虽然现在是HMC管理主机的时代,还是有很多power4甚至power5的主机,在使用CDE环境,闲暇无事,整理了这个topic,给自己也给论坛上需要的人。
对于POWER5、power6以及power7,用HMC管理是IBM推荐的方式。
*******************************************************************
1.CDE环境的安装及初始配置
CDE环境的安装及初始配置
内容提要:
如果操作系统的CDE环境(Common Desktop Environment)不存在或者不能够被正常使用,我们可以按照该文档中的步骤进行CDE环境的安装和初试化配置。
说明:
1.简单的安装步骤
从操作系统安装盘的第一张中选择安装所需要的软件包。
使用下面的命令进行安装:
# smit
--> Software Installation and Maintenance
--> Install and Update Software
--> Install and Update from ALL Available Software
按照下面的提示输入相应的内容:
Install and Update from ALL Available Software
Type or select values in entry fields.
Press Enter AFTER making all desired changes.
[Entry Fields]
* INPUT device / directory for software /dev/cd0
* SOFTWARE to install [] + -->选择安装CDE环境所需要的软件包
PREVIEW only? (install operation will NOT occur) no +
COMMIT software updates? yes +
SAVE replaced files? no +
AUTOMATICALLY install requisite software? yes +
EXTEND file systems if space needed? yes +
OVERWRITE same or newer versions? no +
VERIFY install and check file sizes? no +
DETAILED output? no +
Process multiple volumes? yes +
ACCEPT new license agreements? no +
PREVIEW new LICENSE agreements? no +
F1=Help F2=Refresh F3=Cancel F4=List
Esc+5=Reset Esc+6=Command Esc+7=Edit Esc+8=Image
Esc+9=Shell Esc+0=Exit Enter=Do
选择完成后按回车键开始安装,之后再次按回车键确认安装过程开始。
下面是运行CDE环境所需要的最小的文件集列表(安装完成后在操作系统中可以用命令 lslpp -l X11.Dt* 检查是否所需的最小文件集都已经被安装。):
X11.Dt.ToolTalk -- AIX CDE ToolTalk支持
(该文件集中包含了AIX CDE环境中提供ToolTalk服务所需要的可执行文件及库文件。 )
X11.Dt.bitmaps -- AIX CDE位图
(该文件集中包含了AIX CDE环境中需要的图标、背景及调色板。)
X11.Dt.compat -- AIX CDE兼容性支持
(该文件集中包含了从AIX CDE环境中删除的图标、操作定义和可执行文件。)
X11.Dt.helpinfo -- AIX CDE帮助文件
(该文件集中包含了AIX CDE帮助系统所需的完整的帮助文件集。)
X11.Dt.helpmin -- AIX CDE最小帮助文件集
(该文件集中包含了AIX CDE帮助系统所需的最小的帮助文件集。)
X11.Dt.helprun -- AIX CDE实时帮助
(该文件集中包含了桌面帮助系统所需的可执行文件、配置文件和资源文件。)
X11.Dt.lib -- AIX CDE实时库
(该文件集中包含了支持桌面应用的实时库文件。包括用于桌面服务、桌面窗口部件和桌面帮助的库文件。)
X11.Dt.rte -- AIX公共桌面环境
(该文件集中包含了运行和定制桌面所需的可执行文件、配置文件和资源文件。)
2.CDE的初试化配置步骤
(1)首先,考虑系统所使用的主控台类型:
图形主控台 -- 如果系统有图形卡并连接有图形显示器作为主控台,那么CDE环境可以在该主控台上运行而不需要进一步的配置。
ASCII字符主控台 -- 如果系统配置了字符终端作为主控台,那么CDE环境将不能够在该主控台上运行。需要按下面的步骤修改系统文件防止CDE环境在该主控台上运行:
# cp /usr/dt/config/Xservers /etc/dt/config/Xservers
# vi /etc/dt/config/Xservers
(注释掉该文件中启动Xserver的行)
如:
# :0 Local local@console /usr/lpp/X11/defaults/xserverrc -T -force :0
(2)配置在系统引导时启动CDE环境,然后启动CDE环境。
a.以root用户身份,在命令行执行下面的命令:
# /usr/dt/bin/dtconfig -e
b.启动CDE,以root用户身份执行下面的命令:
# /etc/rc.dt
# exit
c.确认CDE环境已经运行,使用如下命令:
# ps -ef |grep dtlogin
3.附加信息 其它配置信息
重要的文件:
/var/dt/Xerrors
$HOME/.dt/errorlog
$HOME/.dt/startlog
/usr/dt/bin/dtlogin -- 登录服务的可执行文件
/usr/dt/bin/dtgreet -- 显示欢迎屏幕
/usr/dt/bin/dtchooser -- 显示选择屏幕
/usr/dt/bin/Xsession -- 启动桌面会话
/usr/dt/config/Xfailsafe -- 启动安全会话
/usr/dt/config/Xconfig -- 登录服务的配置文件
/usr/dt/config/Xservers -- 登录服务描述文件
/usr/dt/config/Xaccess -- 登录服务访问控制文件
/usr/dt/config/language/Xresources -- 屏幕显示资源
/usr/dt/config/Xsetup -- 显示设置文件
/usr/dt/config/Xstartup -- Pre-session startup file
/usr/dt/config/Xreset -- Post-session reset file
/var/dt/Xpid-- 登录服务的进程号
/var/dt/Xerrors -- 登录服务的错误日志
重要的权限:
/dev/null的权限为666
/dev/lft0的权限为666
/dev/tty的权限为666
/dev/console的权限为622
/var/tmp的权限为666
/var/dt/tmp的权限为666
/etc/hosts的权限为664
/home/$USER必须对该用户有rwx权限
2.有关CDE安全性的讨论
内容提要:
X服务器在严格要求安全的系统中,被认为是不安全的,所以一般不安装。在安全性要求不高的场合,或者用户必须要用这个环境的场合,我们可以采取一些并不复杂的行动来增强安全性。本文讨论了涉及 X11 X 服务器和公共桌面环境(CDE)的潜在安全弱点。
说明:
X服务器在严格要求安全的系统中,被认为是不安全的,所以一般不安装。在安全性要求不高的场合,或者用户必须要用这个环境的场合,我们可以采取一些并不复杂的行动来增强安全性。本文讨论了涉及 X11 X 服务器和公共桌面环境(CDE)的潜在安全弱点。
更改公共桌面环境的登录屏幕
在缺省情况下,CDE 登录屏幕也显示主机名和操作系统版本。要防止显示此信息,请编辑 /usr/dt/config/$LANG/Xresources 文件,其中 $LANG 指的是安装在您的机器上的本地语言。
在我们的示例中,假定 $LANG 设置为 C ,将该文件复制到 /etc/dt/config/C/Xresources 目录中。然后,打开 /usr/dt/config/C/Xresources 文件并编辑,以除去包含主机名和操作系统版本的欢迎消息。
除去 /etc/rc.dt 文件
尽管用户运行 CDE 接口很方便,但是有些安全性说明与之有关。由于这个原因,请不要在需要高级别安全性的服务器上运行 CDE。最好的解决方案是避免安装 CDE(dt)文件集。如果您已经在您的系统上安装了这些文件集,那就考虑将其卸载,特别是启动 CDE 的 /etc/rc.dt 脚本。
更多关于 CDE 的信息,请参阅 《AIX 5L V5.2 系统管理指南:操作系统与设备》 。
阻止远程 X 服务器的未经授权的监视
与 X11 服务器有关的一个重要安全问题是远程服务器的未经授权的静默监视。 xwd 和 xwud 命令可以用于监视 X 服务器活动,因为它们有能力捕获击键,这会暴露密码和其它敏感数据。要解决这个问题,除去这些可执行文件,除非在您的配置下它们是必要的,或者,作为备用,将对这些命令的访问权更改为只有 root 用户才能访问。
xwd 和 xwud 命令位于 X11.apps.clients 文件集。
如果您确实需要保留 xwd 和 xwud 命令,考虑使用 OpenSSH 或 MIT Magic Cookie。这些第三方应用程序帮助阻止运行 xwd 和 xwud 命令所产生的风险。
有关 OpenSSH 和 MIT Magic Cookies 的更多信息,请参考每个应用程序各自的文档。
禁用和启用访问控制
X 服务器允许远程主机使用 xhost + 命令来连接系统。确保使用 xhost + 命令指定了主机名,因为它禁用对 X 服务器的访问控制。这允许您将访问权授予特定主机,以便于监视对 X 服务器的潜在攻击。要将访问权授予特定主机,运行如下的 xhost 命令:
# xhost + 主机名
如果您不指定主机名,那么将访问授权予所有主机。
有关 xhost 命令的更多信息,请参阅 《AIX 命令参考大全,卷 6》。
禁用运行 xhost 命令的用户许可权
确保适当地使用 xhost 命令的另一种方法是限制该命令仅能由具有 root 用户权限的用户执行。要做到这一点,使用 chmod 命令将 /usr/bin/X11/xhost 的许可权更改为 744,如下所示:
chmod 744/usr/bin/X11/xhost
3.CDE中出现"Action not found"错误
登录到CDE界面后,当点击图标时出现"Action not found"错误。
1、通过其它计算机telnet到有问题的计算机,用root身份登录。
2、运行df -k,检查是否有文件系统已满,特别是/var(第二列是文件系统的大小,以千字节为单位,第4列是文件系统的利用率):
Filesystem 1024-blocks Free %Used Iused %Iused Mounted on
/dev/hd4 ---- 65536 ---8644 --87% -4071 --13% --/
/dev/hd2 -- 1933312 -205260 --90% 54302 --12% --/usr
/dev/hd9var - 32768 ----140 -100% -1505 --19% --/var
/dev/hd3 --- 114688 --83916 --27% --173 -- 1% --/tmp
/dev/hd1 --- 475136 --39640 --92% -1795 -- 2% --/home
/dev/lvpd -- 114688 -113328 -- 2% --114 -- 2% --/var/pd
/dev/lvpsf - 131072 -129376 -- 2% --399 -- 5% --/var/psf
/dev/lvpsfs - 98304 --97476 -- 1% -- 18 -- 1% --/var/psf/segments
3、如果/var已满,清除不必要的日志文件或扩充/var。
4、运行/usr/dt/bin/dtconfig -kill。
5、运行rc.dt。
重新登录CDE后点击图标应该可以正常工作。
4.AIX 5.3L CDE无法启动(原文出自:http://whr25.blog.sohu.com/54684323.html)
环境:AIX V5.3L;
故障:这是一台全新安装的AIX操作系统,通过CDE登陆配置主机名、IP、DNS后无法登录CDE界面,提示fail Session对话的Command模式;
问题分析:查找了AIX V5.3L的相关资料后得到出现CDE无法登录是由两个方面引起的,一方面是主机名无法解析到导致无法登录,因为创建CDE时首先会寻找主机名,另一方面是由于磁盘空间不够导致无法启动CDE界面。
解决流程:
┌──────────┐
│ 检查计算机名 │
└──────────┘
│
│
↓
┌──────────┐
│ 检查磁盘空间 │
└──────────┘
由于无法登录CDE界面,因此我们只能在fail Session对话下的Command模式下进行维护。
1、由于是修改计算机名后引起CDE无法登陆,因此初步判断是主机名出现的问题
1.1 通过hostname和uname -n命令得出主机名是erpdb;
1.2 通过命令得出主机名erpdb是没错的,后面上网看到有很多类似的故障是要修改/etc/hosts文件,具体修改如下:
/etc/hosts原来内容如下:
# Internet Address Hostname # Comments
# 192.9.200.1 net0sample # ethernet name/address
# 128.100.0.1 token0sample # token ring name/address
# 10.2.0.2 x25sample # x.25 name/address
127.0.0.1 loopback localhost # loopback (lo0) name/address
192.168.0.234 erpdb
在127.0.0.1的 loopback localhost中间加入主机名erpdb保存退出
1.3 然后退出命令行,再用CDE登录,但还是无法登录
1.4 继续排查,把DNS取消掉
把/etc/netsvc.conf改为hosts=local,并把/etc/resolv.conf里面内容清空。
1.5 然后退出命令行,再用CDE登录,但还是无法登录
1.6 通过修改/etc/hosts、/etc/netsvc.conf及/etcresolv.conf可以完全保证主机名是没问题的,因此因主机名导致CDE无法启动可以排除在外了。
2、检查磁盘空间,特别是/及/var文件系统是很容易很容易爆满,
2.1 通过df -k命令查看文件系统情况
/dev/hd4 65536 0 100% 1545 10% /
/dev/hd2 2555904 78048 97% 24901 8% /usr
/dev/hd9var 65536 52736 20% 341 5% /var
/dev/hd3 65536 63264 4% 42 1% /tmp
/dev/hd1 65536 63368 4% 20 1% /home
/proc - - - - - /proc
/dev/hd10opt 262144 62824 77% 2205 7% /opt
发现/文件系统已经100%使用没有空闲空间,由于是新安装的系统所以排除有垃圾文件的存在,应该是文件系统的空间太小了,刚好IBM 5.3L可以动态减小和增加文件系统空间,接下来就用smitty chjfs2命令来修改文件系统空间。
2.2 运行smitty chjfs2命令,然后选择/文件系统在字段“Number of units”中直接填入增大后的文件系统大小即可。
2.3 退出fail session再登录CDE,终于见到久违的CDE界面了。
总结:
如果以上两种解决办法都确认正确后还是无法登录CDE界面,很有可能是操作系统问题,建议重新安装可以重安装 X11.base.rte, X11.Dt.rte 和 X11.Dt.helpinfo 一试,如果还不行只好重新安装操作系统了。
5.Problems unlocking CDE screen lock on AIX systems after installation/configuration
If Tivoli Access Manager for Operating Systems is installed, configured, and started on an AIX system with an active CDE environment that has been screen-locked, attempts to unlock the CDE screen lock might fail. This is due to the fact that, on AIX systems, the CDE-related processes do not fully reevaluate the AIX authentication plug-in configuration files when they are updated while the CDE processes are running. Notably, the /usr/lib/security/methods.cfg file is not reprocessed. As a result, the login (or screen unlock) processing does not complete successfully. This behavior seems to have been introduced in AIX, Version 5, and on the most recent maintenance levels of AIX, Version 4.3.3.
There are two ways to work around this behavior:
reboot the machine, after the configuration of Tivoli Access Manager for Operating Systems
OR
stop (kill -9) all the CDE-related processes and the X server. Then restart CDE with /etc/rc.dt start. Following is an example of this procedure initiated from a remote login window:
#ps -ef|grep dt
root 3922 7228 0 08:49:30 - 0:00 /usr/dt/bin/dtlogin
root 4206 3922 0 08:49:31 - 0:00 /usr/lpp/X11/bin/X -D /usr/lib/X11//rgb
-T -force :0 -auth /var/dt/A:0-SUdRia
root 18736 22978 0 09:13:23 - 0:00 dtgreet
root 19900 7746 2 09:13:39 pts/0 0:00 grep dt
root 22978 3922 0 09:13:23 - 0:00 dtlogin <:0>
#ps ef|grep X
root 4206 3922 0 08:49:31 - 0:00 /usr/lpp/X11/X -D /usr/lib/X11//rgb
-T -force :0 -auth /var/dt/A:0-SUdRia
root 16264 1 0 08:04:08 - 0:00 /usr/bin/AIXPowerMgtDaemon
root 23040 7746 0 09:13:43 pts/0 0:00 grep X
#kill -9 3922 4206 18736 22978
# /etc/rc.dt start
Starting AIX Windows Desktop....
6.如何在AIX的CDE上抓屏幕?
环境:
产品: RS/6000
平台: RS
软件版本: AIX V4.3.3 & V5.*
问题描述:
客户需要在CDE抓屏来进行系统数据保存备份或留做分析。
解答:
首先我们执行命令 # xwd -out filename,然后点击我们想保存的窗口,这时命令退出回到提示符。
要显示我们所抓下的窗口屏幕,只需执行 # xwud -in filename,举例如下:
#xwd -out barcode (click the window of barcode)
#xwud -in barcode