日本-日本語 |
|
|
|
OpenVMS マニュアル |
|
HP OpenVMS
|
目次 | 索引 |
SET SECURITY |
オブジェクトの機密保護プロファイルを変更します。
SET SECURITY オブジェクト名
オブジェクト名
ファイル,デバイス等の機密プロファイルを変更したいオブジェクトの名前を指定します。オブジェクトは,名前とクラスで識別されます。省略時の設定のクラス名は FILE です。( 直接 / 間接指定を問わず )FILE クラスのオブジェクト名には,ワイルドーカード文字が使用できますが,他のクラスでは使用できません。 SET SECURITY コマンドは,リモート・ファイルやデバイス,別名のディレクトリや UIC 形式のディレクトリ名 ([14,5] 等 ) には使用できません。
SET SECURITY コマンドは,オブジェクトの機密保護プロファイルを変更します。プロファイルには,次の要素があります。
- アクセス制御リスト・エディタ(ACLエディタ)
- 保護コード。システム,所有者,グループ,およびワールドというカテゴリに基づいて,オブジェクトに対するアクセスを定義します。
- 所有者。システムは,所有者要素を使用して,保護コードを解釈します。
コマンドは,3通りの方法で使用できます。
- /ACL,/PROTECTION,および /OWNER 修飾子を使用して,新しい値を明示的に指定する (複雑な ACL の設定は,/EDIT 修飾子を使用して ACL エディタを起動してください)。
- /LIKE 修飾子を使用して,他のオブジェクトのプロファイルからコピーする。
- オブジェクトが FILE クラスの場合,/DEFAULT 修飾子を使用して,そのプロファイルを省略時の設定に再設定する。
機密保護プロファイルを変更するには,オブジェクトに対する制御アクセス権が必要です。 ACL が明示的に制御アクセスを許可するのに対し,保護コードは,所有者またはシステムのカテゴリに属する者に暗黙的に制御アクセスを許可します。オブジェクトのアクセス中にオブジェクト・プロファイルを変更しても,既存のアクセスは影響されません。
次の表に,オブジェクト・クラスとそれがサポートするアクセス・タイプを示します。
オブジェクト・クラス アクセス・タイプ COMMON_EVENT_FLAG_CLUSTER Associate,Delete DEVICE Read,Write,Physical,Logical FILE (ディレクトリ・ファイルも含む) Read,Write,Execute,Delete GROUP_GLOBAL_SECTION Read,Write,Execute ICC_ASSOCIATION 1 Open,Access LOGICAL_NAME_TABLE Read,Write,Create,Delete QUEUE Read,Submit,Manage,Delete RESOURCE_DOMAIN Read,Write,Lock SECURITY_CLASS Read,Write,Logical I/O,Physical I/O SYSTEM_GLOBAL_SECTION Read,Write,Execute VOLUME Read,Write,Create,Delete
保護されたオブジェクトとその変更方法についての詳細は,『OpenVMS システム・セキュリティ・ガイド』を参照してください。
表 DCLII-20 に,SET SECURITY コマンドの修飾子カテゴリを示します。 表 DCLII-20 に続いて,修飾子がアルファベト順に説明されています。
一般 修飾子 |
ACL変更 修飾子 |
機密保護 クラス修飾子 |
ファイル 固有修飾子 |
転送 修飾子 |
---|---|---|---|---|
/ACL
/CLASS /LOG /OWNER /PROTECTION |
/AFTER
/DELETE /EDIT /REPLACE |
/PROFILE | /BACKUP
/BEFORE /BY_OWNER /CONFIRM /CREATED /DEFAULT /EXCLUDE /EXPIRED /MODIFIED /SINCE /STYLE |
/COPY_ATTRIBUTE
/LIKE |
/ACL[=(ace[,...])]
追加,置換,または削除したいアクセス制御エントリを指定します。複数指定する場合は,コンマで区切り全体を括弧で囲んでください。良く使われる識別 ACE の形式は,IDENTIFIER=識別子, ACCESS= アクセス・タイプ(+...) です。省略時の設定では,ACE は ACL の先頭に挿入されますが, /AFTER,/DELETE,や /REPLACE 修飾子を指定した場合は異なります。 ACL の順序については『OpenVMS システム・セキュリティ・ガイド』を参照してください。/AFTER=ace
/ACL 修飾子で指定されたすべての ACE を /AFTER 修飾子で指定された ACE の後ろに挿入します。/BACKUP
/BEFORE または /SINCE 修飾子を適用する時刻属性を指定します。この修飾子を指定すると,最新のバックアップの日時をもとにファイルを選択します。省略時の設定では,ファイル作成日による選択となります。/BEFORE[=時刻]
指定された時刻以前の時刻属性を持つファイルを選択します。絶対時刻,または絶対時刻とデルタ時間の組み合わせを指定します。また,BOOT,LOGIN,TODAY (省略時の設定),TOMORROW,および YESTERDAY というキーワードも指定できます。適用する時刻属性は,/BACKUP,/CREATED (省略時の設定),/EXPIRED,または /MODIFIED 修飾子のいずれかで指定します。時刻指定の詳細は,『OpenVMS ユーザーズ・マニュアル』,またはオンライン・ヘルプのトピック Date を参照してください。
/BY_OWNER[=uic]
所有者が指定 UIC に一致するファイルを選択します。 UIC 値を省略した場合,現在のプロセスの UIC となります。/CLASS=クラス名
クラス名を指定します。省略時の設定は FILE です。/CONFIRM
処理実行前に確認を求めるプロンプトを表示します。有効な応答は,YES,NO,TRUE,または FALSE です。応答は大文字と小文字を区別しません。また,1 文字までに省略可能です。コマンドの処理を中止したい場合は QUIT または <Ctrl/Z> を,確認応答のみをキャンセルしたい ( ただし処理は続行させたい ) 場合は ALL と入力してください。/COPY_ATTRIBUTE=(キーワード[,...])
ソースオブジェクトからターゲットに複写する機密保護要素を,次のキーワードを使用して指定します。
キーワード 説明 ALL (省略時の設定) 全要素をコピーする ACL アクセス制御リストをコピーする OWNER 所有者をコピーする PROTECTION 保護コードをコピーする
/COPY_ATTRIBUTE は /LIKE 修飾子とともに使用して, 1 オブジェクトに ACL を作成後他のオブジェクトにコピーできます。
/CREATED
/BEFORE または /SINCE 修飾子を適用する時刻属性を指定します。この修飾子を指定すると,作成日をもとにファイルを選択します。省略時の設定では,ファイル作成日による選択となります。/DELETE[=ALL]
/ACL 修飾子に指定されているアクセス制御エントリ (ACE) を以下のように削除します。
- /ACL=aces/DELETE は指定 ACE のみ削除します。
- /ACL/DELETE は非保護 ACE をすべて削除します。
- /ACL/DELETE=ALL は保護 ACE も含めて全 ACE を削除します。
- /ACL=aces/DELETE=ALL は既存 ACE をすべて削除した後,指定 ACE で ACL 再作成します。
/DEFAULT
ファイルの機密プロファイルを再作成します。保護コード,ACL,所有者をファイル作成直後の状態に戻します。プロファイルは以下のように再作成されます。
- 保護コードはディレクトリの省略時の保護コード ACE から継承されます。それがない場合は,プロセスの省略時の値が使われます。
- 省略時のオプション付きの ACE の場合,親ディレクトリから ACL が継承されます。
- 所有者は親ディレクトリの所有者が設定されます。
サブディレクトリファイルには,親ディレクトリの所有者,保護コード,および ACL 要素が設定されます。
ソースオブジェクトの ACE に非伝搬属性が設定されているか,ターゲット・オブジェクトの ACE に保護属性が設定されている場合, ACE はコピーされません。全バージョンのファイルに設定するには,「;* 」を指定してください。詳細は,『OpenVMS システム・セキュリティ・ガイド』を参照してください。
/EDIT
アクセス制御エディタ (ACL エディタ ) を起動し,会話型で ACL を変更します。オブジェクト名にワイルドカード文字は使用できません。 ACL を変更するオブジェクト名は必ず指定してください。/EDIT 修飾子は,コマンド行に指定する修飾子の先頭でなければなりません。同時に指定可能な修飾子は, /CLASS 修飾子とオブジェクトが SECURITY_CLASS クラスの場合の /PROFILE 修飾子です。 FILE 以外のクラスの場合,必ず /CLASS 修飾子を指定しなければなりません。
詳細は,『OpenVMS システム管理ユーティリティ・リファレンス・マニュアル』の ACL エディタの説明を参照してください。
/EXCLUDE=(ファイル指定[,...])
選択しないファイルを指定します。ディレクトリは指定できますが,デバイスは指定できません。また,特定のバージョンを指定するために,相対バージョン番号を指定することはできません。/EXPIRED
/BEFORE または /SINCE 修飾子を適用する時刻属性を指定します。この修飾子を指定すると,満了日をもとにファイルを選択します ( 満了日は,SET FILE/EXPIRATION_DATE コマンドで設定します )。省略時の設定では,ファイル作成日による選択となります。/LIKE=(NAME=ソース・オブジェクト名
機密要素をコピーするオブジェクトを指定します。既存の要素はソース・オブジェクトのものに置換されます。ただし,非伝搬 ACE はコピーされず,保護 ACE も削除されません。 /COPY_ATTRIBUTE 修飾子とともに使用します。非伝搬 ACE および保護 ACE の特殊な扱いについての詳細は,『OpenVMS システム・セキュリティ・ガイド』を参照してください。
[,CLASS=ソース・オブジェクト・クラス] [,PROFILE=TEMPLATE=テンプレート名])ソース・オブジェクトのオブジェクト・クラスが,ターゲット・オブジェクトの省略時の設定のクラスになります。 /CLASS 修飾子が指定されない場合,CLASS キーワードは FILE になります。
PROFILE キーワードは機密クラスオブジェクトに適用され,どのテンプレートをコピーし変更するかを指定します。 /PROFILE 修飾子を参照してください。
/LOG
変更されたオブジェクトを表示します。/EDIT 修飾子とは同時に指定できません。/MODIFIED
/BEFORE または /SINCE 修飾子を適用する時刻属性を指定します。この修飾子を指定すると,更新の変更日時をもとにファイルを選択します。省略時の設定では,ファイル作成日による選択となります。/OWNER=識別子
同一グループの別のメンバに所有者を設定するには, GRPPRV ( グループ特権 ) を必要とします。グループ以外の任意の UIC ( 利用者識別コード ) に所有者を設定するには, SYSPRV ( システム特権 ) を必要とします。オブジェクトの所有者を変更します。標準形式の UIC か一般識別子を指定します。通常特権が必要となります。詳細は『OpenVMS システム・セキュリティ・ガイド』を参照してください。
/PROFILE=TEMPLATE[=テンプレート名]
変更する機密クラス・オブジェクトのテンプレート・プロファイルを指定します。 FILE 以外のオブジェクト・クラスは最低 1 つのテンプレート・プロファイルを持っています。このテンプレート・プロファイルは,オブジェクト作成時のプロファイルの省略時の設定値を持っています。テンプレート名は,SHOW SECURITY/CLASS=SECURITY_CLASS コマンドで参照できます。テンプレート名が指定されない場合は DEFAULT を使用します。変更したいプロファイルは,/CLASS=SECURITY_CLASS 修飾子で指定します。/PROTECTION=(所有区分[:アクセス][,...])
DECnet ソフトウェアを経由して,ファイルの保護を変更するために使用することはできません。オブジェクトの保護コードを修正します。保護コードは,ユーザのアクセスが許可されるタイプをオブジェクトの所有者への関係に基づいて定義します。
所有者 パラメータを,システム(S),オーナ(O),グループ(G),またはワールド (W) として指定します。
アクセス・タイプはクラス固有です。詳細は説明セクションの記述を参照してください。 アクセス には,アクセス名の最初の文字を指定します。保護コードの指定例は,例セクションを参照してください。
/REPLACE=(ace[,...])
/ACL 修飾子で指定された ACE を /REPLACE 修飾子で指定された ACE に置換します。 /REPLACE で指定された ACE は,最後に削除された ACE の位置に挿入されます。/SECRECY
弊社が使用するために予約しています。/SINCE[=時刻]
指定された時刻以降の時刻属性を持つファイルを選択します。絶対時刻,または絶対時刻とデルタ時間の組み合わせを指定します。また,BOOT,JOB_LOGIN,LOGIN,TODAY (省略時の設定),TOMORROW,および YESTERDAY というキーワードも指定できます。適用する時刻属性は,/BACKUP,/CREATED (省略時の設定),/EXPIRED,または /MODIFIED 修飾子のいずれかで指定します。時刻指定の詳細は,『OpenVMS ユーザーズ・マニュアル』,またはオンライン・ヘルプのトピック Date を参照してください。
/STYLE=キーワード
表示するファイル名の書式を指定します。この修飾子のキーワードは CONDENSED および EXPANDED です。意味は次の表のとおりです。
キーワード 説明 CONDENSED
(省略時の設定)ファイル名を 255 文字長の文字列に適合するように表示します。このファイル名の場合,ファイル指定に DID あるいは FID 短縮形を含むことが可能です。 EXPANDED ファイル名をディスクに格納されているとおりに表示します。このファイル名の場合,ファイル指定に DID あるいは FID 短縮形は含みません。
キーワード CONDENSED と EXPANDED を同時に指定することはできません。この修飾子は,確認が要求された場合に,出力メッセージに表示されるファイル名の書式を指定します。
EXPANDED キーワードが指定されていない場合,ファイル・エラーは CONDENSED ファイル指定で表示されます。
詳細は『OpenVMS システム管理者マニュアル (上巻)』を参照してください。
/SYMLINK=キーワード
この修飾子に対して有効なキーワードは,[NO]WILDCARD および [NO]ELLIPSIS です。これらのキーワードの説明は以下のとおりです。
キーワード 説明 WILDCARD ディレクトリのワイルドカード検索時にシンボリック・リンクが有効になることを指定します。 NOWILDCARD ディレクトリのワイルドカード検索時にシンボリック・リンクが無効になることを指定します。 ELLIPSIS WILDCARD と同じ。 NNOELLIPSIS 反復記号を除き,ワイルドカード・フィールドでシンボリック・リンクが一致することを指定します。
SET SECURITY コマンドで指定したファイルがシンボリック・リンクの場合,そのシンボリック・リンク自体に対してコマンドが実行されます。
#1 |
---|
$ SHOW SECURITY LNM$GROUP /CLASS=LOGICAL_NAME_TABLE LNM$GROUP object of class LOGICAL_NAME_TABLE Owner: [SYSTEM] Protection: (System: RWCD, Owner: R, Group: R, World: R) Access Control List: (IDENTIFIER=[USER,VARANESE],ACCESS=CONTROL) $ SET SECURITY LNM$GROUP /CLASS=LOGICAL_NAME_TABLE - _$ /ACL=((IDENTIFIER=CHEKOV,ACCESS=CONTROL), - _$ (IDENTIFIER=WU,ACCESS=READ+WRITE)) - _$ /DELETE=ALL - _$ /PROTECTION=(S:RWCD, O:RWCD, G:R, W:R) $ SHOW SECURITY LNM$GROUP /CLASS=LOGICAL_NAME_TABLE LNM$GROUP object of class LOGICAL_NAME_TABLE Owner: [SYSTEM] Protection: (System: RWCD, Owner: RWCD, Group: R, World: R) Access Control List: (IDENTIFIER=[USER,CHEKOV],ACCESS=CONTROL) (IDENTIFIER=[USER,WU],ACCESS=READ+WRITE) |
この例は,直接オブジェクトの機密保護要素を変更する方法を示しています。最初の SHOW SECURITY コマンドで論理名テーブル LNM$GROUP の設定を確認し,次の SET SECURITY コマンドでユーザ Chekov に制御アクセス権を与え,ユーザ Wu に読み取り/書き込みアクセス権を与えています。 /DELETE=ALL 修飾子を指定しない場合は,これらの ACE は既存のものを置き換えるのではなく追加されるので注意してください。また,保護コードも所有者に読み込み,書き込み,作成,削除の各アクセスを許可するよう変更しています。最後のコマンドで変更を確認しています。
#2 |
---|
$ SHOW SECURITY LNM$GROUP /CLASS=LOGICAL_NAME_TABLE LNM$GROUP object of class LOGICAL_NAME_TABLE Owner: [SYSTEM] Protection: (System: RWCD, Owner: R, Group: R, World: R) Access Control List: (IDENTIFIER=[USER,FERNANDEZ],ACCESS=CONTROL) $ SHOW SECURITY LNM$JOB /CLASS=LOGICAL_NAME_TABLE LNM$JOB object of class LOGICAL_NAME_TABLE Owner: [USER,WEISS] Protection: (System: RWCD, Owner: RWCD, Group, World) Access Control List: <empty> $ SET SECURITY LNM$JOB /CLASS=LOGICAL_NAME_TABLE - _$ /LIKE=(NAME=LNM$GROUP, CLASS=LOGICAL_NAME_TABLE) - _$ /COPY_ATTRIBUTES=PROTECTION $ SET SECURITY LNM$JOB /CLASS=LOGICAL_NAME_TABLE - _$ /ACL=(IDENTIFIER=FERNANDEZ, ACCESS=READ) $ SHOW SECURITY LNM$JOB /CLASS=LOGICAL_NAME_TABLE LNM$JOB object of class LOGICAL_NAME_TABLE Owner: [USER,WEISS] Protection: (System: RWCD, Owner: R, Group: R, World: R) Access Control List: (IDENTIFIER=[USER,FERNANDEZ],ACCESS=READ) |
この例は,機密アクセス情報をコピーすると同時に,明示的に機密保護要素を設定する方法を示しています。最初の SHOW SECURITY コマンドで論理名テーブル LNM$GROUP と LNM$JOB の設定を確認しています。次の SET SECURITY コマンドで保護コードを LNM$GROUP から LNM$JOB へコピーし,一人のユーザに読み込みアクセス権を与える ACE を追加しています。最後のコマンドで変更を確認しています。
#3 |
---|
$ SHOW SECURITY SECURITY_CLASS /CLASS=SECURITY_CLASS SECURITY_CLASS object of class SECURITY_CLASS Owner: [SYSTEM] Protection: (System: RWED, Owner: RWED, Group: R, World: R) Access Control List: <empty> Template: DEFAULT Owner: [SYSTEM] Protection: (System: RWED, Owner: RWED, Group, World: RE) Access Control List: <empty> $ SET SECURITY SECURITY_CLASS /CLASS=SECURITY_CLASS - _$ /PROFILE=TEMPLATE=DEFAULT - _$ /PROTECTION=(S:RWE, O:RWE, G:RE) $ SHOW SECURITY SECURITY_CLASS /CLASS=SECURITY_CLASS SECURITY_CLASS object of class SECURITY_CLASS Owner: [SYSTEM] Protection: (System: RWED, Owner: RWED, Group: R, World: R) Access Control List: <empty> Template: DEFAULT Owner: [SYSTEM] Protection: (System: RWE, Owner: RWE, Group: RE, World: RE) Access Control List: <empty> |
この例は,機密クラス・オブジェクトのテンプレートを変更する方法を示しています。最初のコマンドで SECURITY_CLASS オブジェクトの設定を確認しています。次のコマンドで「 DEFAULT 」テンプレートの保護コードを (S:RWE, O:RWE, G:RE) に変更しています。最後のコマンドで変更を確認しています。 World:RE の保護コードは変更されていません。
#4 |
---|
$ DIRECTORY/SECURITY Directory DKA200:[DATA] FILE001.DAT;1 [SYSTEM] (RWED,RWED,RE,) Total of 1 file. $ SET SECURITY/CLASS=FILE/PROTECTION=(WORLD:RE)/LOG FILE001.DAT %SET-I-MODIFIED, DKA200:[DATA]FILE001.DAT;1 modified $ DIRECTORY/SECURITY Directory DKA200:[DATA] FILE001.DAT;1 [SYSTEM] (RWED,RWED,RE,RE) Total of 1 file. $ |
この例は,オブジェクトに UIC ベースの保護コードを設定する方法を示しています。最初の DIRECTORY コマンドで,FILE001.DAT ファイルの現在の保護設定を表示します。 SET SECURITY コマンドで,そのファイルの保護コードを変更して,すべてのユーザに対して読み込みおよび実行アクセスを可能としています。最後のコマンドで,変更結果を表示します。
目次 | 索引 |
|