OpenVMS マニュアル

第 5 章
登録ユーティリティ (AUTHORIZE)

5.1 AUTHORIZE について

登録ユーティリティ (AUTHORIZE) は，システムへのアクセスを制御し，リソースをユーザに割り当てるためのシステム管理ツールです。

AUTHORIZE は，次に示すファイルの新しいレコードを作成したり，既存のレコードを変更したりします。

• システム・ユーザ登録ファイル (SYSUAF.DAT)
  AUTHORIZE を使用すれば，SYSUAF レコード内の各種フィールド に値を割り当てることができます。割り当てた値は，ユーザとユーザの環境を識別し，システム・リソースの使用を制御します。
  次のように，ローカルなプロセス論理テーブルに論理名を定義すると， SYSUAF 論理アクセスをリダイレクトできます。

  $ DEFINE/PROCESS/EXEC SYSUAF DISK$USER:[MYPROCESSTABLE]SYSUAF.DAT

  
  必要であれば，SYSUAF 論理名をユーザ・モードで定義できます。
  SYSUAF.DAT ファイルを移動するときは，必ず論理名 SYSUAF を定義し，既存ファイルを指すようにしてください。SYSUAF.DAT ファイルが見つからない場合，AUTHORIZE は，次のエラー・メッセージを表示します。

  %UAF-E-NAOFIL, unable to open SYSUAF.DAT -RMS-E-FNF, file not found Do you want to create a new file?

  
  ここで YES と応えると，SYSTEM レコードと DEFAULT レコードを含む SYSUAF ファイルが新たに作成されます。この 2 つのレコードは，システムをインストールしたときに同じ値に初期化されます。

• ネットワーク代理登録ファイル
  省略時のネットワーク代理登録ファイルは NET$PROXY.DAT です。しかし，互換性を維持するため NETPROXY.DAT ファイルも使用できます。
  Alpha システムでは，ネットワーク代理登録ファイルは NETPROXY.DAT です。
  バージョンが混在するクラスタにおいて，システムが OpenVMS Alpha またはバージョン 6.1 以前の OpenVMS VAX を実行している場合，すべての代理登録を OpenVMS VAX 6.1 システム上で変更する必要があります。
  次のように，ローカルなプロセス論理テーブルに論理名を定義すると， NETPROXY 論理アクセスをリダイレクトできます。

  $ DEFINE/PROCESS/EXEC NETPROXY DISK$USER:[MYPROCESSTABLE]NETPROXY.DAT

• 権利データベース・ファイル (RIGHTSLIST.DAT)
  次のように，ローカルなプロセス論理テーブルに論理名を定義すると， RIGHTSLIST 論理アクセスをリダイレクトできます。

  $ DEFINE/PROCESS/EXEC RIGHTSLIST DISK$USER:[MYPROCESSTABLE]RIGHTSLIST.DAT

これらのファイルは，システム登録情報を格納するファイルです。省略時の設定では，これらのファイルはシステム (UIC は [SYSTEM])が所有し，次の保護を付けて作成されます。

SYSUAF.DAT      S:RWED, O:RWED, G, W 
NETPROXY.DAT    S:RWED, O:RWED, G, W    
NET$PROXY.DAT   S, O, G, W            
RIGHTSLIST.DAT  S:RWED, O:RWED, G, W:         

AUTHORIZE を使用するには，これらの 3 種類のファイルすべてに対する書き込みアクセス権が必要です。つまり，アカウントのユーザ識別コード(UIC) が [SYSTEM] であるか，または SYSPRV 特権を持っていなければなりません。

ユーザが保有しているライト識別子を表示するには， RIGHTSLIST.DATファイルへの読み込みアクセス権 (または十分な特権) が必要です。

MAIL や SET など一部のイメージは，システム利用者登録ファイル (UAF) へのアクセス権を必要とし，通常は SYSPRV 特権を付けてインストールされます。したがって，SYSUAF.DAT には，必ずシステム・アクセス権を設定してください。

VMS システムをインストールするとき，ソフトウェア・ディストリビューション・キットの中の SYS$SYSTEM のシステム・ユーザ登録ファイルには，次のレコードが用意されています。

Alpha システムと Integrity システムの場合：

DEFAULT
SYSTEM

SYSUAF.DAT を破損したり誤って削除したりした場合，次のように SYS$SYSTEM ディレクトリのテンプレート・ファイル SYSUAF.TEMPLATE で修復できます。

$ SET DEFAULT SYS$SYSTEM
$ COPY SYSUAF.TEMPLATE SYSUAF.DAT

SYSUAF.TEMPLATE ファイルは，システムをインストールしたときと同じレコードを格納しています。

非常時に備え，システム・ファイル SYSUAF のバックアップとして， SYSUAF.DAT のコピーをとることができます。今後のログインに対処できるよう，次のように SYSUAF.DAT の個人用バージョンを適切なディレクトリに格納してください。

$ COPY MYSYSUAF.DAT SYS$COMMON:[SYSEXE]:SYSUAF.DAT-
_$ /PROTECTION=(S:RWED,O:RWED,G,W)

DEFAULT アカウントおよび SYSTEM アカウント用の更新されたクォータ

OpenVMS Version 8.2 で， DEFAULT アカウントおよび SYSTEM アカウントに関連付けられているクォータが更新されました。これらの更新されたクォータは，OpenVMS の新規インストール時，または新しい SYSUAF データ・ファイルを作成するときにだけ参照されます。既存の SYSUAF データ・ファイルは更新されません。

DEFAULT アカウントに対する更新内容は以下のとおりです。

SYSTEM アカウントに対する更新は，以下の 2 つのクォータを除いて， DEFAULT アカウントに対する更新と同じです。

既存の SYSUAF ファイルがあるシステムをアップグレードした場合は， DEFAULT アカウントと SYSTEM アカウントのクォータをこれらの値に更新することをお勧めします。

5.2 AUTHORIZE 使用法の要約

AUTHORIZE ユーティリティは，システムへのアクセスを制御し，リソースをユーザに割り当てるためのシステム管理ツールです。

形式

RUN SYS$SYSTEM:AUTHORIZE

パラメータ

なし

説明

AUTHORIZE を起動するには，省略時のデバイスとディレクトリとして SYS$SYSTEM を設定し，DCL コマンド・プロンプトに RUN AUTHORIZE と入力します。

UAF> プロンプトには，次の AUTHORIZE コマンドをどれでも入力できます。

AUTHORIZE を終了するには，UAF> プロンプトに EXIT コマンドを入力するか，または Ctrl/Z を押します。

5.3 AUTHORIZE のコマンド

この項では，AUTHORIZE のコマンドについて，例を挙げて説明します。他と識別できるのであれば，略語をコマンド，キーワード，修飾子として使用してもかまいません。ユーザ名，ノード名，UIC の指定では，アスタリスク (*) とパーセント記号 (%) をワイルドカードとして使用できます。

AUTHORIZE のコマンドは，次の 4 種類に分類されます。

• ユーザ登録レコードを管理するコマンド
  修飾子を指定することにより，SYSUAF レコードの個々のフィールドを処理できます。ユーザ，ユーザの作業環境，システム・リソースの使用の制御を指定できます。

• ネットワーク代理登録ファイル (NETPROXY.DAT または NET$PROXY.DAT) を作成し保守するコマンド

• 権利データベース (RIGHTSLIST.DAT) を作成し保守するコマンド

• 一般ユーティリティ機能の実行やシステム・パスワードの変更を行うコマンド

次の表は，AUTHORIZE のコマンドの種類別一覧です。

ADD

ユーザ・レコードを SYSUAF に追加し，対応する識別子を権利データベースに追加します。

注意 ADD/IDENTIFIER と ADD/PROXY は，別個のコマンドとして説明しています。

形式

ADD 新ユーザ名

パラメータ

新ユーザ名

SYSUAF に追加するユーザ・レコードの名前を指定します。 新しいユーザ名パラメータには，1 〜 12 文字の英数字です。アンダスコアも使用できます。ドル記号も使用できますが，通常はシステム名に予約されています。

89560312 のような，数字だけのユーザ名は避けてください。数字だけの識別子は許可されていないので，数字だけのユーザ名には識別子が対応しません。

修飾子

/ACCESS[=(範囲[,...])]

/NOACCESS[=(範囲[,...])]

すべてのアクセス・モードについて，アクセス時間を指定します。範囲指定の構文は，次のとおりです

/[NO]ACCESS=([PRIMARY], [n-m], [n], [,...],[SECONDARY], [n-m], [n], [,...])

時間を 0 〜 23 の整数で指定します。時間 (n) と時間帯 (n-m) のどちらで指定してもかまいません。終わりの時刻が始まりの時刻より早い場合，始まりの時刻から，翌日の終わりの時刻までが範囲となります。キーワード PRIMARY の後の時間は，一次曜日の時間を指定します。キーワード SECONDARY の後の時間は，二次曜日の時間を指定します。ここで，終わりの時刻についてはその時間台に拡張されることに注意してください。つまり，許可されているアクセス時間が 9 の場合には，午前 9 時 59 分までアクセスできることを意味します。

省略時の設定では，ユーザには，すべてのアクセス権が毎日与えられます。一次曜日と二次曜日の省略時の値の変更方法については，『OpenVMS DCL ディクショナリ』に記述された DCL の SET DAY コマンドを参照してください。

/ACCESS 修飾子に指定する要素は，すべて省略可能です。時間を指定しなければ，アクセスは終日許可されます。アクセス時間を指定することにより，他の時間でのアクセスを防止できます。修飾子に NO を追加すると，指定時間帯におけるシステムへのユーザ・アクセスが禁止されます。以下を参照してください。

/ACCESS	制約なしアクセスを許可する
/NOACCESS=SECONDARY	一次曜日のアクセスだけを許可する
/ACCESS=(9-17)	毎日，9:00 a.m. 〜 5:59 p.m. までアクセスを許可する
/NOACCESS=(PRIMARY, 9-17, SECONDARY, 18-8)	一次曜日の 9:00 a.m. 〜 5:59 p.m. までアクセスを禁止するが，二次曜日ではこの時間帯のアクセスを許可する

タイプ別にアクセス権を指定する方法については，/BATCH，/DIALUP， /INTERACTIVE，/LOCAL，/NETWORK，/REMOTE の修飾子の項を参照してください。

ログイン・クラスの制限の影響についての詳細は，『OpenVMS システム・セキュリティ・ガイド』を参照してください。

/ACCOUNT=アカウント名

アカウントの省略時の名前を指定します (請求名や請求番号など)。1 〜 8 文字の英数字です。省略時の設定では， AUTHORIZE は，アカウント名を割り当てません。

/ADD_IDENTIFIER (省略時の設定)

/NOADD_IDENTIFIER

識別子を権利データベース・ファイル RIGHTSLIST.DAT に追加し，ユーザをユーザ登録ファイル SYSUAF に追加します。 /NOADD_IDENTIFIER 修飾子では，識別子は RIGHTSLIST.DAT ファイルに追加されませんが，ユーザが SYSUAF ユーザ・レコード・ファイルに追加されます。 AUTHORIZE コマンドの ADD/IDENTIFIER は全く異なる点に注意してください。この修飾子では，権利データベース・ファイル RIGHTSLIST.DAT へのエントリの追加だけが行われます。

/ALGORITHM=キーワード=タイプ [=値]

ユーザのパスワード暗号化アルゴリズムを設定します。キーワード VMS は，現在システムで稼働しているオペレーティング・システム・バージョンが使用しているアルゴリズムを指します。キーワードはまた，カスタマ・アルゴリズムというカスタマ，レイヤード・プロダクト，サード・パーティのいずれかがシステム・サービス $HASH_PASSWORD によって追加したアルゴリズムを指す場合もあります。カスタマ・アルゴリズムには， $HASH_PASSWORD によって 128 〜 255 の整数が割り当られています。カスタマ・アルゴリズムは，AUTHORIZE の MODIFY/ALGORITHM コマンドで使用する数字と同じでなければなりません。省略時の設定では，パスワードの暗号化には，現在のオペレーティング・システムの VMS アルゴリズムが使用されます。

キーワード	機能
BOTH	一次パスワードと二次パスワードのアルゴリズムを設定する。
CURRENT	アカウント状態に基づき，一次と二次のいずれかまたは両方のアルゴリズム，またはパスワードなしを設定する。省略時の値。
PRIMARY	一次パスワード専用のアルゴリズムを設定する。
SECONDARY	二次パスワード専用のアルゴリズムを設定する。

次の表はパスワード暗号化アルゴリズムを示しています。

タイプ	定義
VMS	現在システムで稼働しているオペレーティング・システム・バージョンが使用しているアルゴリズム。
CUSTOMER	カスタマ・アルゴリズムを示す。 128 〜 255 の数値。

次の例では，Sontag というユーザの一次パスワードの暗号化に VMS アルゴリズムを選択しています。

UAF> MODIFY SONTAG/ALGORITHM=PRIMARY=VMS

カスタマ・アルゴリズムを選択する場合は，次のように，アルゴリズムに割り当てられている値を指定してください。

UAF> MODIFY SONTAG/ALGORITHM=CURRENT=CUSTOMER=128

/ASTLM=値

AST キューの上限を指定します。これは，ユーザが一度にキューに登録できるスケジューリングされたウェイクアップ要求と非同期システム・トラップ (AST) 処理の合計値です。省略時の値は，Alpha システムと Integrity システムでは 300 です。

/BATCH[=(範囲[,...])]

バッチ・ジョブのアクセス時間数を指定します。範囲の指定方法については，/ACCESS 修飾子を参照してください。省略時の設定では，ユーザは，いつでもバッチ・ジョブをキューに登録できます。

/BIOLM=値

UAF レコードの BIOLM フィールドに対して，バッファード入出力回数の上限を指定します。この値は，一度に発行できるターミナル入出力などのバッファード入出力処理の最大数です。省略時の値は，Alpha システムと Integrity システムでは 150 です。

/BYTLM=値

UAF レコードの BYTLM に対して，バッファード入出力バイトの上限を指定します。この値は，ユーザのジョブが一度に消費できる非ページング動的メモリの最大バイト数です。このメモリは，入出力バッファリング，メールボックス，ファイル・アクセス・ウィンドウなどの処理に使用されます。省略時の値は， Alpha システムと Integrity システムでは 128,000 です。

/CLI=コマンド言語インタプリタ名

UAF レコードの CLI フィールドに対して，省略時のコマンド言語インタプリタ (CLI) の名前を指定します。CLI 名は，1 〜 31 文字までの英数文字列で，DCL とします。DCL は省略時の設定です。この設定はネットワーク・ジョブでは無視されます。

/CLITABLES=ファイル指定

アカウント用ユーザ定義 CLI テーブルを指定します。 ファイル指定は，1 〜 31 文字です。省略時の設定では，SYS$LIBRARY:DCLTABLES です。この設定は，ネットワーク・オブジェクトをインプリメントするシステム・コマンド・プロシージャを正しく機能させるために，ネットワーク・ジョブでは無視されます。

/CPUTIME=時間

UAF レコードの CPU フィールドに対して，最大 CPU 処理時間を指定します。この値は，ユーザのプロセスが 1 セッションについて使用できる最大 CPU 時間量です。デルタ時間値を指定してください。デルタ時間値については，『OpenVMS ユーザーズ・マニュアル』を参照してください。省略時の設定では，無制限を意味する 0 です。

/DEFPRIVILEGES=([NO]特権名[,...])

ログイン時にユーザに許可される省略時の特権を指定します。接頭辞 NO を付けると，特権が削除されます。/DEFPRIVILEGES 修飾子でキーワード [NO]ALL を指定すると，すべてのユーザ特権を禁止または許可できます。省略時の特権は，TMPMBX と NETMBX です。

/DEVICE=デバイス名

ユーザがログインするときの省略時のデバイスを指定します。 デバイス名は， 1 〜 31 文字の英数字です。デバイス名にコロンを入力しなかった場合，AUTHORIZE がコロンを付加します。省略時のデバイスは，SYS$SYSDISK です。

---

目次

索引