in KB fest.

0

Für das Protokoll gibt es keine Größeneinschränkung.

Das ist die Standardeinstellung.

Beispiel

log.main.max_file_size = 0

log.main.type

Beschreibung

Legt den Typ des von owcimomd verwendeten Hauptprotokolls fest.

Syntax

log.main.type = option

Option

Beschreibung

file

Gibt alle Meldungen in die von log.main.location festgelegte Datei aus.

null

Deaktiviert die Protokollierung.

syslog

Gibt alle Meldungen an die syslog-Schnittstelle aus.

Das ist die Standardeinstellung.

Beispiel

log.main.type = syslog

Konfigurieren der Debug-Protokollierung

Wenn owcimomd im Debug-Modus ausgeführt wird, werden sämtliche Meldungen in das Debug-Protokoll ausgegeben. Das Debug-Protokoll hat folgende Einstellungen:

  • log.debug.categories = *

  • log.debug.components = *

  • log.debug.format = [%t] %m

  • log.debug.level = *

  • log.debug.type = stderr

Farbiges Debug-Protokoll

Mit den folgenden ASCII-Escape-Codes können Sie das Debug-Protokoll farbig anzeigen:

log.debug.format = \x1b[1;37;40m[\x1b[1;31;40m%-.6t\x1b[1;37;40m]\x1b[1;32;40m %m\x1b[0;37;40m

Wenn Sie weitere Farben verwenden möchten, geben Sie im Befehl log.debug.format die folgenden Codes an:

Tabelle 11.3. Weitere Farbcodes für den Befehl log.debug.format

Farbe

Code

Rot

\x1b[1;31;40m

Dunkelrot

\x1b[0;31;40m

Grün

\x1b[1;32;40m

Dunkelgrün

\x1b[0;32;40m

Gelb

\x1b[1;33;40m

Dunkelgelb

\x1b[0;33;40m

Blau

\x1b[1;34;40m

Dunkelblau

\x1b[0;34;40m

Violett

\x1b[1;35;40m

Dunkelviolett

\x1b[0;35;40m

Zyan

\x1b[1;36;40m

Dunkelzyan

\x1b[0;36;40m

Weiß

\x1b[1;37;40m

Dunkles weiß

\x1b[0;37;40m

Grau

\x1b[0;37;40m

Farbe zurücksetzen

\x1b[0;37;40m


Konfigurieren weiterer Protokolle

Wenn Sie weitere Protokolle erstellen möchten, geben Sie deren Namen unter folgender Einstellung an:

owcimomd.additional_logs = Protokollname

Die Protokollnamen müssen jeweils durch ein Leerzeichen getrennt sein.

Syntax

owcimomd.additional_logs = Protokollname

Für jedes Protokoll gelten die folgenden Einstellungen:

  • Protokoll.log_name.categories

  • Protokoll.log_name.Komponenten

  • Protokoll.log_name.Format

  • Protokoll.log_name.Stufe

  • Protokoll.log_name.Pfad

  • Protokoll.log_name.max_backup_index

  • Protokoll.log_name.max_file_size

Beispiel

owcimomd.additional_logs = errorlog1 errorlog2 errorlog3