am51_cmdref.ps

IBM Tivoli Access Manager for e-business

コマンド・リファレンス

バージョン 5.1

IBM Tivoli Access Manager for e-business

コマンド・リファレンス

バージョン 5.1

お願い

本書および本書で紹介する製品をご使用になる前に、 323 ページの『付録 C. 特記事項』に記載されている情報をお読みくだ さい。

本書は、IBM Tivoli Access Manager (プロダクト番号 5724-C08) の バージョン 5.1、および新しい版で明記されてい ない限り、以降のすべてのリリースおよびモディフィケーションに適用されます。 本マニュアルに関するご意見やご感想は、次の URL からお送りください。今後の参考にさせていただきます。 http://www.ibm.com/jp/manuals/main/mail.html なお、日本 IBM 発行のマニュアルはインターネット経由でもご購入いただけます。詳しくは http://www.ibm.com/jp/manuals/ の「ご注文について」をご覧ください。 (URL は、変更になる場合があります) お客様の環境によっては、資料中の円記号がバックスラッシュと表示されたり、バックスラッシュが円記号と表示さ れたりする場合があります。  原 典： SC32–1354–00

IBM Tivoli Access Manager for e-business Command Reference Version 5.1  発 行： 日本アイ・ビー・エム株式会社  担 当： ナショナル・ランゲージ・サポート 第1刷 2004.1 この文書では、平成明朝体™_{W3、平成明朝体}™_{W9、平成角ゴシック体}™_{W3、平成角ゴシック体}™_{W5、および平成角} ゴシック体™_{W7を使用しています。この(書体*)は、（財）日本規格協会と使用契約を締結し使用しているものです。} フォントとして無断複製することは禁止されています。   注* 平成明朝体™ W3、平成明朝体™ W9、平成角ゴシック体™ W3、 平成角ゴシック体™_W5 、平成角ゴシック体™_W7

目次

まえがき . . . vii

本書の対象読者 . . . vii 本書の内容 . . . viii 資料 . . . viii リリース情報 . . . viii 基本情報 . . . viii Web セキュリティー情報 . . . ix 開発者の参照情報 . . . ix 技術上の補足情報. . . x 関連資料. . . x アクセシビリティー . . . xiv ソフトウェア・サポートへの連絡 . . . xv 本書の規則 . . . xv 書体規則 . . . xv オペレーティング・システム間の違い . . . xv

第 1 章 pdadmin コマンド行ユーティリティー . . . 1

pdadmin ユーティリティー. . . 1 コマンド・モード. . . 2 単一コマンド・モード . . . 2 対話式コマンド・モード . . . 4 複数コマンド・モード . . . 5 英語以外のロケールの pdadmin . . . 7 pdadmin コマンドのエラー処理 . . . 8 単一コマンドの戻りコード. . . 8 対話式コマンドの戻りコード . . . 8 複数コマンドの戻りコード. . . 9 ローカルまたは他のドメイン . . . 9 コマンド・オプションの処理 . . . 10

Tivoli Access Manager pdadmin コマンド . . . 11

アクセス・コントロール・リスト・コマンド . . . 11 アクション・コマンド . . . 12 許可ルール・コマンド . . . 12 構成コマンド . . . 12 コンテキスト・コマンド . . . 13 ドメイン・コマンド . . . 13 グループ・コマンド . . . 13 ログインおよびログアウトのコマンド . . . 14 オブジェクト・コマンド . . . 14 オブジェクト・スペース・コマンド . . . 14 ポリシー・コマンド . . . 15 保護オブジェクト・ポリシー・コマンド . . . 15 リソース・コマンド . . . 15 サーバー・コマンド . . . 16 ユーザー・コマンド . . . 16 acl attach . . . 18 acl create . . . 20 acl delete . . . 21 acl detach . . . 22

acl list . . . 25 acl modify . . . 26 acl show . . . 32 action create . . . 34 action delete . . . 36 action group . . . 37 action list . . . 39

admin show conf . . . 41

authzrule attach . . . 42 authzrule create . . . 43 authzrule delete . . . 45 authzrule detach . . . 46 authzrule find . . . 47 authzrule list . . . 48 authzrule modify . . . 49 authzrule show . . . 51 config modify . . . 53 config show . . . 56 context show . . . 58 domain create . . . 60 domain delete . . . 62 domain list . . . 64 domain modify . . . 65 domain show . . . 66 errtext . . . 67 exit または quit . . . 69 group create . . . 70 group delete . . . 72 group import . . . 73 group list . . . 75 group modify . . . 77 group show . . . 79 help . . . 81 login . . . 83 logout . . . 86 object access . . . 88 object create . . . 90 object delete . . . 92 object exists . . . 93 object list . . . 95 object listandshow . . . 97 object modify . . . 99 object show . . . 102 objectspace create . . . 104 objectspace delete . . . 106 objectspace list . . . 107 policy get . . . 108 policy set . . . 110 pop attach. . . 114 pop create. . . 116 pop delete. . . 118 pop detach . . . 119 pop find . . . 120 pop list . . . 122 pop modify . . . 123 pop show . . . 127

rsrc create. . . 129 rsrc delete. . . 131 rsrc list . . . 132 rsrc show . . . 133 rsrccred create . . . 134 rsrccred delete . . . 136

rsrccred list user . . . 138

rsrccred modify . . . 139 rsrccred show . . . 141 rsrcgroup create . . . 143 rsrcgroup delete . . . 145 rsrcgroup list . . . 146 rsrcgroup modify . . . 147 rsrcgroup show . . . 149 server list . . . 150 server listtasks . . . 151 server replicate . . . 153 server show . . . 154 server task . . . 156

server task (WebSEAL) . . . 158

server task add (WebSEAL) . . . 162

server task create (WebSEAL) . . . 166

server task delete (WebSEAL) . . . 175

server task remove (WebSEAL) . . . 177

server task show (WebSEAL) . . . 179

server task stats . . . 181

server task trace. . . 184

user create . . . 186 user delete . . . 189 user import . . . 190 user list . . . 192 user modify . . . 194 user show . . . 197

第 2 章 Tivoli Access Manager ユーティリティー . . . 199

amwebcfg . . . 202

AMWLSConfigure -action config . . . 208

AMWLSConfigure -action unconfig . . . 210

AMWLSConfigure -action create_realm . . . 211

AMWLSConfigure -action delete_realm . . . 213

amwpmcfg . . . 214 bassslcfg -add_replica . . . 217 bassslcfg -chgpwd . . . 219 bassslcfg -chg_replica . . . 220 bassslcfg -config. . . 222 bassslcfg -getcacert . . . 224 bassslcfg -getmgtdomain . . . 225 bassslcfg -modify . . . 226 bassslcfg -ping . . . 228 bassslcfg -rmv_replica . . . 229 cdsso_key_gen . . . 230 install_component . . . 232 ivrgy_tool . . . 236 migrateEAR4 . . . 238

mgrsslcfg -chgpwd . . . 247 mgrsslcfg -config . . . 248 mgrsslcfg -modify . . . 250 pdbackup . . . 252 pdconfig . . . 261 pdjrtecfg . . . 262 pd_start . . . 266 pdversion . . . 268 pdwascfg . . . 270 pdweb . . . 274 pdwebpi . . . 277 pdwebpi_start. . . 278 pdwpi-version . . . 280

pdwpicfg -action config . . . 281

pdwpicfg -action unconfig . . . 284

query_contents . . . 286 svrsslcfg -add_replica . . . 288 svrsslcfg -chg_replica . . . 290 svrsslcfg -chgcert . . . 292 svrsslcfg -chgport . . . 294 svrsslcfg -chgpwd . . . 296 svrsslcfg -config . . . 298 svrsslcfg -modify . . . 302 svrsslcfg -rmv_replica . . . 304 svrsslcfg -unconfig . . . 306 wesosm . . . 308 wslstartwte . . . 311 wslstopwte . . . 312

付録 A. 使用できない文字およびパスワードに関する制限 . . . 313

パスワード・ポリシー . . . 313 パスワードおよびユーザー名の文字制限 . . . 314 セキュア・ドメイン名に使用できる文字 . . . 314 ユーザー名およびグループ名に使用できない文字 . . . 315 識別名に使用できない文字 . . . 315 GSO 名で使用できない文字 . . . 315 許可ルールに使用できない文字 . . . 316 アクセス・コントロール・リスト名に使用できない文字 . . . 316 保護オブジェクト・ポリシー名に使用できない文字. . . 316

付録 B. ユーザー・レジストリーの相違点 . . . 319

付録 C. 特記事項 . . . 323

商標 . . . 324

用語集

. . . 327

索引 . . . 335

まえがき

IBM® Tivoli® Access Manager (Tivoli Access Manager) は、IBM Tivoli Access Manager 製品スイートのアプリケーションを実行するために必要なベース・ソフト ウェアです。 Tivoli Access Manager を使用することにより、広範囲の許可および 管理ソリューションを提供する IBM Tivoli Access Manager アプリケーションを統 合することができます。統合ソリューションとして購入すれば、これらの製品は、 e-business アプリケーションのネットワークとアプリケーションのセキュリティー・ ポリシーを集中管理するアクセス・コントロール管理ソリューションを提供しま す。

注: IBM Tivoli Access Manager は、以前のリリースでは Tivoli SecureWay® _Policy

Director と呼ばれていたソフトウェアの新しい名前です。また、Tivoli

SecureWay Policy Director のソフトウェアと資料で使用されていた「管理サー バー」は、現在、「ポリシー・サーバー」と呼ばれています。

本書は、セキュア・ドメイン内にあるサーバーとリソースの管理に役立つ pdadmin コマンド行インターフェースとその他のコマンド行ユーティリティーに関する詳細 な情報を提供します。

本書の対象読者

本書は、Tivoli Access Manager ソフトウェアの管理を担当するシステム管理者を対 象にしています。

本書の読者には、以下の知識が必要です。

v _Microsoft® _Windows® _{および UNIX}® _{オペレーティング・システム} v _{データベースのアーキテクチャーと概念}

v _{セキュリティー管理}

v _{HTTP、HTTPS、TCP/IP、ファイル転送プロトコル (FTP)、および Telnet を含} む、インターネット・プロトコル

v _{Lightweight Directory Access Protocol (LDAP) とディレクトリー・サービス} v _{認証と許可}

v _{Tivoli Access Manager のセキュリティー・モデルとその機能}

Secure Sockets Layer (SSL) 通信を使用可能にする場合は、SSL プロトコル、鍵交換 (公開鍵と秘密鍵)、ディジタル・シグニチャー、暗号アルゴリズム、および認証局に ついての知識も必要です。

本書の内容

本書は、以下の節から構成されています。

v _{1ページの『第 1 章 pdadmin コマンド行ユーティリティー』}

pdadmin コマンドの参照情報が記載されています。

v _{199ページの『第 2 章 Tivoli Access Manager ユーティリティー』}

その他の、Tivoli Access Manager ユーティリティーをリストします。これらのユ ーティリティーは、環境の保守と、通常の運用時に発生する可能性がある問題の トラブルシューティングに役立ちます。

資料

Tivoli Access Manager ライブラリー、前提資料、および関連資料の説明を検討し て、どの資料が役立つかを判断してください。

IBM Tivoli Access Manager for e-business 製品自体の追加情報については、次を参 照してください。

http://www.ibm.com/software/tivoli/products/access-mgr-e-bus/

Tivoli Access Manager ライブラリーは、以下のカテゴリーに編成されています。 v _{『リリース情報』} v _{『基本情報』} v _{ixページの『Web セキュリティー情報』} v _{ixページの『開発者の参照情報』} v _{xページの『技術上の補足情報』}

リリース情報

v _{IBM Tivoli Access Manager for e-business はじめにお読みください (GI88-8647-00)} Tivoli Access Manager のインストールと使用に関する入門編の説明があります。 v _{IBM Tivoli Access Manager for e-business リリース情報 (GI88-8648-00)}

ソフトウェアの制限、問題の回避、および資料の更新などの最新情報が記載され ています。

基本情報

v _{IBM Tivoli Access Manager Base インストール・ガイド (SC88-9854-00)}

Web Portal Manager インターフェースを含む、Tivoli Access Manager ベース・ソ フトウェアのインストールおよび構成の方法を説明します。本書は、「IBM Tivoli

Access Manager for e-business Web Security インストール・ガイド」のサブセッ トであり、IBM Tivoli Access Manager for Business Integration や IBM Tivoli Access Manager for Operating Systems など、他の Tivoli Access Manager 製品と の併用を対象としています。

Tivoli Access Manager サービスの概念と使用手順についての説明があります。 Web Portal Manager インターフェースから、および pdadmin コマンドを使用し て、タスクを実行するための説明が記載されています。

Web

セキュリティー情報

v _{IBM Tivoli Access Manager for e-business Web Security インストール・ガイド} (SC88-9853-00)

Tivoli Access Manager ベース・ソフトウェアと Web Security コンポーネントの インストール、構成、および除去について説明します。この資料は、「IBM Tivoli

Access Manager Base インストール・ガイド」のスーパーセットです。

v _{IBM Tivoli Access Manager for e-business WebSEAL 管理者ガイド (SC88-9851-00)} WebSEAL を使用してユーザーのセキュア Web ドメインのリソースを管理する 場合の参考資料、管理手順、および技術参照情報が記載されています。

v _{IBM Tivoli Access Manager for e-business IBM WebSphere Application Server 統合}

ガイド (SC88-9860-00)

Tivoli Access Manager を IBM WebSphere®

Application Server に統合する際のイ ンストール、除去、および管理について説明します。

v _{IBM Tivoli Access Manager for e-business Plug-in for IBM WebSphere Edge Server}

統合ガイド (SC88-9859-00)

Tivoli Access Manager を IBM WebSphere Edge Server アプリケーションに統合 する際のインストール、除去、および管理について説明します。

v _{IBM Tivoli Access Manager for e-business Plug-in for Web Servers 統合ガイド} (SC88-9857-00)

Web サーバー用プラグインを使用して Web ドメインを保護する際のインストー ルの説明、管理手順、およびテクニカル・リファレンス情報が記載されていま す。

v _{IBM Tivoli Access Manager for e-business BEA WebLogic Server 統合ガイド} (SC88-9858-00)

Tivoli Access Manager を BEA WebLogic Server に統合する際のインストール、 除去、および管理について説明します。

v _{IBM Tivoli Access Manager for e-business IBM Tivoli Identity Manager プロビジョ}

ニング・ファースト・スタート・ガイド (SC88-9856-00)

Tivoli Access Manager と Tivoli Identity Manager の統合に関連するタスクの概要 と、プロビジョニング・ファースト・スタート (Provisioning Fast Start) コレクシ ョンの使用方法およびインストール方法を説明します。

開発者の参照情報

v _{IBM Tivoli Access Manager for e-business Authorization C API デベロッパーズ・}

リファレンス (SC88-9847-00)

Tivoli Access Manager Authorization C API および Tivoli Access Manager サービ ス・プラグイン・インターフェースを使用して Tivoli Access Manager セキュリ ティーをアプリケーションに追加する方法を説明した参照情報を記載していま す。

v _{IBM Tivoli Access Manager for e-business Authorization Java Classes デベロッパ}

ーズ・リファレンス (SC88-9842-00)

Authorization API の Java™ _{言語インプリメンテーションを使用して、アプリケー}

ションが Tivoli Access Manager セキュリティーを使用できるようにするための 参照情報が記載されています。

v _{IBM Tivoli Access Manager for e-business Administration C API デベロッパーズ・}

リファレンス (SC88-9849-00)

Administration API を使用して、アプリケーションが Tivoli Access Manager 管理 タスクを実行できるようにするための参照情報が記載されています。この資料に は、Administration API の C インプリメンテーションについての説明がありま す。

v _{IBM Tivoli Access Manager for e-business Administration Java Classes デベロッパ}

ーズ・リファレンス (SC88-9848-00)

Administration API の Java 言語インプリメンテーションを使用して、アプリケー ションが Tivoli Access Manager 管理タスクを実行できるようにするための参照 情報が記載されています。

v _{IBM Tivoli Access Manager for e-business Web Security デベロッパーズ・リファ}

レンス (SC88-9850-00)

クロスドメイン認証サービス (CDAS)、クロスドメイン・マッピング・フレーム ワーク (CDMF)、およびパスワード・ストレングス・モジュールに関する管理情 報およびプログラミング情報を提供します。

技術上の補足情報

v _{IBM Tivoli Access Manager for e-business コマンド・リファレンス} (SC88-9846-00)

Tivoli Access Manager で用意されているコマンド行ユーティリティーとスクリプ トについての説明があります。

v _{IBM Tivoli Access Manager for e-business エラー・メッセージ・リファレンス} (SC88-9845-00)

Tivoli Access Manager から出されるメッセージについての説明および推奨処置が 記載されています。

v _{IBM Tivoli Access Manager for e-business 問題判別ガイド (SC88-9844-00)} Tivoli Access Manager の問題判別についての説明が記載されています。

v _{IBM Tivoli Access Manager for e-business パフォーマンス・チューニング・ガイ}

ド (SC88-9843-00)

Tivoli Access Manager と、ユーザー・レジストリーとしての IBM Tivoli

Directory Server から構成される環境での、パフォーマンス・チューニングに関す る情報が記載されています。

関連資料

この節には、Tivoli Access Manager ライブラリーに関連する資料の一覧がありま す。

Tivoli Software Library には、白書、データ・シート、デモンストレーション、レッ ドブック、および発表レターなど、各種の Tivoli 資料が用意されています。Tivoli Software Library は、Web 上の http://www.ibm.com/software/tivoli/library/ で使用可能 です。

Tivoli Software Glossary には、Tivoli ソフトウェアに 関連した数多くの技術用語の 定義が記載されています。 Tivoli Software Glossary は、Tivoli Software Library Web ページ http://www.ibm.com/software/tivoli/library/ の左側にある 「Glossary」 リンクから入手することができます。

IBM Global Security Kit

Tivoli Access Manager では、IBM Global Security Kit (GSKit) バージョン 7.0 を使 用してデータ暗号化が行われます。GSKit は、特定のプラットフォーム用の IBM

Tivoli Access Manager Base CD、IBM Tivoli Access Manager Web Security CD、IBM

Tivoli Access Manager Web Administration Interfaces CD、および IBM Tivoli Access

Manager Directory Server CD に含まれています。

GSKit パッケージが提供する iKeyman 鍵管理ユーティリティー gsk7ikm は、鍵デ ータベース、公開鍵と秘密鍵のペア、および証明書要求を作成するために使用しま す。次の資料は、Tivoli Information Center Web サイトの、IBM Tivoli Access Manager 製品資料と同じ節にあります。

v _{IBM Global Security Kit Secure Sockets Layer の入門および iKeyman ユーザー}

ズ・ガイド (SC88-9855-00)

Tivoli Access Manager 環境で SSL 通信を可能にすることを計画している、ネッ トワークまたはシステムのセキュリティー管理者用の情報を記載しています。

IBM Tivoli Directory Server

IBM Tivoli Directory Server バージョン 5.2 は、使用するオペレーティング・シス テムの IBM Tivoli Access Manager Directory Server CD に含まれています。

注: IBM Tivoli Directory Server は、以下の名称で以前にリリースされたソフトウェ アの新しい名称です。

v _{IBM Directory Server (バージョン 4.1 およびバージョン 5.1)} v _{IBM SecureWay Directory Server (バージョン 3.2.2)}

IBM Directory Server バージョン 4.1、IBM Directory Server バージョン 5.1、およ び IBM Tivoli Directory Server バージョン 5.2 はすべて、IBM Tivoli Access Manager バージョン 5.1 でサポートされます。

IBM Tivoli Directory Server の追加情報については、次を参照してください。

http://www.ibm.com/software/network/directory/library/

IBM DB2 Universal Database

IBM DB2® _{Universal Database}™ _{Enterprise Server Edition バージョン 8.1 は、IBM}

Tivoli Access Manager Directory Server CD で提供され、IBM Tivoli Directory Server ソフトウェアと一緒にインストールされます。DB2 は、Tivoli Access Manager のユーザー・レジストリーとして IBM Tivoli Directory Server、z/OS™ _ま

DB2 の追加情報については、次を参照してください。

http://www.ibm.com/software/data/db2/

IBM WebSphere Application Server

IBM WebSphere Application Server、Advanced Single Server Edition 5.0 は、使用す るオペレーティング・システムの IBM Tivoli Access Manager Web Administration

Interfaces CD に含まれています。WebSphere Application Server によって、Tivoli Access Manager の管理に使用する Web Portal Manager インターフェース、および IBM Tivoli Directory Server の管理に使用する Web Administration Tool を両方サポ ートすることが可能になります。Tivoli Access Manager には IBM WebSphere Application Server Fix Pack 2 も必要であり、これは IBM Tivoli Access Manager

WebSphere Fix Pack CD で提供されています。

IBM WebSphere Application Server の追加情報については、次を参照してくださ い。

http://www.ibm.com/software/webservers/appserv/infocenter.html

IBM Tivoli Access Manager for Business Integration

IBM Tivoli Access Manager for Business Integration は、単体でご注文いただける製 品であり、IBM MQSeries® _{バージョン 5.2 および IBM WebSphere}®

MQ バージョ ン 5.3 メッセージのセキュリティー・ソリューションを提供します。 IBM Tivoli Access Manager for Business Integration を使用すると、WebSphere MQSeries アプリ ケーションは、送信アプリケーションおよび受信アプリケーションに関連した鍵を 使用して、プライバシーと保全性を守る方法でデータを送ることができます。 WebSEAL および IBM Tivoli Access Manager for Operating Systems と同様に、 IBM Tivoli Access Manager for Business Integration は、IBM Tivoli Access Manager のサービスを使用するリソース・マネージャーの 1 つです。

IBM Tivoli Access Manager for Business Integration の追加情報については、次を参 照してください。

http://www.ibm.com/software/tivoli/products/access-mgr-bus-integration/

IBM Tivoli Access Manager for Business Integration バージョン 5.1 に関連する以下 の資料は、Tivoli Information Center Web サイトから入手できます。

v _{IBM Tivoli Access Manager for Business Integration 管理者ガイド (SC88-9495-00)} v _{IBM Tivoli Access Manager for Business Integration 問題判別ガイド}

(GC88-9824-00)

v _{IBM Tivoli Access Manager for Business Integration リリース情報 (GI88-8614-00)} v _{IBM Tivoli Access Manager for Business Integration はじめにお読みください}

(GI88-8646-00)

IBM Tivoli Access Manager for WebSphere Business

Integration Brokers

IBM Tivoli Access Manager for Business Integration の一部として入手できる IBM Tivoli Access Manager for WebSphere Business Integration Brokers は、WebSphere Business Integration Message Broker バージョン 5.0 および WebSphere Business

Integration Event Broker バージョン 5.0 のセキュリティー・ソリューションを提供 します。IBM Tivoli Access Manager for WebSphere Business Integration Brokers は Tivoli Access Manager と連携して作動し、パスワードと証明書ベースの認証、中央 定義の許可、および監査サービスを提供することによって JMS パブリッシュ/サブ スクライブ・アプリケーションを保護します。

IBM Tivoli Access Manager for WebSphere Integration Brokers の追加情報について は、次を参照してください。

http://www.ibm.com/software/tivoli/products/access-mgr-bus-integration/

IBM Tivoli Access Manager for WebSphere Integration Brokers バージョン 5.1 に関 連する以下の資料は、Tivoli Information Center Web サイトから入手できます。 v _{IBM Tivoli Access Manager for WebSphere Business Integration Brokers 管理ガイ}

ド (SC88-9825-00)

v _{IBM Tivoli Access Manager for WebSphere Business Integration Brokers リリース}

情報 (GI88-8645-00)

v _{IBM Tivoli Access Manager for Business Integration はじめにお読みください} (GI88-8646-00)

IBM Tivoli Access Manager for Operating Systems

IBM Tivoli Access Manager for Operating Systems は、単体でご注文いただける製品 であり、ネイティブのオペレーティング・システムで提供されているものに加え て、UNIX システムでの許可ポリシー実施のための 1 つの層を提供します。 WebSEAL および IBM Tivoli Access Manager for Business Integration と同様に、 IBM Tivoli Access Manager for Operating Systems は、IBM Tivoli Access Manager のサービスを使用するリソース・マネージャーの 1 つです。

IBM Tivoli Access Manager for Operating Systems の追加情報については、次を参照 してください。

http://www.ibm.com/software/tivoli/products/access-mgr-operating-sys/

IBM Tivoli Access Manager for Operating Systems バージョン 5.1 に関連する以下 の資料は、Tivoli Information Center Web サイトから入手できます。

v _{IBM Tivoli Access Manager for Operating Systems インストール・ガイド} (SC88-9494-00)

v _{IBM Tivoli Access Manager for Operating Systems 管理者ガイド (SC88-9492-00)} v _{IBM Tivoli Access Manager for Operating Systems 問題判別ガイド (SC88-9493-00)} v _{IBM Tivoli Access Manager for Operating Systems リリース情報 (GI88-8613-00)} v _{IBM Tivoli Access Manager for Operating Systems 最初にお読みください}

(GI88-8611-00)

IBM Tivoli Identity Manager

IBM Tivoli Identity Manager バージョン 4.5 は単体でご注文いただける製品であ り、ユーザー (ユーザー ID およびパスワードなど) およびプロビジョニング (すな わち、アプリケーション、リソース、またはオペレーティング・システムへのアク

は、Tivoli Access Manager Agent を使用して Tivoli Access Manager と統合できま す。Agent のご購入について詳しくは、IBM 営業担当者にお問い合わせください。

IBM Tivoli Identity Manager の追加情報については、次を参照してください。

http://www.ibm.com/software/tivoli/products/identity-mgr/

アクセシビリティー

アクセシビリティー機能は、運動障害や視覚障害などの障害を持つユーザーがソフ トウェア・プロダクトを快適に使用できるようにサポートします。これらの製品を 使用することにより、インターフェースを耳で聴いて確認したり、ナビゲートした りするための支援テクノロジーをご利用いただけます。また、グラフィカル・ユー ザー・インターフェースのすべての機能は、マウスを使用しなくてもキーボードか ら操作できるようになっています。

ソフトウェア・サポートへの連絡

IBM 営業担当員にお問い合わせください。

本書の規則

本書では、特別な用語とアクションに関して、およびオペレーティング・システム に 依存するコマンドおよびパスに関して、いくつかの規則を使用しています。

書体規則

本書では、以下の書体規則を使用しています。 太字 周囲にあるテキスト、キーワード、パラメーター、オプション、Java クラ スやオブジェクトの名前との区別が難しい小文字コマンドまたは大文字小文 字混合コマンドは太字で示されます。 イタリック 変数、資料のタイトル、および強調される特殊な用語または句はイタリック で示されます。 モノスペース コード例、コマンド行、画面出力、周囲にあるテキストとの区別が難しいフ ァイル名およびディレクトリー名、システム・メッセージ、ユーザーの入力 が必要なテキスト、引き数またはコマンド・オプションの値はモノスペース で示されます。

オペレーティング・システム間の違い

本書では、環境変数の指定およびディレクトリー表記について UNIX 規則を使用し ます。Windows コマンド行を使用するときは、環境変数の場合は $variable を %variable% に置き換え、ディレクトリー・パスの場合はスラッシュ (/) を円記号 (¥) に置き換えてください。Windows システムで bash シェルを使用している場合 は、UNIX 規則を使用できます。

第 1 章 pdadmin コマンド行ユーティリティー

pdadmin コマンド行ユーティリティーは、Tivoli Access Manager Runtime パッケ ージの一部としてインストールされます。このインターフェースは、セキュア・ド メイン内のアクセス・コントロール・リスト、グループ、サーバー、ユーザー、オ ブジェクト、およびその他のリソースを管理するために使用します。また、

pdadmin コマンドを使用するスクリプトを作成することによって、特定の管理機能 を自動化することもできます。

「IBM Tivoli Access Manager Base 管理者ガイド」で説明されている Web Portal Manager インターフェースを使用すると、特殊なネットワーク構成なしにリモート 側で類似の管理用タスクを実行できます。

これらのタスクの多くは、「IBM Tivoli Access Manager for e-business

Administration C API デベロッパーズ・リファレンス」または「IBM Tivoli Access

Manager for e-business Administration Java Classes デベロッパーズ・リファレン ス」でそれぞれ説明される、Administration C API 機能または管理 Java クラス機能 を使用することによって実行することもできます。

pdadmin

ユーティリティー

使用法:

pdadmin [[-a admin_id [-p password] [-d domain | -m]] | -l] [-linelen max-linelen ] [-v] [cmd | file] -a admin_id ユーザー admin_id としてログインします。コマンド行にこのオプ ションを指定しない場合、Unauthenticated (非認証) であるとみなさ れ、他のコマンドへのアクセスが制限されます。Unauthenticated ユ ーザーは、context、errtext、exit、help、login、logout および quit のコマンドのみ使用できます。 -p password ユーザー admin_id のパスワードを指定します。このオプションを 使用すると、パスワードが、画面上だけでなくプロセス・テーブル でも見えるようになるため、他のユーザーにパスワードを知られて しまう可能性があります。コマンド行にこのオプションを指定しな い場合、パスワードの入力を求めるプロンプトが出されます。この オプションは、-a オプションを使用しない限りは使用できません。

-d domain ログインする Tivoli Access Manager セキュア・ドメインを指定し ます。このドメインへのログインには、認証が必要です。指定した

admin_id ユーザーがこのドメインに存在する必要があります。 例: -d test_domain

-m ログイン操作を管理ドメインに指示することを指定します。このド メインへのログインには、認証が必要です。指定した admin_id ユ

ーザーがこのドメインに存在する必要があります。ユーザーは、

pdadmin context show コマンドを実行して、自分の認証情報を 表示できます。 注: -d domain または -m のいずれかのドメイン・オプションのみ 指定できます。どちらのオプションも指定されない場合、ター ゲット・ドメインは、そのシステムに構成されたローカル・ド メインになります。 -l ローカル・ログイン操作を指定します。ローカル構成ファイルに pdadmin config コマンドを使用して変更を加えた場合、コマンド を実行できるようにするには、その前にローカル・ログインが必要 です。 -linelen max-linelen このオプションは現在は無視されます。 -v pdadmin ユーティリティーのバージョン番号を出力します。この オプションを指定すると、他のすべての有効オプションは無視され ます。 以下の例は、このオプションを使用した場合に表示される出力で す。

Tivoli Access Manager Administrative Tool v5.1.0 (Build 031030) Copyright (C) IBM Corporation 1994-2003. All Rights Reserved.

cmd|file 実行する単一の pdadmin コマンド (cmd 引き数)、または、実行コ マンドのリストが入っているパスとファイル名 (file 引き数) を指定 します。1 つまたは複数のコマンドが 1 回だけ実行され、 pdadmin は対話式モードに入りません。cmd または file のいずれ か一方のみ指定できます。

コマンド・モード

pdadmin コマンド行インターフェースは、次に示す 3 つのモードのいずれかで使 用できます。 v _{単一コマンド・モード} v _{対話式コマンド・モード} v _{複数コマンド・モード} 以下の節で、これらのモードについて説明します。

単一コマンド・モード

単一の pdadmin コマンドをコマンド・プロンプトから実行するには、以下のよう に入力します。

pdadmin [ -a admin_id [-p password] [-m | -d domain] | -l] ] [-v] [cmd]

ここで、

-a admin_id ユーザー admin_id としてログインします。コマンド行にこのオプ ションを指定しない場合、Unauthenticated (非認証) であるとみなさ

ーザーは、context、errtext、exit、help、login、logout および quit のコマンドのみ使用できます。 -p password ユーザー admin_id のパスワードを指定します。このオプションを 使用すると、パスワードが、画面上だけでなくプロセス・テーブル でも見えるようになるため、他のユーザーにパスワードを知られて しまう可能性があります。コマンド行にこのオプションを指定しな い場合、パスワードの入力を求めるプロンプトが出されます。この オプションは、-a オプションを使用しない限りは使用できません。 -m ログイン操作を管理ドメインに指示することを指定します。 admin_id ユーザーがこのドメインに存在する必要があります。 たとえば、ユーザー sec_master として管理ドメイン (Default) に ログインして認証するには、以下に類似したコマンドを (1 行で) 入力します。

c:¥> pdadmin -a sec_master -p secmstrpw -m pdadmin_command

-d domain ログインする Tivoli Access Manager セキュア・ドメインを指定し ます。admin_id ユーザーがこのドメインに存在する必要がありま す。

たとえば、ユーザー sec_master として他のドメイン domain01 に ログインして認証するには、以下に類似したコマンドを (1 行で) 入力します。

c:¥> pdadmin -a sec_master -p secmstrpw -d domain01 pdadmin_command -l ローカル・ログイン操作を指定します。 pdadmin config コマン ドを実行できるためには、その前にローカル・ドメインへのログイ ンが必要です。 たとえば、ローカルでログインして pdadmin 構成コマンドを使用 するには、以下に類似したコマンドを入力します。 c:¥> pdadmin -l config_command -v 詳細モードを指定します。 cmd 一回限りのコマンドを実行できます。たとえば、以下のコマンドを すべて 1 行に入力すると、chris というユーザーが作成されます。

c:¥> pdadmin -a sec_master -p password user create chris cn=chris,o=tivoli,c=us chris chris chris1234

注: v _{admin_id (-a) とパスワード (-p) を指定すると、そのユーザーとしてログインさ} れます。この方式を使用すると、パスワードが他のユーザーに知られてしまうお それがあります。たとえば、1 人のユーザーがこのコマンドを pdadmin コマン ドと一緒に使用した場合、別のユーザーが現在実行されているプロセスのリスト を表示すると、コマンド全体 (パスワードを含む) が、そのユーザーに見えてしま う場合があります。 v _{admin_user (-a) またはローカル・ログイン (-l) オプションを指定しなかった場合} は、Unauthenticated (非認証) ユーザーとしてログインされます。 Unauthenticated ユーザーは、context、errtext、exit、help、login、logout および quit のコマ

v _{-d domain または -m のいずれかのドメイン・オプションのみ指定できます。ど} ちらのオプションも指定されない場合、ターゲット・ドメインは、そのシステム に構成されたローカル・ドメインになります。

v _{admin_id (-a) を指定し、パスワード (-p) を指定しなかった場合は、パスワード} の入力を求めるプロンプトが出されます。

v _{ユーザーは、pdadmin context show コマンドを実行して、自分の認証情報を} 表示できます。

対話式コマンド・モード

pdadmin を対話モードで開始するには、pdadmin コマンドを入力します。 このコマンドは、認証を必要とせずに pdadmin を開始します。この場合、 Unauthenticated ユーザーに対して、context、errtext、exit、help、login、logout および quit など、他の pdadmin コマンドへのアクセスが制限されます。 c:¥> pdadmin pdadmin> limited_pdadmin_command 以下のコマンドは、pdadmin を開始し、その他の pdadmin コマンドを使用する にはログイン認証が必要です。アドミニストレーター ID とパスワードの両方の入 力を促すプロンプトが出されることがあります。 c:¥> pdadmin pdadmin> login ユーザー ID の入力: sec_master パスワードの入力: secmstrpw

pdadmin sec_master> pdadmin_command

または、アドミニストレーター・パスワードを入力するよう促すプロンプトだけが 出されることもあります。

c:¥> pdadmin

pdadmin> login -a sec_master パスワードの入力: secmstrpw

pdadmin sec_master> pdadmin_command

または、プロンプトをバイパスすることができますが、この場合、パスワードが見 られてしまう可能性があるため、安全性は低くなります。

c:¥> pdadmin

pdadmin> login -a sec_master -p secmstrpw pdadmin sec_master> pdadmin_command

ローカル構成コマンドを実行するために、ログインによって対話モードで pdadmin を開始するには、ローカル・ログイン (pdadmin login -l) コマンドを使用しま す。ローカル・ログインによって、config show コマンドまたは config modify コマンドが使用できます。次に例を示します。

pdadmin login -l

ドメイン (管理ドメインなど) へのログイン (ここでは、ID およびパスワードが認 証されてからアクセスが許可され、ユーザー権限が妥当性検査されてからコマンド を実行できます) によって、対話モードで pdadmin を開始するには、以下のよう にします。 たとえば、管理ドメイン (Default) にログインして認証するには、以下のように入 力します。

pdadmin login -a admin_id -p password -m pdadmin sec_master@Default> pdadmin_command

たとえば、他のドメイン domain01 にログインして認証するには、以下のように入 力します。

pdadmin login -a sec_master -p secmstrpw -d domain01 pdadmin sec_master@domain01> pdadmin_command

pdadmin プロンプトで、適切なコマンドとそれに関連したオプションを入力してく ださい。 pdadmin プロンプトは、ログインのタイプに応じて変更されます。 login コマンドおよびプロンプトの変更に関する追加情報については、 14 ページの 『ログインおよびログアウトのコマンド』を参照してください。 注: このリリースでは、pdadmin 対話モードで使用されるコマンド行の長さは、最 大 1023 文字に制限されています。

複数コマンド・モード

全体で 1 つの完全なタスクまたは一連のタスクを実行する、複数の pdadmin コマ ンドが 1 行あたり 1 つ入っているファイルを作成できます。ログイン・コマンド をコマンド・ファイルに組み込んで、必要に応じてローカル・ログインとリモー ト・ログインとを切り替えることができます。 このファイル内のコマンドを実行するには、以下のように入力します。

pdadmin [-a admin_id [-p password] [-d domain| -m]] file

注: ログイン・コマンドをコマンド・ファイルに組み込んで、必要に応じて pdadmin login -l ローカル・ログイン (認証は不要) と認証が必要なログイン とを切り替えることができます。 それぞれのパラメーターは、以下のとおりです。 -a admin_id ユーザー admin_id としてログインします。コマンド行にこのオプ ションを指定しない場合、Unauthenticated (非認証) であるとみなさ れ、他のコマンドへのアクセスが制限されます。Unauthenticated ユ ーザーは、context、errtext、exit、help、login、logout および quit のコマンドのみ使用できます。 -p password ユーザー admin_id のパスワードを指定します。このオプションを 使用すると、パスワードが、画面上だけでなくプロセス・テーブル でも見えるようになるため、他のユーザーにパスワードを知られて しまう可能性があります。コマンド行にこのオプションを指定しな

い場合、パスワードの入力を求めるプロンプトが出されます。この オプションは、-a オプションを使用しない限りは使用できません。

-d domain ログインする Tivoli Access Manager セキュア・ドメインを指定し ます。admin_id ユーザーがこのドメインに存在する必要がありま す。 -m ログイン操作を管理ドメインに指示することを指定します。 admin_id ユーザーがこのドメインに存在する必要があります。 -l ローカル・ログイン操作を指定します。コマンドが pdadmin config コマンドである場合、コマンドを実行できるようになる前に ローカル・ログインが必要です。 file pdadmin コマンドが入ったファイルの完全なパスと名前を指定し ます。 有効なファイル名は英数字ストリングで、大文字小文字を区別しま せん。ストリング値は、ローカル・コード・セットの一部となって いる文字であることが想定されています。 注: Windows の場合、ファイル名の文字として、円記号 (¥)、コロ ン (:)、疑問符 (?)、または二重引用符は使用できません。 注: v _{admin_id (-a) とパスワード (-p) を指定すると、そのユーザーとしてログインさ} れます。コマンド行に -a および -p の両方のオプションを入力すると、パスワ ードが他のユーザーに知られてしまう可能性があります。たとえば、1 人のユー ザーがこのコマンドを pdadmin コマンドと一緒に使用した場合、別のユーザー が現在実行されているプロセスのリストを表示すると、コマンド全体 (パスワー ドを含む) が、そのユーザーに見えてしまう場合があります。

v _{admin_user (-a) を指定しなかった場合は、Unauthenticated (非認証) ユーザーとし} てログインされます。 Unauthenticated ユーザーは、context、errtext、exit、

help、login、logout および quit のコマンドのみ使用できます。 v _{admin_id ユーザーがドメインに存在する必要があります。} v _{-d domain または -m のいずれかのドメイン・オプションのみ指定できます。ど} ちらのオプションも指定されない場合、ターゲット・ドメインは、そのシステム に構成されたローカル・ドメインになります。 v _{admin_id (-a) を指定し、パスワード (-p) を指定しなかった場合は、ファイル内} のすべてのコマンドを実行できるようになる前に、一度だけパスワードの入力を 求めるプロンプトが出されます。

v _{ユーザーは、pdadmin context show コマンドを実行して、自分の認証情報を} 表示できます。

v _{このリリースでは、pdadmin 複数コマンド・モードで使用される入力コマンド・} ファイル内のコマンド長は、最大 299 文字に制限されています。ただし、コマン ド・ファイルが pdadmin コマンドにリダイレクトされる場合、ファイル内のコ マンド長は最大 1023 文字に制限されます。

英語以外のロケールの pdadmin

Tivoli Access Manager ソフトウェアでは、希望のロケールを設定することによっ て、その国の地域化された動作を指定することができます。テキストのエンコード 方式は、しばしば、オペレーティング・システムによって異なります。たとえば、 Windows システムでは、日本語のテキストに SJIS (コード・ページ 932) が使用さ れますが、UNIX システムでは eucJP がよく使用されます。 インストール・ガイドには、コード・ページおよび国際化対応についての完全情報 が含まれています。ただし、英語以外のロケールで pdadmin ユーティリティーを 実行する場合は、以下の問題に留意してください。 v _{Windows システムでは、コマンド・ファイル引き数を使用してコマンドを} pdadmin に入力する場合、システムのローカル (ANSI) コード・ページでコマン ド・ファイルがエンコードされている必要があります。例:

C:> pdadmin -a sec_master -p password cmds.text

システムのローカル・コード・ページは、 Windows レジストリー内の Nls/CodePage/ACP キーの値を表示することによって判別できます。Windows の標準編集ツール (ノートパッドまたはワードパッドなど) で作成されたファイル は、このようにしてエンコードされます。 UNIX システムでは、コマンド・ファイルの作成に使用したロケールと同じロケ ールで、 pdadmin コマンドを実行する必要があります。 v _{Windows システムでは、コマンド・ファイルをリダイレクトすることによって} pdadmin を入力する場合、そのコマンド・ファイルは、pdadmin コマンドが実 行されるコマンド・ウィンドウのアクティブ・コード・ページに対応する

Microsoft Original Equipment Manufacturer (OEM) コード・ページでエンコードさ れる必要があります。例:

C:> pdadmin -a sec_master -p password < cmds.text

アクティブ・コード・ページは、 pdadmin コマンド・ウィンドウで chcp コマ ンドを実行することによって判別できます。 代わりに、システムのローカル・コード・ページでエンコードされたファイルを リダイレクトできますが、コマンド・ウィンドウのアクティブ・コード・ページ を、ファイルのエンコードに対応するように変更する必要があります。ウィンド ウのアクティブ・コード・ページは、chcp コマンドを使用して変更します。た とえば、コマンド chcp 1252 を入力した場合、アクティブ・コード・ページは、 ヨーロッパとアメリカ合衆国用の ANSI コード・ページに変更されます。 UNIX システムでは、リダイレクトされたコマンド・ファイルの作成に使用した ロケールと同じロケールで、 pdadmin コマンドを実行する必要があります。 v _{Windows および UNIX の両方のシステムにおいて、あるロケールで作成された}

Tivoli Access Manager データが、別のロケールに合わせて構成されたシステムで は正しく表示されないことがあります。データが正しく表示されるかどうかは、 もう一方のシステムの構成 (たとえば、現在のロケールが何か、または必要なコ ード・ページおよびフォントがインストールされているかどうか) に依存しま

pdadmin

コマンドのエラー処理

pdadmin コマンドには、以下の 2 つの戻りコード値があります。 0 コマンドが正常に完了しました。 1 コマンドが失敗しました。コマンドが失敗すると、pdadmin コマンドはエラー の説明および 16 進数形式のエラー状況コード (たとえば、0x14c012f2) を表示 します。

「IBM Tivoli Access Manager for e-business エラー・メッセージ・リファレン ス」を参照してください。この資料には、Tivoli Access Manager のエラー・メ ッセージのリストが 10 進コードまたは 16 進コードで記載されています。 また、メッセージに関連付けられているメッセージ番号を入力として使用して、記 述テキストのみを表示する方法の説明については、pdadmin errtext コマンドを参 照してください。

単一コマンドの戻りコード

単一コマンドは、通常、DOS コマンド・プロンプト、Korn シェル・プロンプト、C シェル・プロンプトなどから入力されます。単一コマンド・モードは、0 または 1 の戻りコード値を自動的には表示しないため、オペレーティング・システムに戻り コード値を照会する必要があります。 コマンドが失敗した場合、関連するエラー・メッセージを伴う 16 進エラー・コー ド状況が、そのエラー・メッセージ ID (HPDMG0754W など) とともに表示されます。 画面に通常表示されるエラーをテキスト・ファイルにリダイレクトすることができ ます。単一コマンドが失敗すると、以下のようなエラー・メッセージが表示されま す。

C:> pdadmin -a admin_id -p password user show oogle 管理要求を実行できませんでした。

エラー: HPDMG0754W エントリーが見つかりませんでした。ユーザーまたはグループ ... (状況 0x14c012f2)

0 または 1 の戻りコード値を表示するには、 pdadmin コマンドの後に UNIX

echo コマンドまたは Windows errorlevel コマンドのいずれかを入力する必要があ ります。 v _{UNIX の場合:} # pdadmin_command # echo $? v _{Windows の場合:} C:>pdadmin_command C:>echo %errorlevel%

対話式コマンドの戻りコード

対話式コマンド・モードは、0 または 1 の戻りコード値を自動的には表示しませ ん。対話式コマンドの後に、UNIX echo コマンドも Windows errorlevel コマンド もつけることはできません。

コマンドが失敗した場合、以下のようなメッセージが表示されます。

管理要求を実行できませんでした。 エラー: HPDMG0754W エントリーが見つかりませんでした。ユーザーまたはグループ ... (状況 0x14c012f2) 16 進終了状況コードのみが表示されます。

複数コマンドの戻りコード

pdadmin コマンドが入っているテキスト・ファイルを使用して、それらのコマンド を単一の pdadmin 呼び出しで実行することができます。複数のコマンドを (複数 コマンド・モードで) 実行中にいずれかのコマンドでエラーが発生した場合、失敗 したコマンドのエラー・メッセージが提供されます。 ファイル内の残りのコマンドの処理は、エラーの後でも継続されます。複数コマン ド処理の終了時に、最終状況が提供されます。複数コマンド処理の終了時の最終状 況コードは、最後に実行が試みられたコマンドのものだけであることに注意してく ださい。たとえば、最後のコマンドが正常に終了した場合、最終状況は 0 で、最後 のコマンドが失敗した場合は、最終状況は 1 になります。 たとえば、テキスト・ファイルに、以下の pdadmin コマンドが入っているとしま す。

user show cwright user show oogle

これらのコマンドを実行するには、以下のコマンドを実行します。

pdadmin -a admin_id -p password cmd_filename

コマンド・ファイルは、以下のような結果を作成します。

cmd> user show cwright ログイン ID: cwright

LDAP DN: cn=Claude Wright,ou=Dallas,o=Tivoli,c=us LDAP CN: Claude Wright

LDAP SN: Wright 説明: SecUser である: はい GSO ユーザーである: いいえ 有効なアカウント: はい 有効なパスワード: はい 許可メカニズム: Default:LDAP cmd:> user show oogle

管理要求を実行できませんでした。 エラー: HPDMG0754W エントリーが見つかりませんでした。ユーザーまたはグループ ... (状況 0x14c012f2)

ローカルまたは他のドメイン

ローカル・ドメインまたはローカル・ドメイン以外のドメインにログインする前 に、pdadmin コマンドを使用して、ユーザー ID およびパスワードの認証を行いま す。 対話モードでローカル・ドメインに対して認証を行い、ログインするには、以下を 入力します。

pdadmin> login -a dlucas -p lucaspwd pdadmin dlucas> ここで、user_name は、認証されたユーザー dlucas として自身のローカル・ドメ インにログインします。 対話モードでローカル・ドメイン以外の名前を持つドメインに対して認証を行い、 ログインするには、以下を入力します。

pdadmin> login -a dlucas -p lucaspwd -d domain_a pdadmin dlucas@domain_a> ここで、user_name は、認証されたユーザー dlucas としてログインします。 domain_a は、ログイン先の domain_name です。

コマンド・オプションの処理

pdadmin コマンド・オプションのなかには、ハイフン (-) で始まるものがありま す。たとえば、以下のコマンドは、-gsouser オプションを使用します。

pdadmin sec_master> user import -gsouser mlucaser cn=mlucaser,o=Tivoli,c=US

pdadmin コマンドは、ハイフンが二重引用符で囲まれている場合でも、ハイフンで 始まるトークンがあると、すべてコマンド・オプションとして解釈します。 場合によって、ハイフン (-) で始まるトークンを、コマンド・オプションではなく 引き数として解釈されるようにしたい場合があります。たとえば、以下を入力する ことによって、ユーザーに -mlucaser または "-mlucaser" という名前を付けたい とします。

pdadmin sec_master> user import -gsouser -mlucaser cn=mlucaser,o=tivoli,c=us

この例で、コマンド内の最初の -gsouser オプションは、それでも処理されます。 しかし、ユーザー名トークンがハイフンで始まるため、このユーザー名はコマン ド・オプションとして解釈されます。このコマンドは、—mlucaser コマンド・オプ ションが存在しないために失敗します。 単一のハイフン文字を指定して、pdadmin コマンドのオプションの引き数の解釈を オフにすることができます。単一のハイフン文字に続く -mlucaser は、ユーザー名 として解釈されるようになります。 例:

pdadmin sec_master> user import -gsouser - -mlucaser cn=mlucaser,o=Tivoli,c=us

コマンド行に指定するオプションは、どこの位置に置いても構いません。このた め、ハイフンで始まるすべてのトークンのうち、コマンド・オプションではないも のは単一のハイフン文字の後に続くように、順序を変更することができます。

Tivoli Access Manager pdadmin

コマンド

この節では、Tivoli Access Manager pdadmin コマンドをカテゴリー別およびコマ ンド名別にリストします。 v _{11 ページの『アクセス・コントロール・リスト・コマンド』} v _{12 ページの『アクション・コマンド』} v _{12 ページの『許可ルール・コマンド』} v _{13 ページの『コンテキスト・コマンド』} v _{13 ページの『ドメイン・コマンド』} v _{13 ページの『グループ・コマンド』} v _{14 ページの『ログインおよびログアウトのコマンド』} v _{14 ページの『オブジェクト・コマンド』} v _{14 ページの『オブジェクト・スペース・コマンド』} v _{15 ページの『ポリシー・コマンド』} v _{15 ページの『保護オブジェクト・ポリシー・コマンド』} v _{15 ページの『リソース・コマンド』} v _{16 ページの『サーバー・コマンド』} v _{16 ページの『ユーザー・コマンド』}

アクセス・コントロール・リスト・コマンド

表 1 は、acl コマンドのリストです。これらのコマンドを使用すると、アクセス・ コントロール・リスト (ACL) のポリシーと拡張属性を管理できます。 表 1. アクセス・コントロール・リスト (ACL) コマンド コマンド 説明

acl attach 保護オブジェクトに ACL ポリシーを付加します。すでにその保護 オブジェクトに ACL が付加されている場合、その ACL は新しい ACL に置き換えられます。

acl create ACL データベース内に ACL ポリシーを作成します。このコマンド は、ACL エントリーを作成しません。

acl delete ACL データベースから ACL ポリシーを削除します。

acl detach 現行の ACL ポリシーを保護オブジェクトから切り離します。この コマンドは、ACL データベースから ACL ポリシーを削除しませ ん。

acl find 特定の ACL ポリシーが付加されているすべての保護オブジェクト を検索し、リストします。

acl list すべての定義済み ACL の名前をリストします。また、特定の ACL に関連した拡張属性キーもリストします。

acl modify ACL、その拡張属性、および関連した値を変更します。

acl show 特定の ACL ポリシーについて、完全なエントリー・セットをリス トします。また、ある ACL ポリシーに関連した特定の拡張属性の 値をリストします。

アクション・コマンド

表 2 は、action コマンドのリストです。これらのコマンドを使用すると、追加の許 可アクション (ACL 許可) とアクション・グループを定義できます。 表 2. アクション・コマンド コマンド 説明 action create アクション・グループ内にアクション (許可) コードを定義しま す。特定の拡張アクション・グループにアクション・コードを追加 することもできます。 action delete アクション・グループのアクション・コードを削除します。アクシ ョンを削除する特定のアクション・グループを定義することもでき ます。

action group ACL アクション・グループの作成、削除、リスト表示を行います。 action list あるアクション・グループについて、すべての定義済みアクショ ン・コードをリストします。

許可ルール・コマンド

表 3 に、許可ルールの管理に使用する authzrule コマンドをリストします。 表 3. 許可ルール・コマンド コマンド 説明 authzrule attach 指定した保護オブジェクトに許可ルールを付加します。 authzrule create 許可ルールを作成します。 authzrule delete 許可ルールを削除します。 authzrule detach 指定した保護オブジェクトから許可ルールを切り離します。 authzrule find 指定した許可ルールが付加されている保護オブジェクトをすべて検 出し、リストします。 authzrule list 登録済みのすべての許可ルールをリストします。 authzrule modify 許可ルールを変更します。 authzrule show 説明、ルール・テキスト、および失敗理由コードを含む、許可ルー ルのすべての属性を表示します。

構成コマンド

13ページの表 5 に、構成データベース・コマンドである config コマンドをリスト します。これらのコマンドは、ローカル構成ファイルを変更します。 表 4. 構成コマンド コマンド 説明

config modify Tivoli Access Manager サーバー構成ファイルおよびカスタマイズ済 みサーバー構成ファイルを更新します。

config show Tivoli Access Manager サーバー構成ファイル内、またはカスタマイ ズ済みサーバー構成ファイル内に指定したスタンザまたはキーに関 連した値を表示します。

コンテキスト・コマンド

表 5 に、pdadmin ユーティリティーを実行するユーザーに対してコンテキスト (認 証) 情報を表示するために使用する context コマンドをリストします。 表 5. コンテキスト・コマンド コマンド 説明 context show 現行のコンテキストを設定するために使用されるユーザー ID およ びドメイン ID を表示します。

ドメイン・コマンド

表 6 に、Tivoli Access Manager セキュア・ドメインの管理に使用する domain コ マンドをリストします。

表 6. ドメイン・コマンド

コマンド 説明

domain create Tivoli Access Manager セキュア・ドメインを作成します。 domain delete 指定された Tivoli Access Manager セキュア・ドメインを削除し、

オプションでそのドメインに関する情報をユーザー・レジストリー から削除します。 domain list 管理ドメインを除くすべてのドメインをリストします。 domain modify 指定したドメインの説明を変更します。 domain show 名前および説明を含む、指定したドメイン属性を表示します。

グループ・コマンド

グループ とは、類似する属性を備えた一連の Tivoli Access Manager ユーザー・ア カウントのことです。グループを使用すると、アクセス・コントロール・リスト (ACL) の中で、すべてのユーザーを個々にリストする代わりにグループ名を使用で きます。 LDAP ベースのユーザー・レジストリーを使用した場合、グループ名に大 文字小文字の区別はありません。

表 7 に、Tivoli Access Manager グループの管理に使用する group コマンドをリス トします。

表 7. グループ・コマンド

コマンド 説明

group create Tivoli Access Manager グループを作成します。

group delete 指定された Tivoli Access Manager グループを削除し、オプション でそのグループに関する情報をユーザー・レジストリーから削除し ます。そのグループに関連した ACL エントリーも削除されます。 group import Tivoli Access Manager グループを作成するために、既存のレジスト

リー・グループに関する情報をインポートします。

group list 指定したパターンに名前が一致するすべてのグループのグループ名 別のリストを生成します。

表 7. グループ・コマンド (続き)

コマンド 説明

group show 指定したグループに関する詳細を表示します。

ログインおよびログアウトのコマンド

表 8 に、Tivoli Access Manager セキュア・ドメインへのログインまたはログアウト に使用する、login および logout のコマンドをリストします。

表 8. ログイン・コマンド

コマンド 説明

login ユーザーを、特定のドメイン内の特定の管理対象の識別ユーザーと して Tivoli Access Manager policy server に対して認証します。 logout 現在有効な認証信任状があれば、それらを廃棄します。

オブジェクト・コマンド

表 9 は、objects コマンドのリストです。これらのコマンドを使用すると、オブジ ェクトに ACL または保護オブジェクト・ポリシー (POP) を付加することにより、 オブジェクトを保護できます。 表 9. オブジェクト・コマンド コマンド 説明 object access 指定したアクセスが、名前を指定した保護オブジェクトで許可され るかどうかを確認します。 object create 保護オブジェクトを作成します。 object delete 保護オブジェクトを削除します。 object exists 保護オブジェクトが、ポリシー・データベース内、またはアドミニ ストレーション・サービス・プラグインによって管理されるオブジ ェクト・スペース内のいずれに存在するかを確認します。 object list 指定した保護オブジェクトの下にグループ化されているオブジェク トをリストします。指定した保護オブジェクトに関連したすべての 拡張属性をリストすることもできます。 object listandshow 指定した保護オブジェクトの下にグループ化されている子オブジェ クトをリストし、それらの各オブジェクトに関連したすべての値を 表示します。 object modify 既存のオブジェクトを変更します。 object show 保護オブジェクトに関連したすべての値を表示します。

オブジェクト・スペース・コマンド

15ページの表 10 は、objectspace コマンドのリストです。これらのコマンドを使 用すると、サード・パーティー・アプリケーションで使用される保護オブジェクト が入っている追加オブジェクト・スペースを作成できます。