pwchange 命令

在线编辑

用途

动态更改用户认证和专用密钥。

语法

pwchange [ -e ] [ -dDebugLevel ][ -p 协议 ] [ -uKeyUsage ][ -s ] [ OldPasswordNewPassword ][ IPAddress || HostName | EngineID ]

描述

提供 pwchange 命令以使用户认证和专用密钥的动态更改更为容易。 对认证和专用密钥的动态配置是通过对于语法 KeyChange 的对象执行 set 命令来实现的。 keyChange 语法提供一种不需要实际密钥(新的密钥或旧的密钥)直接在电缆上流动的方法,直接流动不安全。 取而代之的是,如果一个对象,例如要设置 usmUserAuthKeyChange(示例),keyChange 值必须从新的和旧的密码以及将使用其密钥的代理的 engineID 中派生。 pwchange 命令用于生成 keyChange 值。

pwchange 命令生成不同的输出,取决于选择哪个协议和密钥用法。 典型的,Keychange 值的长度是被更改的密钥长度的两倍。

标志

描述
-d DebugLevel 此标志表示期望得到的调试信息级别。 调试跟踪不是打开就是关闭:值 1 促使调试跟踪生成到命令发出者 (sysout) 的屏幕。 缺省情况下调试跟踪是关闭的 (0)。
-e 此标志指示定义 keychange 值的代理由 engineID 标识而不是由 IP 地址或主机名标识。
-p 协议 此标志指示生成 keychange 值的协议。 有效值是:
HMAC-MD5
为使用 HMAC-MD5 认证协议生成 keychange 值。
HMAC-SHA
为使用 HMAC-SHA 认证协议生成 keychange 值。
全部
生成 HMAC-MD5 和 HMAC-SHA 的 keychange 值。
缺省值为生成 HMAC-MD5 协议 keychange 值。
-s 此标志指示输出数据显示时应附以额外的空格以提高可读性。 缺省情况下,数据以压缩格式显示,使对在 shell 脚本中的命令行上的 keychange 值的剪贴操作更加容易。
-u KeyUsage 此标志指示 keychange 值的用法。 有效值是:
auth
认证 keychange 值。
priv
机密 keychange 值。
全部
认证 keychange 值和专用 keychange 值。
注: 为认证生成的 keychange 值与为隐私生成的 keychange 值之间没有任何差别。 但是,专用 keychange 值的长度取决于 keychange 值是否已本地化。

参数

描述
EngineID 指定使用密钥的目标主机的 engineID(1-32 个八位元,2-64 个十六进制数字)。 engineID 必须是有 1-32 个八位元的字符串(2-64 个十六进制数字)。 缺省值为代理标识而不是 engineID。
HostName 指定使用密钥的目标主机。
IPAddress 指定目标主机上将使用密钥的代理程序的 IPv4 或 IPv6 地址。
NewPassword 指定用于生成新密钥的密码。 此密码的长度必须在 8 到 255 个字符之间。
OldPassword 指定用于生成初始密钥的密码。 此密码的长度必须在 8 到 255 个字符之间。

安全性

RBAC 用户注意: 此命令可以执行特权操作。 只有特权用户才能执行特权限定的操作。 有关权限与特权的更多信息,请参阅安全性中的“特权限定的命令数据库”。 有关与该命令相关联的特权和权限的列表,请参阅 lssecattr 命令或 getcmdattr 子命令。

示例

pwchange 命令生成不同的输出,取决于选择哪个协议和密钥用法。 典型的,Keychange 值的长度是被更改的密钥长度的两倍。

  1. 以下命令说明如何使用 pwchange 命令:
    pwchange oldpassword newpassword 9.67.113.79
    此命令的输出类似于下列显示:
    Dump of 32 byte HMAC-MD5 authKey keyChange value: 
  3eca6ff34b59010d262845210a401656 
  78dd9646e31e9f890480a233dbe1114d
    要设置的值应使用 clsnmp 命令(全部都在一行上)以十六进制的值发送:
     clsnmp set usmUserAuthKeyChange.12.0.0.0.2.0.0.0.0.9.67.113.79.2.117.49 
 \'3eca6ff34b59010d262845210a40165678dd9646e31e9f890480a233dbe1114d\'h
    注: 前面示例中的反斜杠在单引号前是必需的,以使 AIX 能够正确地解释十六进制值。
    usmUserTable 索引由 EngineID 和用户名的 ASCII 表示组成。 在此情况中它是两个字符长并被转换为 117.49。
    注: pwchange 在生成密钥和 keyChange 值时合并了一个随机组件。 同样的输入下,来自多个命令的输出不产生重复的结果。
  2. 以下命令说明如何将 pwchange 命令与 IPv6 地址配合使用:
    pwchange oldpassword newpassword 2000:1:1:1:209:6bff:feae:6d67
    此命令的输出类似于下列显示:
    Dump of 32 byte HMAC-MD5 authKey keyChange value:
  0000774adc53ba4b0427dc2f65568435
  721847d1b5cb597daa85d003033afba3
    要设置的值应使用 clsnmp 命令(全部都在一行上)以十六进制的值发送:
    clsnmp set usmUserAuthKeyChange.21.128.0.0.2.2.32.0.0.1.0.1.0.1.2.9.107.255.254.174.
109.103.6.105.112.118.54.117.49  \'36133c694155026620637761f835ef616de294f37f758c74ff1544ca3de279b8\'h
    注: 前面示例中的反斜杠在单引号前是必需的,以使 AIX 能够正确地解释十六进制值。
    usmUserTable 的索引由 EngineID(在此情况下为 21 个八位元:128.0.0.2.2.32.0.0.1.0.1.0.1.2.9.107.255.254.174.109.103)和用户名的 ASCII 表示(在此情况下长度为 6 个字符并且转换为 105.112.118.54.117.49)构成。
    注: pwchange 命令在生成密钥和 keyChange 值时合并了一个随机组件。 同样的输入下,来自多个命令的输出不产生重复的结果。