kill_ignoreの制限について

Document created by Tomo_Fujita Employee on Feb 25, 2015
Version 1Show Document
  • View in full screen mode

 

文書番号: JTEC000082

 

製品名:Privileged Identity Manager

 

バージョン:All

 

OS:Unix/Linux

 

 

◆ 事象

seos.iniファイルのkill_ignoreトークンはCA ACの主要な3つのeTrustデーモンに対する「kill -9」コマンドを無視(拒否)するかどうかを決定します。

このトークンがnoに設定されており、且つCA ACのデーモンが稼動した状態でシステムシャットダウンコマンドを発行すると、

システムシャットダウン処理中にシステムがハングアップする場合があります。

 

◆ 説明

CA ACの主要デーモンはお互いの稼動状態を監視する機能があり、監視対象となるデーモンが停止していることを

検知するとそのデーモンを再起動するメカニズムを持っており、killコマンドによるCA ACのデーモンの強制終了を防ぐことが出来ます。

CA ACが稼働中にシステムシャットダウンを行った時の動きはkill_ignoreトークンの設定により異なります。

kill_ignoreトークンをyesにした場合、CA ACは上記の自己保護機能によってOS側から発行されたkillコマンドを無視します。

しかしながら、システムシャットダウン処理中にCA AC自身が各デーモンを正常なシャットダウンシーケンスに則って終了させますので、

結果としては正常にシステムのシャットダウンが行われます。

Kill_ignoreトークンをnoにした場合、CA ACはOS側から発行されたkillコマンドを受け入れ、各デーモンは順次強制的終了することになります。
しかしながら、OSによる強制的な終了処理が、稀にCA ACのデーモンのデッドロック状態を誘発させ、

システムがハングアップしてしまう事例が報告されています。

従いまして、以下の何れかの対処を行って頂くことを強く推奨いたします。

 

  • CA ACが稼働中にシステムのシャットダウンを行う場合はkill_ignoreトークンをyesに設定して頂く
  • システムのシャットダウンコマンドを発行する前にCA ACを手動で停止して頂く
  • CA ACの停止コマンドをシャットダウンスクリプトに追記して頂く

 

Attachments

    Outcomes