eimadmin 命令
用途
管理企业标识映射 (EIM) 域。
语法
eimadmin -a | -p | -l | -m | -e -D | -R | -I | -A | -C [-s 开关] [-v verboseLevel] [-c 访问类型] [-f 访问用户类型] [-g 注册表父] [-i 标识符] [-j otherIdentifier] [-k 通用资源识别号] [-n 描述] [-o 信息] [-q accessUser] [-r registryName] [-t associationType] [-u 注册用户] [-x 注册表别名] [-y registryType] [-z registryAliasType] [-d domainDN] [-h ldapHost] [-b bindDN] [-w bindPassword] [-K keyFile [ -P keyFilePassword] [-N certificateLabel]] [-S connectType]
描述
eimadmin命令是AIX系统服务 Shell 工具。 管理员可使用该命令定义 EIM 域并以注册表、标识以及标识和注册表用户之间的关联来填充域。 管理员还可以使用 eimadmin 来授予用户 (和其他管理员) 对 EIM 域的访问权,或者列示或除去 EIM 实体。
管理员可以通过两种方式使用 eimadmin 命令:
- 通过在 eimadmin 命令上包含带有命令行选项的信息
- 通过在 eimadmin 命令引用的输入文件中包含信息
您可以手动创建文件或通过从数据库导出记录来创建。 管理员通过指定命令行选项的组合指导实用程序处理。
eimadmin 命令可以执行以下操作:
- 添加对象 (-a)
- 清除对象 (-d)
- 列出对象 (-l)
- 修改与对象关联的属性 (-m)
- 擦除属性 (-e)
- 域 (-D)
- 注册表 (-R)
- 标识 (-I)
- 关联 (-A)
- 访问权限 (-C)
注意:
- 每个 eimadmin 命令必须包含一个操作和一个对象类型。 根据对象及您在该对象上执行的操作,EIM 可能需要其他参数。
- 一些选项针对多值属性,您可以多次指定这些属性。 其他选项针对单值选项,对于这些属性您只可以指定一次。 (如果重复针对单值属性的选项,那么 eimadmin 仅处理它在命令中迂到的第一个值。) 除了这些规定之外,您指定参数的顺序就不重要了。
- 您可以通过多种方式对 eimadmin 命令的参数进行编码:
- 并置操作和对象,省略嵌入的连字符:
-aD - 包含两个连字符,并使用空格分隔两个选项:
-a -D
-a-D - 并置操作和对象,省略嵌入的连字符:
标志
eimadmin 命令执行以下操作标志。
| 项 | 描述 |
|---|---|
| 一 | 添加对象。 (创建对象定义及其属性。) |
| -e | 擦除属性。 (清除单值属性或除去多值属性。) |
| -l | 列示对象。 (检索对象定义及其属性。) |
| -M | 修改属性。 (通过更改单值属性或添加多值属性来更改现有对象的属性。) |
| -p | 清除对象。 (除去对象定义及其属性。) |
eimadmin 命令采用以下对象标志。
| 项 | 描述 |
|---|---|
| -一个 | 关联。 这是 EIM 域中标识与用户标识之间的关系。 |
| -C | 访问权限。 这是 EIM 定义的 LDAP 访问控制组。 |
| -D | 域。 这是存储在 LDAP 目录中的标识、用户注册表及标识与用户标识之间关联的集合。 |
| -我 | 标识。 这是参与 EIM 域的人员或实体的名称。 |
| -R | 注册表。 这是用户注册表的名称。 在用户注册表中定义标识与用户标识之间的关联。 |
eimadmin 命令采用以下处理控制标志。
| 项 | 描述 |
|---|---|
| -s 交换机 | switch 指定影响 eimadmin 命令功能运行方式的值。 您可以指定以下值:
|
| -v verboseLevel | verboseLevel 参数是从 1 到 10 的整数,用于控制 eimadmin 命令显示的跟踪详细信息量。 (用于诊断 eimadmin 实用程序中的问题。) 缺省值 0 表示无跟踪信息。 您可以指定一个从 1 到 10 的整数值,指定从跟踪信息量的最小值到最大值。 实用程序将检查值并显示为该级别及所有较低级别定义的跟踪信息。 以下级别触发特定信息:
|
eimadmin 命令采用下表中列出的必需和可选属性标志。 标志选项是单值的,除非另外指出。 如果您多次指定一个选项,那么实用程序只处理第一次出现的值。
注意:
- 您可以指定这些属性作为命令选项或作为输入文件中的字段。 如果您正在指定命令选项,那么必须用引号 (") 括起带有嵌入空格的值 或 (')。 对于单字值,引号是可选的。 指定不带引号的多字值实际上将截断命令行选项;第一个字之后的值将被截掉。
- 以下特殊字符不允许出现在 registryName、
registryParent 或 identifier 中:
, = + < > # ; \ *
| 项 | 描述 |
|---|---|
| -c accessType | 指定用户对于 EIM 域拥有的访问权限范围。 accessType 必须为以下值之一:
|
| -f accessUserType | 指定访问用户名的类型。 accessUserType
必须是以下类型之一:
|
| -g registryParent | 指定系统注册表的名称。 应用程序注册表是系统注册表的子集。 如果要添加应用程序注册表,那么必须使用 -r 选项和 -g 选项。 -r 值是要定义的应用程序注册表。 -g 选项是预先存在的系统注册表。 |
| -i 标识 | 指定唯一标识名称。 例如:John Day。 |
| -j otherIdentifier | 指定非唯一标识名称。 例如:John。注: 您可以多次指定此选项以分配多个非唯一标识。
|
| -k 通用资源识别号 | 为注册表(如果存在)指定统一资源标识 (URI)。 |
| -n 描述 | 指定要与域、注册表、标识或关联相关联的任意文本(您提供该文本)。 注: 您可以仅为目标关联定义用户描述。
|
| -o 信息 | 指定要与标识或关联相关联的附加信息。 注: 您只能为目标关联定义用户信息。 您可以多次指定该选项以指定多条信息。
|
| -q accessUser | 根据所指定的 accessUserType,指定具有 EIM 访问权的用户专有名称 (DN) 或 Kerberos 标识。 |
| -r registryName | 指定注册表名称。 添加新注册表时,除非您还指定了 -g 选项,否则 eimadmin 会将注册表视为系统注册表。 如果指定 -g 选项,那么 eimadmin 会将注册表视为应用程序注册表。 |
| -t associationType | 指定标识与注册表之间的关系。 associationType 必须为以下之一:
注: 您可以多次指定此选项以定义多个关系。
|
| -u registryUser | 指定在注册表中定义的用户的用户标识。 |
| -x registryAlias | 为注册表指定另一名称。 您必须多次指定该选项以指定多个别名。 |
| -y registryType | 指定注册表类型。 eimadmin 可识别的预定义类型包括以下内容:
|
| -z registryAliasType | 为注册表别名指定类型。 您可以创建自己的值或使用以下建议值之一:
注意:对于一组命令行选项或单个输入数据记录,"eimadmin命令只识别registryAliasType的第一个指定。 不过,"eimadmin命令确实可以识别多个注册表别名,并将所有注册表别名与单个注册表别名registryAliasType相关联。
|
eimadmin 命令采用以下连接类型标志。
| 项 | 描述 |
|---|---|
| -b bindDN | 指定专有名称以用于到 LDAP 的简单绑定。 |
| -d domainDN | 指定 EIM 域的完整专有名称 (DN)。 domainDN 以 'ibm-eimDomainName=' 开头并由以下元素组成:
|
| -h ldapHost | 为控制 EIM 数据的 LDAP 服务器指定 URL 及端口。 格式是: |
| -K keyFile | 指定 SSL 密钥数据库文件的名称,包括完整路径名。 如果找不到该文件,那么假定它是包含认证证书的 RACF 密钥环的名称。 该值对于与安全 LDAP 主机进行 SSL 通信是必需的(前缀为 ldaps://)。 例如: |
| -N certificateLabel | 指定要从密钥数据库文件或 RACF 密钥环使用的证书。 如果未指定该选项,那么使用在文件或环中标记为缺省值的证书。 |
| -P keyFilePassword | 指定要访问密钥数据库文件中的加密信息所必需的密码。 或者,您可以为该选项指定 SSL 密码存储文件,方法是将 file:// 作为存储文件名的前缀。 例如:注: 如果在命令行上为 -K 选项而不是 -P 选项指定密钥数据库文件的名称,那么 eimadmin 命令将提示输入密钥文件密码。
|
| -S connectType | 指定对 LDAP 服务器认证的方法。 connectType 必须是下列其中一个值:
|
| -w bindPassword | 指定与绑定专用名称关联的密码。 |
实用程序所需的连接信息包括 EIM 域 (-d) 及其控制服务器 (-h) ,用于向服务器进行认证 (绑定) 的身份 (-b,-w; 或 -K,-P,-N) 以及认证方法 (-S)。
对于域以外的对象类型 (-D) ,指定域,服务器和绑定身份是可选的。 如果未指定这些值,那么将从 RACF 概要文件中检索信息。
注: 如果指定了任何连接信息,那么还必须指定该连接类型所需的完整值集。 省略一个或多个(并非全部)值将导致错误。 下表显示了使用 eimadmin 命令指定的每个连接和主机类型的必需值和可选值。
| 连接类型/主机类型 | 必需值 | 可选值 |
|---|---|---|
SIMPLE 或 CRAM-MD5/安全(ldaps://) |
-d, -h, -b, -w, -K, -P | -N |
SIMPLE 或 CRAM-MD5/不安全(ldap://) |
-d, -h, -b, -w | |
EXTERNAL/安全 (ldaps://) |
-d, -h, -K, -P, -S | -N |
EXTERNAL/不安全 (ldap://) |
不支持 | 不支持 |
GSSAPI/安全 (ldaps://) |
-d, -h, -K, -P, -S | -N |
GSSAPI/不安全 (ldap://) |
-d, -h, -S |
注意:
- 上表有两个例外情况:
- 如果通过输入文件指定值,那么域函数不需要域选项 (-d)。
- 当-K指定RACF密钥环时,不需要 SSL 密钥数据库文件密码或储藏文件(-P)。
- 如果需要简单绑定密码并且未在命令行上指定 -w ,那么 eimadmin 命令会提示输入该密码; 如果需要 SSL 密钥数据库文件密码并且未在命令行上指定 -P ,那么会提示输入该密码。
下表概括了每个对象类型和操作对的必需及可选标志。 您可以在输入文件中为大多数选项指定值,而不是在命令行上指定。
| 对象类型(操作) | 标志 | 注释 |
|---|---|---|
| D (a) |
|
添加域。 |
| D (p) |
|
除去域。 如果域非空,那么包含 -s RMDEPS。 |
| D (l) |
|
列示域。 指定 -d* 列示所有域。 |
| D (m) |
|
修改或添加域属性。 |
| D (e) |
|
除去或清除域属性。 |
| R (a) |
|
添加注册表。 假定为 -r 指定的值是新的系统注册表,除非还指定了 -g ,在这种情况下, -r 值指示新的应用程序注册表。 |
| R (p) |
|
除去注册表。 |
| R (l) |
|
列示注册表。 返回域中与指定的 -r 值搜索过滤器 (可能包含通配符 *) 匹配的所有注册表项。 |
| R (m) |
|
修改或添加注册表属性,包括注册表别名。 |
| R (e) |
|
除去或清除注册表属性,包括注册表别名。 |
| I (a) |
|
添加标识。 |
| I (p) |
|
除去标识。 |
| I (l) |
|
按唯一标识名称列示标识。 返回域中与指定的 -i 值搜索过滤器 (可能包含通配符 *) 匹配的所有标识条目。 |
| I (l) |
|
按非唯一标识名称列示标识。 返回域中具有与指定的 -j 值搜索过滤器 (可能包含通配符 *) 匹配的非唯一标识的所有标识条目。 |
| I (m) |
|
修改或添加标识属性。 |
| I (e) |
|
除去或清除标识属性。 |
| A (a) |
|
添加关联。 您可以重复 -t 选项以添加多个关联类型。 -n 和 -o 标志仅与 TARGET 关联相关。 |
| A (p) |
|
除去关联。 您可以重复 -t 选项以除去多个关联类型。 |
| A (l) |
|
列示关联。 返回域中指定 -i 唯一标识的所有关联。 指定 -t 值以将返回的条目限制为给定的关联类型。 |
| A (m) |
|
修改或添加关联属性。 -n 和 -o 标志仅与 TARGET 关联相关。 |
| A (e) |
|
除去或清除关联属性。 -n 和 -o 标志仅与 TARGET 关联相关。 |
| C (a) |
|
添加访问权。 对于访问权类型 REGISTRY ,请提供特定 -r 注册表值或指示对域中所有注册表的访问权的通配符 * 。 |
| C (p) |
|
除去访问权。 对于访问权类型 REGISTRY ,请提供特定 -r 注册表值或指示对域中所有注册表的访问权的通配符 * 。 |
| C (l) |
|
按类型列示访问权。 对于访问权类型 REGISTRY ,请提供特定 -r 注册表值或指示对域中所有注册表的访问权的通配符 * 。 |
| C (l) |
|
按用户列示访问权。 |
退出状态
eimadmin 命令在完成时返回下列其中一个退出代码:
| 项 | 描述 |
|---|---|
| 重大安全事件数量 | 成功。 |
| 4 | 遇到一个或多个错误,但如果您指定了输入文件,那么处理所有记录。 |
| 8 周 | 出现严重错误,该错误导致在到达输入文件(若指定)结束部分之前处理即停止。 |
示例
- 要列示单一域,请输入:
这将返回与以下输出类似的内容:eimadmin -lD -h ldap://my.server -b "cn=EIM admin,o=MyCompany,c=US" -d "ibm-eimDomainName=My Employees,o=My Company,c=US"domain name: My Employees domain DN: ibm-eimDomainName=My Employees,o=My Company,c=US description: employees in my company - 要列示单一注册表,请输入:
这将返回与以下输出类似的内容:eimadmin -lR -r MyRegistryregistry: MyRegistry registry kind: APPLICATION registry parent: MySystemRegistry registry type: RACF description: my racf registry URI: ldap://some.big.host:389/profileType=User,cn=RACFA,o=My Company,c=US registry alias: TCPGROUP registry alias type: DNSHostName - 要列示标识,请输入:
这将返回与以下输出类似的内容:eimadmin -lI -i "J.C.Smith"unique identifier: J.C.Smith other identifier: J.C.Smith other identifier: Joseph other identifier: Joe description: 004321 information: D01 information: 1990-04-11 - 要列示目标关联,请输入:
这将返回与以下输出类似的内容:eimadmin -lA -i "J.C.Smith" -t targetunique identifier: J.C.Smith registry: MyRegistry registry type: RACF association: target registry user: SMITH description: TSO information: 1989-08-01 information: ADMIN1 - 要列示访问权,请输入:
这将返回与以下输出类似的内容:eimadmin -lC -c adminaccess user: cn=JoeUser,o=My Company,c=us access user: cn=admin1,o=My Company,c=us access user: cn=admin2,o=My Company,c=us
位置
/usr/bin/eimadmin
安全性
LDAP 管理员有权使用 eimadmin 命令以及对其提供的所有功能的访问权。 只要以下条件为 true,EIM 管理员可以使用该命令:
- 他们拥有在包含 EIM 域的 LDAP 服务器上定义的绑定专有名称及密码。
- 他们的绑定专有名称拥有以下 EIM 权限之一:
- EIM 管理员
- EIM 注册表管理员
- EIM 注册表 X 管理员
- EIM 标识管理员
标准错误
eimadmin 命令发出消息以提示输入密码或指示错误。 除非您使用输入文件,否则不要期望会接收到成功完成的消息。 在处理输入文件中的记录时, eimadmin 会在进程启动和停止时发出一条参考消息,此外还会每 50 条记录发出一条进度消息。
注意:"eimadmin命令会为列表(-l)请求返回一个或多个数据行,除非它找不到匹配的 EIM 条目,或者绑定身份未被授权访问该数据。