日本-日本語
日本HPホーム 製品 & サービス OpenVMS製品情報
≫  お問い合わせ


OpenVMS マニュアル
 

OpenVMS ドキュメント
ライブラリ

タイトルページ
目次
まえがき
第 1 章:OpenVMS オペレーティング・システムの概要
第 2 章:DCL を使用したシステムとの会話
第 3 章:ファイル情報の格納
第 4 章:ディレクトリ・ファイルの編成
第 5 章:拡張ファイル指定
第 6 章:ディスクとテープ・ドライブの使用方法
第 7 章:Mail を使用して他のユーザと通信する
第 8 章:EVE エディタによるテキスト・ファイルの編集
第 9 章:ファイルのソートとマージ
第 10 章:資源へのアクセスの制御
第 11 章:デバイスとファイルの論理名定義
第 12 章:シンボル,コマンド,式の定義
第 13 章:コマンド・プロシージャの概要
第 14 章:DCL での拡張プログラミング
第 15 章:レキシカル関数を使用しての情報の取得と処理
第 16 章:プロセスとバッチ・ジョブ
付録 A :文字セット
付録 B :コマンド・プロシージャの例
用語集
索引
PDF
OpenVMS ホーム
OpenVMS

OpenVMS
ユーザーズ・マニュアル
目次 索引


コンピュータに直接接続されているターミナルからログインする場合には,次の例にしめすように,OpenVMSシステムは情報システム・メッセージを表示します。 

WILLOW - A member of the Forest Cluster                        (1)
        Unlawful Access is Prohibited        
 
Username:  RWOODS
Password:
    You have the following disconnected process:               (2)
Terminal   Process name    Image name
VT320:     RWOODS          (none)
Connect to above listed process [YES]: NO
         Welcome to OpenVMS on node WILLOW                     (3)
    Last interactive login on Wednesday,  11-DEC-2002 10:20    (4)
    Last non-interactive login on Monday, 30-NOV-2002 17:39    (5)
        2 failures since last successful login                 (6)
 
          You have 1 new mail message.                         (7)
 
  $

以下は,例についての説明です。

  1. アナウンスメント・メッセージはノード ( および場合によっては OpenVMS Cluster 名 ) を識別する。また,未登録ユーザに対して,不法なアクセスが禁止されていることも警告する。このメッセージの表示形式と内容は,システム管理者またはセキュリティ管理者が制御できる。

  2. プロセス切断メッセージは,最後にログインに成功した後,プロセスが切断されたが,まだ存在することを示している。この場合,古いプロセスに再接続すれば,プロセスを切断される前の状態に戻すことができる。
    システムは次の条件が満足される場合にのみ,切断メッセージを表示する。

    • 割り込みが発生したターミナルが仮想ターミナルとして設定されていること。

    • ターミナルが切断可能なターミナルとして設定されていること。

    • 最近のセッションで,ログアウトする前に,そのターミナルを通じた CPU への接続が切断されたこと。


    一般に,この機能が使用可能であっても,システム・セキュリティに問題はないため,セキュリティ管理者はユーザが再接続できるように設定する。ただし,ターミナルでこの設定を変更し,システムで仮想ターミナルの使用を禁止すれば,この機能を禁止できる ( 仮想ターミナルの設定と再接続についての説明は,『OpenVMS システム管理者マニュアル』を参照 )。

  3. ウェルカム・メッセージは,実行中のOpenVMSオペレーティング・システムのバージョン番号と,ログインしているノードの名前を示す。システム管理者は別のメッセージを選択したり,メッセージがまったく表示されないように設定できる。

  4. 最後に成功した会話型ログイン・メッセージには,ローカル,ダイアルアップ,リモート・ログインの最後のログイン完了時間が示される ( これらのタイプのいずれかを親として持つサブプロセスからのログインはカウントされない )。

  5. 最後に成功した非会話型ログイン・メッセージには,最後の非会話型 ( バッチまたはネットワーク ) ログインの完了時間が示される。

  6. ログイン失敗メッセージの数は,ログインの失敗回数を示す ( ログインの失敗としてカウントされるのは,誤ったパスワードの入力だけである )。注意を促すために,メッセージを表示した後,ベルが鳴る。

  7. 新規メール・メッセージは,未開封メール・メッセージが到着しているかどうか示す。



1.4.1 メッセージの無表示

セキュリティ管理者は,ノード名とオペレーティング・システム識別情報を含むウェルカム・メッセージとアナウンスメント・メッセージを表示しないように設定できます。ログイン・プロシージャはオペレーティング・システムに応じて異なっているため,この情報が表示されなければ,ログインが困難になります。

最終ログイン成功メッセージと失敗メッセージは省略可能です。セキュリティ管理者はこれらをまとめて有効にしたり,無効にすることができます。中レベルまたは高いレベルのセキュリティが必要とされるシステムでは,これらのメッセージを表示すれば,不法な侵入(ブレークイン)を示すことができます。さらに,システムがログインを監視していることを示すことができるため,これらのメッセージは不当なユーザによるアクセスを抑制する効果があります。

1.4.2 成功ログイン・メッセージ

ログインするたびに,システムは最後に成功したログインとログイン失敗の回数を再設定します。アカウントに会話方式でアクセスするときに,ログイン時に誤ったパスワードを指定しなければ,最後に成功した非会話型ログイン・メッセージとログイン失敗メッセージは表示されません。

1.5 ログインのタイプとログイン・クラス

ログインは会話型と非会話型に分類できます。会話型ログインの場合には,ユーザ名とパスワードを入力します。非会話型ログインでは,システムがユーザの識別と認証を実行します。ユーザ名とパスワードを要求するプロンプトは表示されません。

会話型ログインと非会話型ログインの他に, OpenVMSオペレーティング・システムではさまざまなログイン・クラスも認識されます。システムにログインする方法によって,どのログイン・クラスに属しているかが決定されます。ログイン・クラス,および曜日と時刻によって,システム管理者はシステムへのアクセスを制御します。

1.5.1 会話型ログイン

会話型ログインには,次のログイン・クラスがあります。

  • ローカル
    中央のプロセッサに直接接続されているターミナル,または中央プロセッサと直接通信するターミナル・サーバからログインします。

  • ダイアルアップ
    モデムと電話回線を使用してコンピュータ・システムとの接続を確立するターミナルにログインします。システムで使用しているターミナルに応じて,最初に追加操作を実行しなければならないことがあります。必要な操作については,各システムのセキュリティ管理者にご質問ください。

  • リモート
    DCL の SET HOST コマンドを入力して,ネットワークを介してノードにログインします。たとえば,HUBBUB というリモート・ノードにアクセスするには,次のコマンドを入力します。 

    $ SET HOST HUBBUB


    HUBBUB ノードのアカウントにアクセスできる場合には,ローカル・ノードからそのアカウントにログインできます。 HUBBUB ノードの機能にアクセスすることはできますが,物理的にはローカル・ノードに接続された状態です。
    リモート・セッションについての詳しい説明は, 第 1.12.2 項 を参照してください。



1.5.2 非会話型ログイン

非会話型ログインには,ネットワーク・ログインとバッチ・ログインがあります。

  • ネットワーク・ログイン
    ディレクトリの内容を表示したり,別のノードにあるディレクトリに格納されたファイルをコピーするなど,リモート・ノードでネットワーク・タスクを開始するときは,システムはネットワーク・ログインを実行します。この場合,現在のシステムとリモート・システムの両方が同じネットワーク内のノードでなければなりません。ファイル・システムにターゲット・ノードを指定し,アクセス制御文字列も指定します。この文字列には,リモート・ノードのユーザ名とパスワードが含まれます。
    たとえば,PARISというリモート・ノードにアカウントを持つGREGというユーザが次のコマンドを入力すると,ネットワーク・ログインが実行されます。 

    $ DIRECTORY PARIS"GREG 8G4FR93A"::WORK2:[PUBLIC]*.*;*


    このコマンドは WORK2 ディスクのパブリック・ディレクトリ内のすべてのファイルのリストを表示します。また,パスワードが 8G4FR93A であることもわかります。同じタスクをもっと安全に実行するには,PARIS ノードで代理アカウントを使用します。代理ログイン の例については, 第 10.5.3 項 を参照してください。

  • バッチ・ログイン
    キューに登録したバッチ・ジョブを実行する場合には,バッチ・ログインが実行されます。ジョブを構築するための許可は,ジョブをキューに登録するときに決定されます。システムがジョブを実行するための準備をするときに,ジョブ・コントローラはアカウントにログインする非会話型プロセスを生成します。ジョブがログインする場合には,パスワードは必要ありません。



1.6 ログインの失敗

ログインはさまざまな理由で失敗します。たとえば,パスワードの1つが変更されたり,アカウントの有効期限が満了した場合や,ネットワークを介して,またはモデムからログインしようとしたときに,その操作が登録されていないこともあります。次の表は,ログインの失敗の一般的な理由を示しています。

失敗の症状: 理由:
ターミナルから応答がない ターミナルに欠陥があるか,システム・パスワードを必要とするターミナルであるか,またはターミナルに電源が投入されていない。
ターミナルから応答がない システムがダウンしている。
システム・パスワードを入力したが,ターミナルから応答がない。 システム・パスワートが変更された。
システム・メッセージ:  
"User authorization failure" ユーザ名またはパスワードを入力ミスした。

アカウントまたはパスワードの有効期限が満了した。

"Not authorized to log in from this source" 特定のログイン・クラス(ローカル,ダイアルアップ,リモート,会話型,バッチ,ネットワーク)が禁止されている。
"Not authorized to log in at this time" この曜日またはこの時刻にログインが許可されていない。
"User authorization failure" ( かつ,認識されるユーザ障害が発生していない ) ユーザ名を使用してターミナルからシステムへの不法侵入が試みられたため,システムはそのユーザ名によるそのターミナルへのすべてのログインを一時的に禁止した。

この後の項では,ログインの失敗の理由について詳しく説明します。

1.6.1 システム・パスワードを必要とするターミナル

使用するターミナルでシステム・パスワードが必要なときに,そのことを知らないと,ログインできません。システム・パスワードを入力するまで,ログインはすべて失敗します。

システム・パスワードがわかっている場合には, 第 1.3.5 項 で説明した操作を実行してください。その操作を実行してもログインできない場合には,システム・パスワードが変更されている可能性があります。システム・パスワードを知らず,そのことが問題であると考えられる場合には,別のターミナルにログインするか,または新しいシステム・パスワードを要求してください。

1.6.2 ログイン・クラスの制限

UAF レコードで禁止されているクラスのログインを試みても,ログインは成功しません。たとえば,セキュリティ管理者がネットワークを介したログインを制限している場合には,ネットワーク・ログインを試みると,このソースからログインする権限がないことを示すメッセージが出力されます。

セキュリティ管理者は,ローカル,リモート,ダイアルアップ,バッチ,ネットワークの各クラスでのログインを制限している可能性があります。

1.6.3 勤務時間に関する制限

勤務時間に関する制限によりログインできないこともあります。システム管理者またはセキュリティ管理者は,時刻や曜日をもとにシステムへのアクセスを制御することがあります。このような制限はログイン・クラスに影響します。セキュリティ管理者は,同じ作業時間制限をすべてのログイン・クラスに適用したり,ログイン・クラスによって異なる制限を設定することもあります。

該当するログイン・クラスに対して禁止されている時刻にログインしようとしてもログインできません。この場合,この時刻にログインする権限がないことがユーザに通知されます。

1.6.4 勤務時間制限中でのバッチ・ジョブ

勤務時間制限がバッチ・ジョブに適用される場合には,許可されている作業時間以外に実行する予定のジョブは,キューに登録しても実行されません。また,次の作業時間にこのようなジョブをシステムが自動的にキューに再登録することもありません。同様に,何らかのジョブを開始して,許可されている時間外にそのジョブを実行しようとしても,ジョブ・コントローラは,割り当てられた勤務時間が終了すると,未完了のジョブを強制終了します。このようなジョブの終了方法は,すべてのジョブに適用されます。

1.6.5 ダイアルアップ・ログインでの失敗

セキュリティ管理者は,ダイアルアップ・ログインで,接続が自動的に切断されるまでの間に,ユーザがパスワードを入力できる回数を制限できます。

ログインが失敗しても,指定された回数に到達していない場合には, Enter キーを押してもう一度ログインを試みてください。ログインが成功するまで,または制限回数に到達するまで,この操作を繰り返すことができます。接続が切断された場合には,アクセス・ラインを再ダイアルして,もう一度試みてください。

ダイアルアップ・ログインの回数を制限するのは,権限のないユーザがパスワードを知ろうとしても,エラーが発生してあきらめざるを得なくするためです。ダイアルアップ回線では,権限がなくても匿名での操作が可能です。もちろん,各ダイアルアップ回線ごとにログインの試行回数を制限しても,この種のシステム侵入の試みがまったくなくなるわけではありません。この回数制限は,何回もダイアルしてログインしようとする不法アクセス者からシステムを保護することを目的にしています。

1.6.6 システム侵入回避プロシージャ

同じターミナルで同じユーザ名によってログインしようとしても,何回も失敗すると,システムは 侵入の試み が進行中であるかのように応答します。つまり,誰かがこのユーザ名を使用してシステムに対して非合法なアクセスを試みていると判断します。

セキュリティ管理者は,自分の裁量で侵入回避手段をシステムのすべてのユーザに対して有効に設定できます。セキュリティ管理者は,所定の時間内に何回のパスワード試行を許可するかを制御します。侵入回避手段が一度起動されると,指定された時間内は,正しいパスワードを使用しても,ターミナルにログインできません。再度ログインを試みるまでにどのくらい待たなくてはならないか,あるいは別のターミナルを使用してログインを試みた方がよいのかは,セキュリティ管理者に質問してください。

侵入回避手段によってログインが防止されているだけで,個人的にログインが失敗したわけではないと考えられる場合には,ただちにシステム管理者に連絡してください。同時に,もう一度ログインを試みて,最後のログイン以降のログイン失敗回数を示すメッセージを確認し,侵入の試みについての推測が正しいかどうかを調べてください。通常はログイン・メッセージが表示されないシステムの場合,セキュリティ管理者は Authorize ユーティリティ (AUTHORIZE) を使用して, UAF レコードの中のデータを調べます。誰かが別のターミナルでログインを試みているかどうかは,プロンプトがどのように表示されるかによってわかります。

1.7 パスワードの変更

定期的にパスワードを変更すれば,システム・セキュリティを向上できます。パスワードを変更するには,DCLのSET PASSWORDコマンドを使用します。

システム管理者は,ユーザが自分で自分のパスワードを選択できるように設定でき,また,パスワードを変更するときに自動的なパスワード・ジェネレータを使用するように要求することもできます。ユーザが自分でパスワードを選択できる場合には,パスワードが長さやその他の制限に従っていなければなりません ( 第 1.3.3 項 を参照)。

一定期間内にパスワードを変更できる回数は制限されていません。

たとえば,選択したパスワードが短すぎる場合には,システムは次のメッセージを表示します。 

$ SET PASSWORD 
Old password: 
New password: 
%SET-F-INVPWDLEN, password length must be between 12 and 32 
characters; password not changed

目次 索引

© 2012 Hewlett-Packard Development Company, L.P.