pwchange 機能の使用

pwchange コマンドは、ユーザーの認証鍵と秘密鍵の動的変更を容易にするために提供されます。認証鍵と秘密鍵の動的構成は、SET コマンドを keyChange 構文のオブジェクトに対して実行することによって行われます。keyChange 構文は、実際の鍵 (新旧いずれでも) を直接にワイヤーを介して流す (安全とは言えない) ことなしに、鍵を変更する方法を備えています。その代わりに、usmUserAuthKeyChange などのオブジェクトを設定する場合は、新旧両方のパスワード、およびその鍵が使用されるエージェントの engineID から、keyChange 値を取り出す必要があります。pwchange コマンドは、keyChange 値を生成するために使用します。

形式:


                      .- -d 0-.  .- -p HMAC-MD5-.   
>>-pwchange--+-----+--+-------+--+--------------+--------------->
             '- -e-'  '- -d n-'  '- -p protocol-'   

   .- -u auth------.            
>--+---------------+--+-----+----------------------------------->
   '- -u key_usage-'  '- -s-'   

>--old_password--new_password--+-IPaddress-+-------------------><
                               +-hostname--+   
                               '-engineID--'

パラメーター:

-e

このフラグは、KeyChange 値が定義されるエージェントが IP アドレスやホスト名ではなく、engineID によって識別されることを示します。

-d n

このフラグは、デバッグ情報の必須レベルを示します。デバッグ・トレースはオンかオフのいずれかです。1 を指定すると、コマンド送出側 (sysout) の画面にデバッグ・トレースが生成されます。デフォルトでは、デバッグ・トレースはオフ (0) です。

-p protocol

このフラグは、keyChange 値が生成されるプロトコルを示します。 protocol で有効な値は、以下のとおりです。

HMAC-MD5: HMAC-MD5 認証プロトコルで使用する keyChange 値を生成します。これはデフォルトです。
HMAC-SHA: HMAC-SHA 認証プロトコルで使用する keyChange 値を生成します。
all: HMAC-MD5 および HMAC-SHA の両方の keyChange 値を生成します。

デフォルトでは、HMAC-MD5 プロトコルの keyChange 値が生成されます。

-u key_usage

このフラグは keyChange 値の使用予定を示します。有効な値は次のとおりです。

auth: 認証 keyChange 値
priv: 秘密 keyChange 値
all: 認証 keyChange 値と秘密 keyChange 値の両方
注: 認証のために生成された keyChange 値とプライバシーのために生成された keyChange 値の間に相違はありません。ただし、秘密 keyChange 値の長さは、keyChange 値がローカライズされているかどうかによって異なります。

-s

このフラグは、出力を読みやすくするために、追加のスペースを設けて表示することを示します。デフォルトでは、シェル・スクリプトで行う、構成ファイルまたはコマンド行への keyChange 値の切り貼り操作を容易にするために、データは圧縮形式で表示されます。

old_password

最初に鍵を生成したときに使用したパスワードを指定します。password は、長さが 8 から 255 文字である必要があります。

new_password

新しい鍵を生成するのに使用するパスワードを指定します。password は、長さが 8 から 255 文字である必要があります。

IPaddress

鍵が使用される宛先ホストのエージェントの IPv4 小数点付き 10 進数表記、または IPv6 コロン付き 16 進表記の IP アドレスを指定します。

hostname

鍵が使用される宛先ホストを指定します。

engineID

鍵が使用される宛先ホストの engine ID (1 から 32 桁のオクテット、2 から 64 桁の 16 進数字) を指定します。エンジン ID は、1 から 32 桁のオクテット (2 から 64 桁の 16 進数字) のストリングでなければなりません。エンジン ID が指定されている場合は、-e オプションも指定する必要があります。デフォルトでは、エージェント ID はエンジン ID ではありません。

使用法:

pwchange コマンドは、選択されたプロトコルと鍵の使用法によって、異なる出力を生成します。keyChange 値は、通常、変更する鍵の 2 倍の長さがあります。

例:

pwchange のサンプル出力を示します。

# pwchange oldpassword newpassword 9.67.113.79   
Dump of 32 byte HMAC-MD5 authKey keyChange value:
  3eca6ff34b59010d262845210a401656               
  78dd9646e31e9f890480a233dbe1114d

設定する値は、16 進数として渡す必要があります。

snmp set usmUserAuthKeyChange.12.0.0.0.2.0.0.0.0.9.67.113.79.2.117.49 
¥'3eca6ff34b59010d262845210a40165678dd9646e31e9f890480a233dbe1114d¥'h

注: 上の例で、z/OS UNIX が正しく 16 進値を解釈できるようにするために、単一引用符の前に円記号が必要です。

(usmUserTable の索引は、engineID とユーザー名の ASCII 表記から構成されています。この場合は、長さは 2 文字で、117.49 に変換されます。)

注: pwchange は、鍵および keyChange 値を生成する際に、ランダム・コンポーネントを組み込んでいます。したがって、複数のコマンドで入力が同じでも、その出力は重複した結果にはなりません。