eimadmin コマンド

目的

エンタープライズ ID マッピング (EIM) ドメインを管理します。

構文

eimadmin -a | -p | -l | -m | -e -D | -R | -I | -A | -C [-s switch] [-v verboseLevel] [-c accessType] [-f accessUserType] [-g registryParent] [-i identifier] [-j otherIdentifier] [-k URI] [-n description] [-o information] [-q accessUser] [-r registryName] [-t associationType] [-u registryUser] [-x registryAlias] [-y registryType] [-z registryAliasType] [-d domainDN] [-h ldapHost] [-b bindDN] [-w bindPassword] [-K keyFile [ -P keyFilePassword] [-N certificateLabel]] [-S connectType]

説明

eimadmin コマンドは、AIX® System Services Shell ツールです。 管理者はこれを使用して、EIM ドメインを定義することと、 レジストリー、ID、および ID とレジストリー・ユーザー間の関連を用いてドメインの事前準備をすることができます。 管理者はまた、eimadmin を使用してユーザー (および他の管理者) が EIM ドメインへアクセスできるようにしたり、EIM エンティティーをリストしたり除去したりします。

管理者は、eimadmin コマンドを次の 2 つの方法で使用します。
  • eimadmin コマンドのコマンド・ライン・オプションを用いて情報を組み込む。
  • eimadmin コマンドが参照する入力ファイルに情報を組み込む。

ファイルは手動でも、データベースからレコードをエクスポートすることによっても作成できます。 管理者は、コマンド・ライン・オプションを組み合わせて指定することによって、ユーティリティーの処理を指示します。

eimadmin コマンドは、以下のアクションを実行します。
  • オブジェクトの追加 (-a)
  • オブジェクトのパージ (-d)
  • オブジェクトのリスト (-l)
  • オブジェクトに関連した属性の変更 (-m)
  • 属性の消去 (-e)
上記のアクションは、以下のオブジェクトに関して実行されます。
  • ドメイン (-D)
  • レジストリー (-R)
  • ID (-I)
  • 関連 (-A)
  • アクセス権限 (-C)
注:
  1. eimadmin コマンドは、1 つのアクションと 1 つのオブジェクト・タイプを含んでいなければなりません。 オブジェクトとそれに関して実行するアクションによっては、EIM が追加のパラメーターを必要とすることがあります。
  2. 一部のオプションは複数値属性用です。その場合は属性を複数回指定できます。 その他のオプションは、単一値属性用なので、1 回だけしか属性を指定できません。 (単一値属性用のオプションを繰り返して指定した場合、eimadmin が処理するのは、コマンドの中にある最初の値だけです。) この規定を除いて、パラメーターを指定する順序はどのような順序でもかまいません。
  3. eimadmin コマンドのパラメーターは、いくつかの方法で指定できます。
    • アクションとオブジェクトを連結して、埋め込まれたハイフンを省略する。-aD
    • 両方のハイフンを組み込み、2 つのオプションはスペースで区切る。-a -D
    したがって、次の例は 有効ではありません。 なぜなら、両方のハイフンが組み込まれているのに、-D の前にスペースがないからです。-a-D

フラグ

eimadmin コマンドは、以下のアクション・フラグを受け取ります。

項目 説明
-a オブジェクトを追加します。(オブジェクト定義とその属性を作成します。)
-e 属性を消去します。(単一値属性をクリアするか、複数値属性を除去します。)
-l オブジェクトをリストします。(オブジェクト定義とその属性を検索します。)
-m 属性を変更します。(単一値属性を変更するか複数値属性を追加することによって、既存オブジェクトを変更します。)
-p オブジェクトをパージします。(オブジェクト定義とその属性を除去します。)

eimadmin コマンドは、以下のオブジェクト・フラグを受け取ります。

項目 説明
-A 関連。これは EIM ドメイン内の ID とユーザー ID 間の関係です。
-C アクセス権限。これは EIM 定義の LDAP アクセス制御グループです。
-D ドメイン。これは ID、ユーザー・レジストリー、および ID とユーザー ID 間の関連で、LDAP ディレクトリーに保管されます。
-I ID。これは個人または EIM ドメインに関与しているエンティティーの名前です。
-R レジストリー。これはユーザー・レジストリーの名前です。関連はユーザー・レジストリー内の ID とユーザー ID 間で定義されます。

eimadmin は、以下のプロセス制御フラグを受け取ります。

項目 説明
-s switch switch は、eimadmin コマンド機能が作動する方法に影響を及ぼす値を指定します。以下の値を指定できます。
RMDEPS
ドメインまたはシステム・レジストリーを除去するときに、それに従属しているものも除去します。これにより、 そのドメインで定義されているすべての ID とレジストリーが最初に除去されるので、ドメインの除去が容易になります。 また、これにより、 そのレジストリーで定義されているすべてのアプリケーション・レジストリーが最初に除去されるので、システム・レジストリーの除去が容易になります。
重要: 注意: eimadmin コマンドは、従属しているものを除去する前に、それらが存在していることを知らせないので、このスイッチは注意して使用してください。
-v verboseLevel verboseLevel パラメーターは、eimadmin コマンドが表示するトレースの詳細レベルを制御する 1 から 10 の整数です。 (これは eimadmin ユーティリティーで問題を診断するためのものです。) デフォルト値は 0 で、トレース情報を取らないことを示しています。整数値 1 から 10 を指定して、 トレース情報の量を少ないものから多いものにすることができます。 ユーティリティーはこの値を検査して、そのレベル以下で定義されているトレース情報を表示します。 以下のレベルは特定の情報を表示させます。
  • 3 を指定すると EIM API 呼び出しパラメーターと戻り値を表示します。
  • 6 を指定するとオプション値と入力ファイル・ラベルを表示します。
  • 9 を指定するとユーティリティー・ルーチンのエントリー・ステートメントと終了ステートメントを表示します。
eimadmin コマンドは、以下のテーブルにリストされている必須属性フラグおよびオプション属性フラグを受け取ります。 フラグ・オプションは、示されていない限り、単一値です。オプションを複数回指定すると、ユーティリティーは最初のものだけを処理します。
注:
  1. これらの属性は、コマンド・オプションとしてまたは入力ファイルのフィールドとして指定できます。 コマンド・オプションとして指定する場合は、ブランクを含む値は引用符 ((") または (')) で囲む必要があります。 引用符は単一ワード値ではオプションです。 引用符を付けないで複数ワード値を指定すると、結局、コマンド・ライン・オプションが切り捨てられます。最初のワードの後の値はすべて切り捨てられます。
  2. 次の特殊文字は registryNameregistryParent、または identifier では使用できません。 
    , = + < > # ; ¥ *
項目 説明
-c accessType EIM ドメイン内でユーザーがもつアクセス権限のスコープを指定します。accessType は、以下の値の 1 つでなければなりません。
ADMIN
管理アクセスを指定します。
REGISTRY
レジストリー・アクセスを指定します。REGISTRY を指定した場合は、レジストリー値 (-r) も指定する必要があります。レジストリー値は特定のレジストリー名であっても、すべてのレジストリーへのアクセスを示すアスタリスク (*) であってもかまいません。
IDENTIFIER
ID アクセスを指定します。
MAPPING
マッピング操作アクセスを指定します。
-f accessUserType アクセス・ユーザー名のタイプを指定します。accessUserType は、以下のタイプの 1 つでなければなりません。
DN
accessUser は識別名です。
KERBEROS
accessUser は Kerberos ID です。
-g registryParent システム・レジストリーの名前を指定します。アプリケーション・レジストリーはシステム・レジストリーのサブセットです。アプリケーション・レジストリーを追加する場合は、-r オプションおよび -g オプションを使用しなければなりません。-r 値は、定義するアプリケーション・レジストリーです。 -g オプションは、既に存在するシステム・レジストリーです。
-i identifier 固有 ID 名を指定します。例: John Day
-j otherIdentifier 非固有 ID 名を指定します。例: John
注: このオプションを複数回指定して、 複数の非固有 ID を割り当てることができます。
-k URI レジストリーの Universal Resource Identifier (URI) を指定します (存在する場合)。
-n description ドメイン、レジストリー、ID、または関連に関連付ける任意のテキスト (ユーザー提供) を指定します。
注: 関連付け先に対してだけユーザー説明を定義することができます。
-o information ID または関連に関連付ける追加情報を指定します。
注: 関連付け先に対してだけユーザー情報を定義することができます。このオプションを複数回指定して、複数の情報断片を割り当てることができます。
-q accessUser 指定された accessUserType に応じて、EIM アクセスで用いるユーザーの識別名 (DN) または Kerberos ID を指定します。
-r registryName レジストリーの名前を指定します。新規レジストリーを追加するとき、-g オプションも一緒に指定しない限り、 eimadmin は、そのレジストリーをシステム・レジストリーとして処理します。-g オプションを指定すると、eimadmin は、そのレジストリーをアプリケーション・レジストリーとして処理します。
-t associationType ID とレジストリー間の関係を指定します。associationType は、以下の 1 つでなければなりません。
ADMIN
管理目的用の ID にユーザー ID を関連付けることを指定します。
SOURCE
そのユーザー ID が検索操作の (からの) ソースであることを示します。
TARGET
そのユーザー ID が検索操作の (に対する) ターゲットであることを示します。
注: このオプションを複数回指定して、複数の関係を定義することができます。
-u registryUser レジストリー内のユーザー定義のユーザー ID を指定します。
-x registryAlias レジストリーの別の名前を指定します。複数の別名を割り当てるには、このオプションを複数回指定する必要があります。
-y registryType レジストリーのタイプを指定します。eimadmin が認識する定義済みタイプには、以下のものが含まれます。
  • RACF®
  • OS/400®
  • KERBEROS (大/小文字を無視する場合)
  • KERBEROSX (大/小文字を正確に識別する場合)
  • AIX
  • NDS
  • LDAP
  • PD (Policy Director)
  • WIN2K
以下の 2 つの正規化方式のうちの 1 つを用いて、固有の OID を連結することによって独自のタイプを作成することもできます。
  • caseIgnore
  • caseExact
-z registryAliasType レジストリー別名のタイプを指定します。独自の値を作ることも、以下の推奨値のうちの 1 つを使用することもできます。
  • DNSHostName
  • KerberosRealm
  • IssuerDN
  • RootDN
  • TCPIPAddress
  • LdapDnsHostName
注: コマンド・ライン・オプションのセットまたは単一入力データ・レコードに対して、eimadmin コマンドは registryAliasType の最初の指定だけを認識します。しかし、eimadmin コマンドは、 複数のレジストリー別名を認識して、それらのすべてを単一の registryAliasType に関連付けます。

eimadmin コマンドは、以下の接続タイプ・フラグを受け取ります。

項目 説明
-b bindDN LDAP との簡易バインドに使用する識別名を指定します。
-d domainDN EIM ドメインの完全識別名 (DN) を指定します。domainDN は、'ibm-eimDomainName=' で始まり以下のエレメントから構成されます。
domainName
作成する EIM ドメインの名前です。例: MyDomain
親の識別名
ディレクトリー情報ツリー階層内のあるエントリーのすぐ上のエントリーの識別名 (o=ibm,c=us など) です。例: 
 ibm-eimDomainName=MyDomain,o=ibm,c=us
-h ldapHost EIM データを制御している LDAP サーバーの URL とポートを指定します。フォーマットは次のとおりです。
ldap://some.ldap.host:389  
ldaps://secure.ldap.host:636
-K keyFile SSL キー・データベース・ファイルの名前 (絶対パス名を含む) を指定します。ファイルが見つからない場合は、認証証明書が入っている RACF キー・リングの名前であると想定されます。この値は、 セキュア LDAP ホスト (接頭部が ldaps://) との SSL 通信で必要になります。例: 
/u/eimuser/ldap.kdb
-N certificateLabel キー・データベース・ファイルまたは RACF キー・リングから使用する証明書を指定します。このオプションを指定しないと、ファイルまたはリング内でデフォルトとマークされた証明書が使用されます。
-P keyFilePassword キー・データベース・ファイル内の暗号化された情報にアクセスするために必要なパスワードを指定します。代わりに、file:// を用いて stash ファイルをプレフィックス変換することによって、 このオプションで SSL パスワード stash ファイルを指定することもできます。例: 

secret  or file:///u/eimuser/ldapclient.sth
注: コマンド・ラインで、-K オプションにキー・データベース・ファイルの名前を指定して、-P オプションは指定しないと、eimadmin コマンドは、キー・ファイルのパスワードを要求するプロンプトを出します。
-S connectType LDAP サーバーに対する認証方式を指定します。connectType は、以下の値の 1 つでなければなりません。
  • SIMPLE (バインド DN とパスワード)
  • CRAM-MD5 (バインド DN と保護パスワード)
  • EXTERNAL (デジタル証明書)
  • GSSAPI (Kerberos)
指定しないと、connectType のデフォルトは SIMPLE になります。接続タイプ GSSAPI では、 デフォルトの Kerberos 信任状が使用されます。 この信任状は、eimadmin を実行する前に、kinit などのサービスを使用して確立されている必要があります。KINIT および関連情報については、「AIX Authentication Service Administration」を参照してください。
-w bindPassword バインド DN と関連したパスワードを指定します。

ユーティリティーが必要とする接続情報には、EIM ドメイン (-d) とその制御サーバー (-h)、 サーバーに対する認証 (バインド) に用いる ID (-b-w、または -K-P-N)、および認証方式 (-S) が含まれます。

ドメイン (-D) 以外のオブジェクト・タイプについては、ドメイン、サーバー、およびバインド ID の指定はオプションです。これらが指定されないと、情報は RACF プロファイルから取得されます。
注: 接続情報のいずれかを指定する場合は、またその接続タイプで必要な値のフルセットを指定する必要があります。1 つ以上の値 (すべてではない) を省略すると、エラーになります。次のテーブルは、eimadmin コマンドで指定するときの、接続タイプおよびホスト・タイプごとに必要な値とオプションの値を示しています。
接続タイプ/ホスト・タイプ 必要な値 オプションの値
SIMPLE または CRAM-MD5/セキュア (ldaps://) -d, -h, -b, -w, -K, -P -N
SIMPLE または CRAM-MD5/非セキュア (ldap://) -d, -h, -b, -w  
EXTERNAL/セキュア (ldaps://) -d, -h, -K, -P, -S -N
EXTERNAL/非セキュア (ldap://) サポートされない サポートされない
GSSAPI/セキュア (ldaps://) -d, -h, -K, -P, -S -N
GSSAPI/非セキュア (ldap://) -d, -h, -S  
注:
  1. 上記のテーブルには次の 2 つの例外があります。
    • 入力ファイルを用いて値を指定する場合は、ドメイン・オプション (-d) はドメイン機能に対しては必要ありません。
    • -K で RACF キー・リングを指定すると、SSL キー・データベース・ファイル・パスワードまたは stash ファイル (-P) は必要ありません。
  2. eimadmin コマンドは、-w が必要であるのにコマンド・ラインでそれが指定されなかった場合は、簡易 BIND パスワードを要求するプロンプトを出して、-P が必要であるのにコマンド・ラインでそれが指定されなかった場合は、SSL キー・データベース・ファイル・パスワードを要求するプロンプトを出します。
以下のテーブルに、オブジェクト・タイプおよびアクション・ペアごとに必要なフラグとオプションのフラグが要約されています。ほとんどのオプションの値は、コマンド・ラインで指定する代わりに入力ファイルでも指定することができます。
オブジェクト・タイプ (アクション) フラグ コメント
D (a)
  • 必要: dh
  • オプション: n
 ドメインを追加します。
D (p)
  • 必要: dh
  • オプション: s
 ドメインを除去します。ドメインが空でない場合は、-s RMDEPS を組み込みます。
D (l)
  • 必要: dh
  • オプション: なし
ドメインをリストします。すべてのドメインをリストするには、-d* を指定します。
D (m)
  • 必要: dh
  • オプション: n
 ドメイン属性を変更または追加します。
D (e)
  • 必要: dh
  • オプション: n
 ドメイン属性を除去または消去します。
R (a)
  • 必要: ry
  • オプション: gknxz
 レジストリーを追加します。-g も一緒に指定されないと (この場合、-r 値は新規アプリケーション・レジストリーを示しています)、-r で指定された値は新規システム・レジストリーと想定されます。
R (p)
  • 必要: r
  • オプション: s
 レジストリーを除去します。
R (l)
  • 必要: r
  • オプション: y
 レジストリーをリストします。指定された -r 値検索フィルター (これにはワイルドカード * が 含まれている可能性もあります) と一致するドメイン内のすべてのレジストリー・エントリーを戻します。
R (m)
  • 必要: r
  • オプション: knxz
 レジストリー属性 (レジストリー別名を含む) を変更または追加します。
R (e)
  • 必要: r
  • オプション: knxz
 レジストリー属性 (レジストリー別名を含む) を除去または消去します。
I (a)
  • 必要: i
  • オプション: jno
 ID を追加します。
I (p)
  • 必要: i
  • オプション: なし
ID を除去します。
I (l)
  • 必要: i
  • オプション: なし
 固有 ID 名別に ID をリストします。 指定された -i 値検索フィルター (これにはワイルドカード * が 含まれている可能性もあります) と一致するドメイン内のすべての ID エントリーを戻します。
I (l)
  • 必要: j
  • オプション: なし
非固有 ID 名別に ID をリストします。 指定された -j 値検索フィルター (これにはワイルドカード * が 含まれている可能性もあります) と一致する非固有 ID をもったドメイン内のすべての ID エントリーを戻します。
I (m)
  • 必要: i
  • オプション: jno
 ID 属性を変更または追加します。
I (e)
  • 必要: i
  • オプション: jno
 ID 属性を除去または消去します。
A (a)
  • 必要: irut
  • オプション: no
 関連を追加します。-t オプションを繰り返して、複数の関連タイプを追加することができます。 -n および -o フラグは TARGET 関連にだけ関連しています。
A (p)
  • 必要: irut
  • オプション: なし
 関連を除去します。-t オプションを繰り返して、複数の関連タイプを除去することができます。
A (l)
  • 必要: i
  • オプション: t
 関連をリストします。指定された -i 固有 ID のドメイン内のすべての関連を戻します。 特定の関連タイプに戻されるエントリーを制限するには、-t 値を指定します。
A (m)
  • 必要: ru
  • オプション: no
 関連属性を変更または追加します。-n および -o フラグは TARGET 関連にだけ関連しています。
A (e)
  • 必要: ru
  • オプション: no
 関連属性を除去または消去します。-n および -o フラグは TARGET 関連にだけ関連しています。
C (a)
  • 必要: cqf
  • オプション: r
 アクセスを追加します。アクセス・タイプ REGISTRY に対して、特定の -r レジストリー値、 またはドメイン内のすべてのレジストリーへのアクセスを示すワイルドカード * を提供します。
C (p)
  • 必要: cqf
  • オプション: r
 アクセスを除去します。アクセス・タイプ REGISTRY に対して、特定の -r レジストリー値、 またはドメイン内のすべてのレジストリーへのアクセスを示すワイルドカード * を提供します。
C (l)
  • 必要: c
  • オプション: r
 タイプ別にアクセスをリストします。アクセス・タイプ REGISTRY に対して、特定の -r レジストリー値、 またはドメイン内のすべてのレジストリーへのアクセスを示すワイルドカード * を提供します。
C (l)
  • 必要: qf
  • オプション: なし
 ユーザー別にアクセスをリストします。

終了状況

eimadmin コマンドは完了すると、以下の終了コードのうちの 1 つを戻します。

項目 説明
0 成功。
4 1 つ以上のエラーが起こったが、すべてのレコードが処理された (入力ファイルを指定した場合)。
8 入力ファイル (指定された場合) の最後に到達する前に、処理を停止させる重大エラーが発生した。

  1. 単一ドメインをリストするには、次のように入力します。
    eimadmin -lD -h ldap://my.server -b "cn=EIM admin,o=MyCompany,c=US" -d "ibm-eimDomainName=My Employees,o=My Company,c=US"
    これは次の出力に似たものを戻します。
    
domain name: My Employees 
domain DN: ibm-eimDomainName=My Employees,o=My Company,c=US 
description: employees in my company
  2. 単一レジストリーをリストするには、次のように入力します。
    eimadmin -lR -r MyRegistry
    これは次の出力に似たものを戻します。
    
registry: MyRegistry 
registry kind: APPLICATION 
registry parent: MySystemRegistry 
registry type: RACF 
description: my racf registry 
URI: ldap://some.big.host:389/profileType=User,cn=RACFA,o=My Company,c=US 
registry alias: TCPGROUP 
registry alias type: DNSHostName
  3. ID をリストするには、次のように入力します。
    eimadmin -lI -i "J.C.Smith"
    これは次の出力に似たものを戻します。
    
unique identifier: J.C.Smith 
other identifier: J.C.Smith 
other identifier: Joseph 
other identifier: Joe 
description: 004321 
information: D01 
information: 1990-04-11
  4. 宛先関連をリストするには、次のように入力します。
    eimadmin -lA -i "J.C.Smith" -t target
    これは次の出力に似たものを戻します。
    
unique identifier: J.C.Smith 
registry: MyRegistry 
registry type: RACF 
association: target 
registry user: SMITH 
description: TSO 
information: 1989-08-01 
information: ADMIN1
  5. アクセスをリストするには、次のように入力します。
    eimadmin -lC -c admin
    これは次の出力に似たものを戻します。
    
access user: cn=JoeUser,o=My Company,c=us 
access user: cn=admin1,o=My Company,c=us 
access user: cn=admin2,o=My Company,c=us

位置

/usr/bin/eimadmin

セキュリティー

LDAP 管理者には、eimadmin コマンドを使用して、それが提供するすべての機能にアクセスする権限があります。EIM 管理者は、以下の条件が真である限りは、コマンドを使用することができます。
  • EIM ドメインを収容している LDAP サーバーに定義された BIND 識別名およびパスワードをもっている。
  • BIND 識別名が次の EIM 権限のうちの 1 つをもっている。
    • EIM 管理者
    • EIM レジストリー管理者
    • EIM レジストリー X 管理者
    • EIM ID 管理者

標準エラー

eimadmin コマンドは、パスワードを要求するため、またはエラーを示すためにメッセージを表示します。入力ファイルを使用していない場合は、正常終了のメッセージを受信することは期待しないでください。入力ファイル内のレコードを処理するとき、eimadmin は、50 レコードごとの進行中メッセージに加えて、処理の開始時と停止時に情報メッセージを表示します。

注: eimadmin コマンドは、リスト (-l) 要求に対して 1 つ以上のデータ行を戻します。 ただし、一致する EIM エントリーがないことが分かったか、またはバインド ID がそのデータをアクセスすることを許可されていない場合を除きます。