pwchange コマンド
目的
ユーザー認証およびプライバシー・キーを動的に変更します。
構文
pwchange [ -e ] [ -d DebugLevel ] [ -p Protocol ] [ -u KeyUsage ] [ -s ] [ OldPassword NewPassword ] [ IPAddress | HostName | EngineID ]
説明
pwchange コマンドは、ユーザー認証およびプライバシー・キー を動的に変更できるようにするために提供されています。 認証およびプライバシー・キーの動的な構成は、 構文 KeyChange のオブジェクトに set コマンドを実行して行います。 実際のキー (新しいキーまたは古いキー) を回線に直接転送するのは安全でないため、 KeyChange 構文は、そのような転送を必要としないでキーを変更する方法を提供します。 実際のキーを回線に直接転送するのではなく、例えばオブジェクト usmUserAuthKeyChange (例) が設定されていた場合には、 keyChange 値は、古いパスワードと新しいパスワードから導き出す必要があり、 キーが使用されるエージェントの engineID が使用されます。 pwchange コマンドは、keyChange 値の生成に使用されます。
pwchange コマンドは、選択したプロトコルと キー用途により、異なる出力を生成します。 通常 Keychange 値は、変更されるキーの 2 倍の長さです。
フラグ
項目 | 説明 |
---|---|
-d DebugLevel | このフラグは、デバッグ情報の望ましいレベルを指定します。 デバッグ・トレースは、オンまたはオフのいずれかであり、1 は、 デバッグ・トレースをコマンド実行者の画面 (sysout) に生成します。 デフォルトでは、デバッグ・トレースはオフ (0) です。 |
-e | このフラグは、keychange 値を定義するエージェントを、 IP アドレスまたはホスト名ではなく、engineID で識別することを示します。 |
-p Protocol | このフラグは、keychange 値を生成すべきプロトコルを指定します。
有効な値は以下のとおりです。
|
-s | このフラグは、読みやすくするために、スペースを追加して出力を表示することを 指定します。デフォルトでは、データはスペースのないフォーマットで表示されますが、 その理由は、keychange 値をシェル・スクリプトのコマンド・ラインにカット・アンド・ペースト 操作できるようにするためです。 |
-u KeyUsage | このフラグは、keychange 値に意図した用途を示します。
有効な値は以下のとおりです。
|
パラメーター
項目 | 説明 |
---|---|
EngineID | キーを使用する宛先ホストの engineID (1 から 32 のオクテット、 2 から 64 の 16 進数) を指定します。 engineID は 1 から 32 のオクテット (2 から 64 の 16 進数) の文字列でなければなりません。 デフォルトでは、エージェント ID は engineID ではありません。 |
HostName | 鍵を使用する宛先ホストを指定します。 |
IPAddress | 鍵を使用する宛先ホストでエージェントの IPv4 または IPv6 アドレスを指定します。 |
NewPassword | 新しい鍵の生成に使用されるパスワードを指定します。 パスワードの長さは 8 から 255 文字の間にする必要があります。 |
OldPassword | 元の鍵の生成に使用されたパスワードを指定します。 パスワードの長さは 8 から 255 文字の間にする必要があります。 |
セキュリティー
RBAC ユーザーおよび Trusted AIX® ユーザーへの注意: このコマンドは特権操作を実行できます。特権命令を実行できるのは特権ユーザーのみです。 権限および特権について詳しくは、「セキュリティー」の『特権コマンド・データベース』を参照してください。このコマンドに関連した特権および権限のリストについては、lssecattr コマンドまたは getcmdattr サブコマンドの項を参照してください。
例
pwchange コマンドは、選択したプロトコルと 鍵の用途により、異なる出力を生成します。 通常 Keychange 値は、変更される鍵の 2 倍の長さです。
- 以下のコマンドは pwchange の使用法を示しています。
このコマンドの出力は以下のようなものです。pwchange oldpassword newpassword 9.67.113.79
設定する値は、clsnmp コマンドを使用して、 16 進値として渡す必要があります (すべてを 1 行に指定)。Dump of 32 byte HMAC-MD5 authKey keyChange value: 3eca6ff34b59010d262845210a401656 78dd9646e31e9f890480a233dbe1114d
clsnmp set usmUserAuthKeyChange.12.0.0.0.2.0.0.0.0.9.67.113.79.2.117.49 ¥'3eca6ff34b59010d262845210a40165678dd9646e31e9f890480a233dbe1114d¥'h
注: AIX が 16 進値を正しく解釈できるようにするため、 上の例では単一引用符の前に円記号 (¥) が必要です。usmUserTable の索引は、EngineID とユーザー名の ASCII 表現からなります。 この例の場合は、長さが 2 文字で 117.49 に変換されます。注: pwchange は、 鍵および keyChange 値の生成にランダム・コンポーネントを採用しています。 したがって、同じ入力を使用する複数のコマンドは同じ結果にはなりません。 - 以下のコマンドは、IPv6 アドレス指定の pwchange の使用法を示しています。
このコマンドの出力は以下のようなものです。pwchange oldpassword newpassword 2000:1:1:1:209:6bff:feae:6d67
設定する値は、clsnmp コマンドを使用して、 16 進値として渡す必要があります (すべてを 1 行に指定)。Dump of 32 byte HMAC-MD5 authKey keyChange value: 0000774adc53ba4b0427dc2f65568435 721847d1b5cb597daa85d003033afba3
clsnmp set usmUserAuthKeyChange.21.128.0.0.2.2.32.0.0.1.0.1.0.1.2.9.107.255.254.174. 109.103.6.105.112.118.54.117.49 ¥'36133c694155026620637761f835ef616de294f37f758c74ff1544ca3de279b8¥'h
注: AIX が 16 進値を正しく解釈できるようにするため、 上の例では単一引用符の前に円記号 (¥) が必要です。usmUserTable の索引は、EngineID とユーザー名の ASCII 表現からなります。 このケースでは、EngineID は 21 オクテット 128.0.0.2.2.32.0.0.1.0.1.0.1.2.9.107.255.254.174.109.103 です。 また、ユーザー名の ASCII 表記は、このケースでは 6 文字の長さであり、105.112.118.54.117.49 に変換されます。注: pwchange コマンドは、 キーおよび keyChange 値の生成にランダム・コンポーネントを採用しています。 したがって、同じ入力を使用する複数のコマンドは同じ結果にはなりません。