PAMSC 14.1 CP03 を Solaris 環境にインストールするときの問題

Products

CA Privileged Access Manager - Server Control (PAMSC)

Issue/Introduction

Privileged Access Manager Server Control (以下、 PAMSC) 14.1 CP03 を SMF の設定をせずにインストールすると、 seload コマンドで起動ができない。
この事象は PAMSC 14.1 CP02では発生していない。

install_base のスクリプトでインストールを行うと以下のメッセージが表示され、デフォルトは Yes だが No を選択していると問題が発生する。

----- ここから
------------------[ SMF への CA Privileged Access Manager Server Control の追加 ]-------------------
CA Privileged Access Manager Server Control は SMF コマンドを使用して起動できます。
CA Privileged Access Manager Server Control のインストールプロセスでは、seosd サービスを SMF にインストールします。
SMF を使用して CA Privileged Access Manager Server Control を起動できるようにしますか? [Y/n]: n
----- ここまで

Environment

Privileged Access Manager Server Control: Solaris 版 14.1 CP03

Cause

PAMSC 14.1 CP03 では Oracle 11 の今後の開発に従って、 SMF サービス (seosd) として設定されました。
これに伴い、従来の init スクリプトを利用するサービス起動は推奨されず、将来的には完全に削除される可能性があります。

今回、インストール時の設定が適切にされていないために問題が発生しました。
マニフェストがインストールされるだけではサービスは適切に動作しませんでした。
一部のお客様ではSMFが利用されることを期待していましたが、SMFを介して操作を行わない限り、エラーに気づかない状況となっていました。

従って、SMF サービスは必ずインストールする必要がありました。
SMF サービスをインストールすることで、seload や secons のコマンドと、svcadm の両方で操作が可能となります。

Resolution

修正は SMF サービスの選択画面を表示させないようにして、SMF サービスは常に作成されるようにします。

回避策は SMF のサービスを手動で追加します。
追加用のスクリプトは以下のようになります。

-----
#!/bin/sh
PATH=/usr/bin:/bin:/usr/sbin
SEOSDIR=/opt/CA/PAMSC
AC_MANIFEST_DIR=/lib/svc/manifest/application/security
AC_METHOD_PATH=/lib/svc/method/security-ca_ac
MANIFEST=seosd.xml
service=seosd
cp $SEOSDIR/data/SMF/security-ca_ac $AC_METHOD_PATH
svcs /milestone/sysconfig >/dev/null 2>&1
if [ $? -eq 0 ]; then
sed '/milestone/s|/config|/sysconfig|' /opt/CA/PAMSC/data/SMF/seosd.xml > ${TMPDIR:-/tmp}/seosd.xml-$$ && mv ${TMPDIR:-/tmp}/seosd.xml-$$ /opt/CA/PAMSC/data/SMF/seosd.xml
rm -f ${TMPDIR:-/tmp}/seosd.xml-$$ 2>/dev/null
fi
svccfg import $SEOSDIR/data/SMF/seosd.xml
sleep 2 # because svccfg command runs asynchronously
cp ${SEOSDIR}/data/SMF/${MANIFEST} ${AC_MANIFEST_DIR}/
cp ${SEOSDIR}/data/SMF/security-ca_ac $AC_METHOD_PATH > /dev/null 2>&1
svcadm restart manifest-import
if [ $? = 0 ] ; then
echo "$service manifest imported to SMF."
else
echo "Failed to import $service manifest to SMF."
fi
echo "Checking seosd service ..."
svcs -a | grep 'svc:/security/seosd'
if [ $? -eq 0 ]; then
echo svcadm or seload/secons commands can be used now to start/stop PAMSC
fi
-----

Additional Information

重要事項：

SMF サービスは SMF によってのみ管理されますので、サービスの出力は SMF によって制御されます。
このため、seload の起動メッセージなどは確認できないことがあります。
確認には SMFのツール ( svcsコマンドなど ) を経由する必要があります。
PAMSC を SMF サービスとして起動する場合、 seload の出力が表示されなくなります。
これは起動できないことを意味するのではなく、通常通りの起動時間が必要になるという事になります。
(または、 svcadm enable -s seosd で同期的に起動する)

なお、本KBは以下の英文 KB を翻訳し補足しました。

Article ID: 227149: problem on installing PAMSC 14.1 CP3