9.2. Ändern der OpenWBEM CIMOM-Konfiguration

Beim Start von OpenWBEM CIMOM (owcimomd) liest der Daemon seine Laufzeitkonfiguration aus der Datei openwbem.conf ein. Die Datei openwbem.conf befindet sich im Verzeichnis /etc/openwbem.

Jede Einstellung in dieser Datei, deren Optionen durch einen Strichpunkt (;) oder ein Gatter (#) auskommentiert sind, verwendet die Standardeinstellung.

Diese Datei können Sie in jedem Texteditor bearbeiten, der die Datei in einem der Plattform entsprechenden Format speichert.

Sie können alle Einstellungen der Datei openwbem.conf ändern. In diesem Abschnitt werden die folgenden Konfigurationseinstellungen besprochen:

9.2.1. Ändern der Authentifizierungskonfiguration

Im Zusammenhang mit der Authentifizierung können Sie folgende Aspekte beeinflussen:

  • Wer hat Zugriff auf den CIMOM?

  • Welches Authentifizierungsmodul wird verwendet?

Sehen Sie sich hierzu die folgenden Einstellungen an:

9.2.1.1. http_server.allow_local_authentication

Zweck

Weist den http_server an, die lokale Authentifizierung ohne Eingabe eines Passworts zuzulassen, also die Dateiberechtigungen des lokalen Systems zu übernehmen.

Diese Einstellung kann mit der Basis- und der Digestauthentifizierung verwendet werden.

Syntax

http_server.allow_local_authentication = option

Option

Beschreibung

true

Aktiviert die lokale Authentifizierung.

Dies ist die Standardeinstellung.

false

Deaktiviert die lokale Authentifizierung.

Beispiel

http_server.allow_local_authentication = true

9.2.1.2. http_server.digest_password_file

Zweck

Gibt den Speicherort der Passwortdatei an. Die Angabe des Speicherorts ist erforderlich, wenn die Einstellung "http_server.use_digest" aktiviert ist.

Syntax

http_server.digest_password_file = pfad_dateiname

Der Standardpfad und -dateiname der Digest-Passwortdatei lautet:

/etc/openwbem/digest_auth.passwd

Beispiel

http_server.digest_password_file = /etc/openwbem/digest_auth.passwd

9.2.1.3. http_server.ssl_client_verification

Zweck

Bestimmt, ob der Server die Clients mittels der SSL-Client-Zertifikatüberprüfung authentifizieren soll.

Diese Einstellung ist standardmäßig deaktiviert.

Syntax

http_server.ssl_client_verification = option

Option

Beschreibung

autoupdate

Legt die gleiche Funktionalität fest, wie die Option Optional. Allerdings werden bislang unbekannte Client-Zertifikate, die die HTTP-Authentifizierung bestehen, einem verbürgten Speicher hinzugefügt. Nachfolgende Client-Verbindungen mit den gleichen Zertifikaten müssen die HTTP-Authentifizierung daher nicht erneut durchlaufen.

disabled

Deaktiviert die Client-Zertifikatüberprüfung.

Dies ist die Standardeinstellung.

optional

Lässt die Authentifizierung eines verbürgten Zertifikats zu (die HTTP-Authentifizierung ist nicht mehr erforderlich).

Außerdem besteht ein nicht verbürgtes Zertifikat das SSL-Handshake, wenn der Client die HTTP-Authentifizierung besteht.

required

Für ein erfolgreiches SSL-Handshake ist ein verbürgtes Zertifikat erforderlich.

Beispiel

http_server.ssl_client_verification = disabled

9.2.1.4. http_server.ssl_trust_store

Zweck

Gibt das Verzeichnis für den verbürgten OpenSSL-Speicher an.

Syntax

http_server.ssl_trust_store = pfad

Der Standardpfad der verbürgten Speicherdatei lautet:

/etc/openwbem/truststore

Beispiel

http_server.ssl_trust_store = /etc/openwbem/truststore

9.2.1.5. http_server.use_digest

Zweck

Weist den HTTP-Server an, die Digest-Authentifizierung zu verwenden, die den Mechanismus der Basisauthentifizierung umgeht. Für diese Art der Authentifizierung muss unter owdigestgenpass die Digest-Passwortdatei eingerichtet sein.

Digest verwendet nicht das unter owcimomd.authentication_module angegebene Authentifizierungsmodul.

Syntax

http_server.use_digest = option

Option

Beschreibung

false

Aktiviert die Basisauthentifizierung.

Dies ist die Standardeinstellung.

true

Aktiviert die Digest-Authentifizierung.

Beispiel

http_server.use_digest = false

9.2.1.6. owcimomd.ACL_superuser

Zweck

Gibt den Benutzernamen des Benutzers an, der auf alle Daten des Common Information Model (CIM) in allen von owcimomd verwalteten Namespaces zugreifen darf. Dieser Benutzer kann als Administrator des Namespace /root/security eingesetzt werden, in dem sämtliche ACL-Benutzerrechte gespeichert sind.

Die ACL-Verarbeitung wird allerdings erst durch den Import der Datei OpenWBEM_Acl1.0.mof aktiviert.

Syntax

owcimomd.ACL_superuser = benutzername

Beispiel

owcimomd.ACL_superuser = root

9.2.1.7. owcimomd.allow_anonymous

Zweck

Aktiviert bzw. deaktiviert anonyme Anmeldungen bei owcimomd.

Syntax

owcimomd.allow_anonymous = option

Option

Beschreibung

false

Für den Zugriff auf owcimomd-Daten ist die Anmeldung über Benutzername und Passwort erforderlich.

Dies ist die Standardeinstellung (empfohlen).

true

Ermöglicht den Zugriff auf owcimomd über die anonyme Anmeldung.

Die Authentifizierung wird dadurch deaktiviert. Für den Zugriff auf owcimomd-Daten ist weder Benutzername noch Passwort erforderlich.

Beispiel

owcimomd.allowed_anonymous = false

9.2.1.8. owcimomd.allowed_users

Zweck

Legt die Liste der Benutzer fest, die auf owcimomd-Daten zugreifen dürfen.

Syntax

owcimomd.allowed_users = option

Option

Beschreibung

benutzername

Gibt einen oder mehrere Benutzer an, die auf die owcimomd-Daten zugreifen dürfen.

Die einzelnen Benutzernamen müssen durch eine Leerstelle getrennt werden.

*

Ermöglicht allen Benutzern die Authentifizierung (stattdessen kann der Zugriff zum Beispiel über ACLs gesteuert werden).

Diese Option wird bei allen Authentifizierungsmethoden durchgesetzt, es sei denn owcimomd.allow_anonymous = true.

Dies ist die Standardeinstellung.

Beispiel

owcimomd.allowed_users = bcwhitely jkcarey jlanderson

9.2.1.9. owcimomd.authentication_module

Zweck

Bestimmt das von owcimom verwendete Authentifizierungsmodul. Diese Einstellung sollte den absoluten Pfad der freigegebenen Bibliothek angeben, die das Authentifizierungsmodul enthält.

Syntax

owcimomd.authentication_module = pfad_dateiname

Der Standardpfad und -dateiname der Bibliothek mit den Authentifizierungsmodulen lautet:

/usr/lib/openwbem/authentication/libpamauthentication.so

Beispiel

owcimomd.authentication_module = /usr/lib/openwbem/authentication/libpamauthentication.so

9.2.1.10. simple_auth.password_file

Zweck

Gibt den Pfad der Passwortdatei an, die für das einfache Authentifizierungsmodul erforderlich ist.

Diese Einstellung ist standardmäßig deaktiviert.

Syntax

simple_auth.password_file = pfad_dateiname

Beispiel

simple_auth.password_file = /etc/openwbem/simple_auth.passwd

9.2.2. Ändern der Zertifikatkonfiguration

Die Einstellungen http_server.SSL_key und http_server.SSL_cert legen den Speicherort der Dateien fest, die den privaten Schlüssel des Host und das von OpenSSL für die HTTPS-Kommunikation verwendete Zertifikat enthalten.

Standardmäßig befinden sich die .pem-Dateien in folgenden Verzeichnissen:

/etc/openwbem/servercert.pem

/etc/openwbem/serverkey.pem

Syntax

http_server.SSL_cert = pfad_dateiname

Oder:

http_server.SSL_key = pfad_dateiname

[Note]Anmerkung

Schlüssel und Zertifikat können auch in der gleichen Datei gespeichert werden. In diesem Fall wären die Werte von http_server.SSL_key und http_server.SSL_cert identisch.

Beispiele

http_server.SSL_cert = /etc/openwbem/servercert.pem

http_server.SSL_key = /etc/openwbem/servercert.pem

http_server.SSL_key = /etc/openwbem/serverkey.pem

9.2.3. Ändern der Portkonfiguration

Die Einstellungen http_server.http_port und server.https_port legen die Portnummern fest, die owcimomd bei der HTTP- bzw. HTTPS-Kommunikation überwacht.

Syntax

http_server.http_port = option

Oder:

http_server.https_port = option

Option

Beschreibung

bestimmte_portnummer

Legt eine bestimmte Portnummer für die HTTP- bzw. HTTPS-Kommunikation fest.

Der Standardport für HTTP ist Port 5988.

Der Standardport für HTTPS ist Port 5989.

-1

Deaktiviert HTTP- bzw. HTTPS-Verbindungen (Sie können zum Beispiel HTTP deaktivieren, wenn Sie nur HTTPS-Verbindungen zulassen möchten).

0

Weist die Portnummer dynamisch während der Laufzeit zu.

Beispiel

Die nachfolgenden Einstellungen deaktivieren den HTTP-Port und aktivieren Port 5989 für HTTPS-Verbindungen:

http_server.http_port = -1

http_server.https_port = 5989

9.2.4. Ändern der Standardprotokollkonfiguration

Mit den folgenden Protokolleinstellungen in der Datei owcimomd.conf legen Sie das Ausmaß der Protokollierung, den Typ der protokollierten Fehler, die Protokollgröße, den Pfad und Dateinamen des Protokolls sowie das Protokollformat fest:

Informationen zur Einrichtung der Debug-Protokollierung finden Sie in Abschnitt 9.2.5, „Konfigurieren der Debug-Protokollierung“.

Informationen zur Einrichtung weiterer Protokolle finden Sie in Abschnitt 9.2.6, „Konfigurieren weiterer Protokolle“.

9.2.4.1. log.main.categories

Zweck

Legt die protokollierten Fehlerkategorien fest.

Syntax

log.main.categories = option

Option

Beschreibung

kategorie_name

Legt die protokollierten Fehlerkategorien fest. Geben Sie die einzelnen Kategorien jeweils getrennt durch ein Leerzeichen ein.

In owcimomd werden folgende Fehlerkategorien verwendet:

  • DEBUG

  • ERROR

  • FATAL

  • INFO

Weitere Informationen über diese Optionen erhalten Sie in Abschnitt 9.2.4.4, „log.main.level“.

Sofern mit dieser Option angegeben, werden die vordefinierten Kategorien nicht als Ebenen, sondern als unabhängige Kategorien behandelt. Für diesen Parameter gibt es keine Standardeinstellung. Wenn keine Kategorie festgelegt ist, also keine Kategorien protokolliert werden, wird die Einstellung log.main.level verwendet.

*

Alle Kategorien werden protokolliert.

Dies ist die Standardeinstellung.

Beispiel

log.main.categories = FATAL ERROR INFO

9.2.4.2. log.main.components

Zweck

Legt die Komponenten fest, über die ein Protokoll geführt wird.

Syntax

log.main.components = option

Option

Beschreibung

komponenten_name

Legt die protokollierten Komponenten fest (z. B. owcimomd). Geben Sie die einzelnen Komponenten jeweils getrennt durch ein Leerzeichen ein.

Anbieter können ihre eigenen Komponenten verwenden.

*

Alle Komponenten werden protokolliert.

Dies ist die Standardeinstellung.

Beispiel

log.main.components = owcimomd nssd

9.2.4.3. log.main.format

Zweck

Legt das Format der Protokollmeldungen fest (Text gemischt mit printf()-Konvertierungsangaben).

Syntax

log.main.format = konvertierungs_angabe

Option

Angabe

%%

%

%c

Komponente (z. B. owcimomd)

%d

Datum

Danach ist eine Datumsformatangabe in eckigen Klammern möglich. Zum Beispiel: %d{%H:%M:%S} oder %d{%d %b %Y %H:%M:%S}. Wenn die Datumsformatangabe fehlt, wird das ISO 8601-Format verwendet.

Der einzige mögliche Zusatz ist %Q (Anzahl der Millisekunden).

Weitere Informationen zu Datumsformatangaben finden Sie in der Beschreibung der Funktion strftime(), die im <ctime>-Header vorkommt.

%e

Meldung im Format XML CDATA; dieses Format umfasst “<![CDATA[“ und Endung “]]>”

%F

Dateiname

%l

Dateiname und Zeilennummer; zum Beispiel: datei.cpp(100)

%L

Zeilennummer

%M

Name der Methode, von der die Protokollanforderung ausgegeben wurde (funktioniert nur auf C++-Compilern, die __PRETTY_FUNCTION__ oder C99’s __func__ unterstützen)

%m

Meldung

%n

Plattform-abhängige(s) Zeilenumbruchzeichen (\n oder \r\n)

%p

Kategorie, auch als Ebene oder Priorität bezeichnet

%r

Zeit in Millisekunden zwischen dem Start der Anwendung und der Erstellung des Protokollereignisses

%t

Thread-ID

\n

Neue Zeile

\t

Tabulator

\r

Zeilenumbruch

\\

\

\x<hexDigits>

Zeichen in Hexadezimalformat

Außerdem kann die minimale und maximale Feldbreite sowie die Ausrichtung geändert werden. Der optionale Format-Modifier wird zwischen dem Prozentzeichen (%) und dem Konvertierungszeichen eingefügt. Der erste optionale Format-Modifier ist die Flag für Linksausrichtung, ein Minuszeichen (-). Darauf folgt der optionale Format-Modifier für die minimale Feldbreite, eine Ganzzahl, die die Mindestanzahl der auszugebenden Zeichen angibt. Falls für das Datumselement weniger Zeichen erforderlich sind, wird das Feld abhängig vom Ausrichtungsflag links oder rechts mit Leerzeichen aufgefüllt. Sind mehr Zeichen erforderlich, als die minimale Feldbreite vorgibt, wird das Feld entsprechend vergrößert.

Der Format-Modifier für die maximale Feldbreite ist ein Punkt (.) gefolgt von einer Dezimalkonstante. Falls das Datumselement länger als die maximale Feldbreite ist, wird standardmäßig am Anfang des Elements bzw. bei Auswahl der Linksausrichtung am Ende des Elements die entsprechende Anzahl an Zeichen abgeschnitten.

Beispiele

Log4j TTCC-Layout:

"%r [%t] %-5p %c - %m"

Ähnlich wie TTCC, allerdings mit einigen Feldern mit fester Größe:

"%-6r [%15.15t] %-5p %30.30c - %m"

log4j.dtd 1.2-konforme XML-Ausgabe, die von Chainsaw verarbeitet werden kann (normalerweise ohne Zeilenumbruch; zur besseren Lesbarkeit ist die Ausgabe hier jedoch auf mehrere Zeilen aufgeteilt):

"<log4j:event logger="%c" timestamp="%d{%s%Q}" level="%p" thread="%t"> <log4j:message>%e</log4j:message> <log4j:locationInfo class="" method="" file="%F" line="%L"/></log4j:event>"

Die Standardeinstellung lautet:

log.main.format = [%t]%m

9.2.4.4. log.main.level

Zweck

Legt die protokollierte Ebene fest. Wenn eingestellt, gibt das Protokoll alle vordefinierten Kategorien ab der angegebenen Ebene aus.

Syntax

log.main.level = option

Option

Beschreibung

DEBUG

Das Protokoll gibt alle Debug-, Info-, Error- und Fatal-Fehlermeldungen aus.

ERROR

Das Protokoll gibt alle Error- und Fatal-Fehlermeldungen aus.

Dies ist die Standardeinstellung.

FATAL

Das Protokoll gibt nur Fatal-Fehlermeldungen aus.

INFO

Das Protokoll gibt alle Info, Error- und Fatal-Fehlermeldungen aus.

Beispiel

log.main. level = ERROR

9.2.4.5. log.main.location

Zweck

Gibt den Speicherort der von owcimomd verwendeten Protokolldatei an, wenn in der Einstellung log.main.type festgelegt ist, dass das Protokoll in eine Datei ausgegeben wird.

Syntax

log.main.location = pfad_dateiname

Beispiel

log.main.location = /system/cimom/var/owcimomd.log

9.2.4.6. log.main.max_backup_index

Zweck

Gibt an, wie viele Sicherungsprotokolle aufbewahrt werden, bevor das älteste Protokoll gelöscht wird.

Syntax

log.main.backup_index = option

Option

Beschreibung

ganzzahl_über_0_ohne_vorzeichen

Gibt die Anzahl der aufzubewahrenden Sicherungsprotokolle an.

Die Standardeinstellung ist 1.

0

Es werden keine Sicherungsprotokolle erstellt. Sobald das Protokoll seine maximale Dateigröße erreicht, werden die Einträge am Anfang gelöscht.

Beispiel

log.main.max_backup_index = 1

9.2.4.7. log.main.max_file_size

Zweck

Gibt die maximal zulässige Dateigröße (in KB) des owcimomd-Protokolls an.

Syntax

log.main.max_file_size = option

Option

Beschreibung

ganzzahl_ohne_vorzeichen_in_KB

Legt die maximale Größe des Protokolls in KB fest.

0

Für das Protokoll gibt es keine Größeneinschränkung.

Dies ist die Standardeinstellung.

Beispiel

log.main.max_file_size = 0

9.2.4.8. log.main.type

Zweck

Legt den Typ des von owcimomd verwendeten Hauptprotokolls fest.

Syntax

log.main.type = option

Option

Beschreibung

file

Gibt alle Meldungen in die von log.main.location festgelegte Datei aus.

null

Deaktiviert die Protokollierung.

syslog

Gibt alle Meldungen an die syslog-Schnittstelle aus.

Dies ist die Standardeinstellung.

Beispiel

log.main.type = syslog

9.2.5. Konfigurieren der Debug-Protokollierung

Wenn owcimomd im Debug-Modus ausgeführt wird, werden sämtliche Meldungen in das Debug-Protokoll ausgegeben. Das Debug-Protokoll hat folgende Einstellungen:

  • log.debug.categories = *

  • log.debug.components = *

  • log.debug.format = [%t] %m

  • log.debug.level = *

  • log.debug.type = stderr

9.2.5.1. Farbiges Debug-Protokoll

Mit den folgenden ASCII-Escape-Codes können Sie das Debug-Protokoll farbig anzeigen:

log.debug.format = \x1b[1;37;40m[\x1b[1;31;40m%-.6t\x1b[1;37;40m]\x1b[1;32;40m %m\x1b[0;37;40m

Wenn Sie weitere Farben verwenden möchten, geben Sie im Befehl log.debug.format die folgenden Codes an:

Tabelle 9.3. Weitere Farbcodes für den Befehl log.debug.format

Farbe

Code

Rot

\x1b[1;31;40m

Dunkelrot

\x1b[0;31;40m

Grün

\x1b[1;32;40m

Dunkelgrün

\x1b[0;32;40m

Gelb

\x1b[1;33;40m

Dunkelgelb

\x1b[0;33;40m

Blau

\x1b[1;34;40m

Dunkelblau

\x1b[0;34;40m

Violett

\x1b[1;35;40m

Dunkelviolett

\x1b[0;35;40m

Zyan

\x1b[1;36;40m

Dunkelzyan

\x1b[0;36;40m

Weiß

\x1b[1;37;40m

Dunkles weiß

\x1b[0;37;40m

Grau

\x1b[0;37;40m

Farbe zurücksetzen

\x1b[0;37;40m

9.2.6. Konfigurieren weiterer Protokolle

Wenn Sie weitere Protokolle erstellen möchten, geben Sie deren Namen unter folgender Einstellung an:

owcimomd.additional_logs = protokoll_name

Die Protokollnamen müssen jeweils durch ein Leerzeichen getrennt sein.

Syntax

owcimomd.additional_logs = protokoll_name

Für jedes Protokoll gelten die folgenden Einstellungen:

  • log.protokoll_name.categories

  • log.protokoll_name.components

  • log.protokoll_name.format

  • log.protokoll_name.level

  • log.protokoll_name.location

  • log.protokoll_name.max_backup_index

  • log.protokoll_name.max_file_size

Beispiel

owcimomd.additional_logs = fehlerprotokoll1 fehlerprotokoll2 fehlerprotokoll3