日本-日本語 |
|
|
|
OpenVMS マニュアル |
|
HP OpenVMS
|
目次 | 索引 |
第 5 章
登録ユーティリティ (AUTHORIZE)5.1 AUTHORIZE について
登録ユーティリティ (AUTHORIZE) は,システムへのアクセスを制御し,リソースをユーザに割り当てるためのシステム管理ツールです。
AUTHORIZE は,次に示すファイルの新しいレコードを作成したり,既存のレコードを変更したりします。
$ DEFINE/PROCESS/EXEC SYSUAF DISK$USER:[MYPROCESSTABLE]SYSUAF.DAT |
必要であれば,SYSUAF 論理名をユーザ・モードで定義できます。
SYSUAF.DAT ファイルを移動するときは,必ず論理名 SYSUAF を定義し,既存ファイルを指すようにしてください。SYSUAF.DAT ファイルが見つからない場合,AUTHORIZE は,次のエラー・メッセージを表示します。
%UAF-E-NAOFIL, unable to open SYSUAF.DAT -RMS-E-FNF, file not found Do you want to create a new file? |
ここで YES と応えると,SYSTEM レコードと DEFAULT レコードを含む SYSUAF ファイルが新たに作成されます。この 2 つのレコードは,システムをインストールしたときに同じ値に初期化されます。
$ DEFINE/PROCESS/EXEC NETPROXY DISK$USER:[MYPROCESSTABLE]NETPROXY.DAT |
$ DEFINE/PROCESS/EXEC RIGHTSLIST DISK$USER:[MYPROCESSTABLE]RIGHTSLIST.DAT |
これらのファイルは,システム登録情報を格納するファイルです。省略時の設定では,これらのファイルはシステム (UIC は [SYSTEM])が所有し,次の保護を付けて作成されます。
SYSUAF.DAT S:RWED, O:RWED, G, W NETPROXY.DAT S:RWED, O:RWED, G, W NET$PROXY.DAT S, O, G, W RIGHTSLIST.DAT S:RWED, O:RWED, G, W: |
AUTHORIZE を使用するには,これらの 3 種類のファイルすべてに対する書き込みアクセス権が必要です。つまり,アカウントのユーザ識別コード(UIC) が [SYSTEM] であるか,または SYSPRV 特権を持っていなければなりません。
ユーザが保有しているライト識別子を表示するには, RIGHTSLIST.DATファイルへの読み込みアクセス権 (または十分な特権) が必要です。
MAIL や SET など一部のイメージは,システム利用者登録ファイル (UAF) へのアクセス権を必要とし,通常は SYSPRV 特権を付けてインストールされます。したがって,SYSUAF.DAT には,必ずシステム・アクセス権を設定してください。
VMS システムをインストールするとき,ソフトウェア・ディストリビューション・キットの中の SYS$SYSTEM のシステム・ユーザ登録ファイルには,次のレコードが用意されています。
Alpha システムと Integrity システムの場合:
DEFAULT
SYSTEM
SYSUAF.DAT を破損したり誤って削除したりした場合,次のように SYS$SYSTEM ディレクトリのテンプレート・ファイル SYSUAF.TEMPLATE で修復できます。
$ SET DEFAULT SYS$SYSTEM $ COPY SYSUAF.TEMPLATE SYSUAF.DAT |
SYSUAF.TEMPLATE ファイルは,システムをインストールしたときと同じレコードを格納しています。
非常時に備え,システム・ファイル SYSUAF のバックアップとして, SYSUAF.DAT のコピーをとることができます。今後のログインに対処できるよう,次のように SYSUAF.DAT の個人用バージョンを適切なディレクトリに格納してください。
$ COPY MYSYSUAF.DAT SYS$COMMON:[SYSEXE]:SYSUAF.DAT- _$ /PROTECTION=(S:RWED,O:RWED,G,W) |
DEFAULT アカウントおよび SYSTEM アカウント用の更新されたクォータ
OpenVMS Version 8.2 で, DEFAULT アカウントおよび SYSTEM アカウントに関連付けられているクォータが更新されました。これらの更新されたクォータは,OpenVMS の新規インストール時,または新しい SYSUAF データ・ファイルを作成するときにだけ参照されます。既存の SYSUAF データ・ファイルは更新されません。
DEFAULT アカウントに対する更新内容は以下のとおりです。
クォータ | 以前の値 | 新しい値 |
---|---|---|
ASTLM | 250 | 300 |
BYTLM | 64,000 | 128,000 |
ENQLM | 2,000 | 4,000 |
FILLM | 100 | 128 |
PGFLQUOTA | 50,000 | 256,000 |
TQELM | 10 | 100 |
WSDEFAULT | 2000 | 4,096 |
WSQUOTA | 4000 | 8,192 |
SYSTEM アカウントに対する更新は,以下の 2 つのクォータを除いて, DEFAULT アカウントに対する更新と同じです。
クォータ | 以前の値 | 新しい値 |
---|---|---|
BYTLM | 64,000 | 256,000 |
PGFLQUOTA | 50,000 | 700,000 |
既存の SYSUAF ファイルがあるシステムをアップグレードした場合は, DEFAULT アカウントと SYSTEM アカウントのクォータをこれらの値に更新することをお勧めします。
5.2 AUTHORIZE 使用法の要約
AUTHORIZE ユーティリティは,システムへのアクセスを制御し,リソースをユーザに割り当てるためのシステム管理ツールです。
RUN SYS$SYSTEM:AUTHORIZE
なし
AUTHORIZE を起動するには,省略時のデバイスとディレクトリとして SYS$SYSTEM を設定し,DCL コマンド・プロンプトに RUN AUTHORIZE と入力します。UAF> プロンプトには,次の AUTHORIZE コマンドをどれでも入力できます。
AUTHORIZE を終了するには,UAF> プロンプトに EXIT コマンドを入力するか,または Ctrl/Z を押します。
5.3 AUTHORIZE のコマンド |
この項では,AUTHORIZE のコマンドについて,例を挙げて説明します。他と識別できるのであれば,略語をコマンド,キーワード,修飾子として使用してもかまいません。ユーザ名,ノード名,UIC の指定では,アスタリスク (*) とパーセント記号 (%) をワイルドカードとして使用できます。
AUTHORIZE のコマンドは,次の 4 種類に分類されます。
コマンド | 説明 |
---|---|
SYSUAF によるシステム・リソースとユーザ・アカウントの管理 | |
ADD | ユーザ・レコードを SYSUAF に追加し,対応する識別子を権利データベースに追加する。 |
COPY | 既存のレコードと重複する SYSUAF レコードを新たに作成する。 |
DEFAULT | 省略時の SYSUAF レコードを設定する。 |
LIST | 選択した UAF レコードのレポートを SYSUAF.LIS ファイルに書き込む。 |
MODIFY | SYSUAF ユーザ・レコードの値を変更する。指定しなかった修飾子は変更されない。 |
REMOVE | SYSUAF ユーザ・レコードを削除し,対応する権利データベース内の識別子を削除する。 DEFAULT と SYSTEM のレコードは削除できない。 |
RENAME | SYSUAF レコードのユーザ名を変更する。特性は変更されない。指定されている場合は,対応する識別子も変更する。 |
SHOW | 選択した SYSUAF レコードのレポートを表示する。 |
NETPROXY.DAT または NET$PROXY.DAT によるネットワーク代理アクセスの管理 | |
ADD/PROXY | 指定したユーザの代理アクセスを追加する。 |
CREATE/PROXY | ネットワーク代理登録ファイルを作成する。 |
LIST/PROXY | すべての代理アカウントと,それらのアカウントへの代理アクセス権を持つすべてのリモート・ユーザとを格納するリスト・ファイルを作成する。 |
MODIFY/PROXY | 指定したユーザの代理アクセス権を変更する。 |
REMOVE/PROXY | 指定したユーザの代理アクセス権を削除する。 |
SHOW/PROXY | 指定したユーザに許可されている代理アクセス権を表示する。 |
RIGHTSLIST.DAT による識別子の管理 | |
ADD/IDENTIFIER | 識別子名を権利データベース rightslist.dat に追加する。 |
CREATE/RIGHTS | 新しい権利データベース・ファイルを作成する。 |
GRANT/IDENTIFIER | 識別子名を UIC 識別子に設定する。 |
LIST/IDENTIFIER | 識別子の名前と値のリスト・ファイルを作成する。 |
LIST/RIGHTS | 指定したユーザが保持しているすべての識別子のリスト・ファイルを作成する。 |
MODIFY/IDENTIFIER | 権利データベースの識別子を変更する。 |
REMOVE/IDENTIFIER | 権利データベースから識別子を削除する。 |
RENAME/IDENTIFIER | 権利データベースの識別子の名前を変更する。 |
REVOKE/IDENTIFIER | UIC 識別子の識別子名を取り消す。 |
SHOW/IDENTIFIER | 識別子の名前と値を,現在の出力デバイスに表示する。 |
SHOW/RIGHTS | 指定したユーザが保持しているすべての識別子の名前を,現在の出力デバイスに表示する。 |
一般コマンド | |
EXIT | ユーザを DCL コマンド・レベルに戻す。 |
HELP | AUTHORIZE コマンドに関する HELP テキストを表示する。 |
MODIFY/SYSTEM_PASSWORD | システム・パスワードを設定する。DCL の SET PASSWORD/SYSTEM コマンドと同じ。 |
ユーザ・レコードを SYSUAF に追加し,対応する識別子を権利データベースに追加します。
注意
ADD/IDENTIFIER と ADD/PROXY は,別個のコマンドとして説明しています。
ADD 新ユーザ名
新ユーザ名
SYSUAF に追加するユーザ・レコードの名前を指定します。 新しいユーザ名パラメータには,1 〜 12 文字の英数字です。アンダスコアも使用できます。ドル記号も使用できますが,通常はシステム名に予約されています。89560312 のような,数字だけのユーザ名は避けてください。数字だけの識別子は許可されていないので,数字だけのユーザ名には識別子が対応しません。
/ACCESS[=(範囲[,...])]
/NOACCESS[=(範囲[,...])]
すべてのアクセス・モードについて,アクセス時間を指定します。範囲指定の構文は,次のとおりです
/[NO]ACCESS=([PRIMARY], [n-m], [n], [,...],[SECONDARY], [n-m], [n], [,...])
時間を 0 〜 23 の整数で指定します。時間 (n) と時間帯 (n-m) のどちらで指定してもかまいません。終わりの時刻が始まりの時刻より早い場合,始まりの時刻から,翌日の終わりの時刻までが範囲となります。キーワード PRIMARY の後の時間は,一次曜日の時間を指定します。キーワード SECONDARY の後の時間は,二次曜日の時間を指定します。ここで,終わりの時刻についてはその時間台に拡張されることに注意してください。つまり,許可されているアクセス時間が 9 の場合には,午前 9 時 59 分までアクセスできることを意味します。
省略時の設定では,ユーザには,すべてのアクセス権が毎日与えられます。一次曜日と二次曜日の省略時の値の変更方法については,『OpenVMS DCL ディクショナリ』に記述された DCL の SET DAY コマンドを参照してください。
/ACCESS 修飾子に指定する要素は,すべて省略可能です。時間を指定しなければ,アクセスは終日許可されます。アクセス時間を指定することにより,他の時間でのアクセスを防止できます。修飾子に NO を追加すると,指定時間帯におけるシステムへのユーザ・アクセスが禁止されます。以下を参照してください。
/ACCESS 制約なしアクセスを許可する /NOACCESS=SECONDARY 一次曜日のアクセスだけを許可する /ACCESS=(9-17) 毎日,9:00 a.m. 〜 5:59 p.m. までアクセスを許可する /NOACCESS=(PRIMARY, 9-17, SECONDARY, 18-8) 一次曜日の 9:00 a.m. 〜 5:59 p.m. までアクセスを禁止するが,二次曜日ではこの時間帯のアクセスを許可する
タイプ別にアクセス権を指定する方法については,/BATCH,/DIALUP, /INTERACTIVE,/LOCAL,/NETWORK,/REMOTE の修飾子の項を参照してください。
ログイン・クラスの制限の影響についての詳細は,『OpenVMS システム・セキュリティ・ガイド』を参照してください。
/ACCOUNT=アカウント名
アカウントの省略時の名前を指定します (請求名や請求番号など)。1 〜 8 文字の英数字です。省略時の設定では, AUTHORIZE は,アカウント名を割り当てません。/ADD_IDENTIFIER (省略時の設定)
/NOADD_IDENTIFIER
識別子を権利データベース・ファイル RIGHTSLIST.DAT に追加し,ユーザをユーザ登録ファイル SYSUAF に追加します。 /NOADD_IDENTIFIER 修飾子では,識別子は RIGHTSLIST.DAT ファイルに追加されませんが,ユーザが SYSUAF ユーザ・レコード・ファイルに追加されます。 AUTHORIZE コマンドの ADD/IDENTIFIER は全く異なる点に注意してください。この修飾子では,権利データベース・ファイル RIGHTSLIST.DAT へのエントリの追加だけが行われます。/ALGORITHM=キーワード=タイプ [=値]
ユーザのパスワード暗号化アルゴリズムを設定します。キーワード VMS は,現在システムで稼働しているオペレーティング・システム・バージョンが使用しているアルゴリズムを指します。キーワードはまた,カスタマ・アルゴリズムというカスタマ,レイヤード・プロダクト,サード・パーティのいずれかがシステム・サービス $HASH_PASSWORD によって追加したアルゴリズムを指す場合もあります。カスタマ・アルゴリズムには, $HASH_PASSWORD によって 128 〜 255 の整数が割り当られています。カスタマ・アルゴリズムは,AUTHORIZE の MODIFY/ALGORITHM コマンドで使用する数字と同じでなければなりません。省略時の設定では,パスワードの暗号化には,現在のオペレーティング・システムの VMS アルゴリズムが使用されます。
キーワード 機能 BOTH 一次パスワードと二次パスワードのアルゴリズムを設定する。 CURRENT アカウント状態に基づき,一次と二次のいずれかまたは両方のアルゴリズム,またはパスワードなしを設定する。省略時の値。 PRIMARY 一次パスワード専用のアルゴリズムを設定する。 SECONDARY 二次パスワード専用のアルゴリズムを設定する。
次の表はパスワード暗号化アルゴリズムを示しています。
タイプ 定義 VMS 現在システムで稼働しているオペレーティング・システム・バージョンが使用しているアルゴリズム。 CUSTOMER カスタマ・アルゴリズムを示す。 128 〜 255 の数値。
次の例では,Sontag というユーザの一次パスワードの暗号化に VMS アルゴリズムを選択しています。
UAF> MODIFY SONTAG/ALGORITHM=PRIMARY=VMS
カスタマ・アルゴリズムを選択する場合は,次のように,アルゴリズムに割り当てられている値を指定してください。
UAF> MODIFY SONTAG/ALGORITHM=CURRENT=CUSTOMER=128
/ASTLM=値
AST キューの上限を指定します。これは,ユーザが一度にキューに登録できるスケジューリングされたウェイクアップ要求と非同期システム・トラップ (AST) 処理の合計値です。省略時の値は,Alpha システムと Integrity システムでは 300 です。/BATCH[=(範囲[,...])]
バッチ・ジョブのアクセス時間数を指定します。範囲の指定方法については,/ACCESS 修飾子を参照してください。省略時の設定では,ユーザは,いつでもバッチ・ジョブをキューに登録できます。/BIOLM=値
UAF レコードの BIOLM フィールドに対して,バッファード入出力回数の上限を指定します。この値は,一度に発行できるターミナル入出力などのバッファード入出力処理の最大数です。省略時の値は,Alpha システムと Integrity システムでは 150 です。/BYTLM=値
UAF レコードの BYTLM に対して,バッファード入出力バイトの上限を指定します。この値は,ユーザのジョブが一度に消費できる非ページング動的メモリの最大バイト数です。このメモリは,入出力バッファリング,メールボックス,ファイル・アクセス・ウィンドウなどの処理に使用されます。省略時の値は, Alpha システムと Integrity システムでは 128,000 です。/CLI=コマンド言語インタプリタ名
UAF レコードの CLI フィールドに対して,省略時のコマンド言語インタプリタ (CLI) の名前を指定します。CLI 名は,1 〜 31 文字までの英数文字列で,DCL とします。DCL は省略時の設定です。この設定はネットワーク・ジョブでは無視されます。/CLITABLES=ファイル指定
アカウント用ユーザ定義 CLI テーブルを指定します。 ファイル指定は,1 〜 31 文字です。省略時の設定では,SYS$LIBRARY:DCLTABLES です。この設定は,ネットワーク・オブジェクトをインプリメントするシステム・コマンド・プロシージャを正しく機能させるために,ネットワーク・ジョブでは無視されます。/CPUTIME=時間
UAF レコードの CPU フィールドに対して,最大 CPU 処理時間を指定します。この値は,ユーザのプロセスが 1 セッションについて使用できる最大 CPU 時間量です。デルタ時間値を指定してください。デルタ時間値については,『OpenVMS ユーザーズ・マニュアル』を参照してください。省略時の設定では,無制限を意味する 0 です。/DEFPRIVILEGES=([NO]特権名[,...])
ログイン時にユーザに許可される省略時の特権を指定します。接頭辞 NO を付けると,特権が削除されます。/DEFPRIVILEGES 修飾子でキーワード [NO]ALL を指定すると,すべてのユーザ特権を禁止または許可できます。省略時の特権は,TMPMBX と NETMBX です。/DEVICE=デバイス名
ユーザがログインするときの省略時のデバイスを指定します。 デバイス名は, 1 〜 31 文字の英数字です。デバイス名にコロンを入力しなかった場合,AUTHORIZE がコロンを付加します。省略時のデバイスは,SYS$SYSDISK です。
目次 索引
|