pwchange 機能の使用
pwchange コマンドは、ユーザーの認証鍵と秘密鍵の動的変更を容易にするために提供されます。 認証鍵と秘密鍵の動的構成は、SET コマンドを keyChange 構文のオブジェクトに対して実行する ことによって行われます。keyChange 構文は、実際の鍵 (新旧いずれでも) を直接にワイヤーを介して流す (安全とは言えない) こと なしに、鍵を変更する方法を備えています。その代わりに、usmUserAuthKeyChange などのオブジェクトを設定する場合は、 新旧両方のパスワード、およびその鍵が使用されるエージェントの engineID から、keyChange 値を 取り出す必要があります。pwchange コマンドは、keyChange 値を生成するために使用します。
形式:
.- -d 0-. .- -p HMAC-MD5-. >>-pwchange--+-----+--+-------+--+--------------+---------------> '- -e-' '- -d n-' '- -p protocol-' .- -u auth------. >--+---------------+--+-----+-----------------------------------> '- -u key_usage-' '- -s-' >--old_password--new_password--+-IPaddress-+------------------->< +-hostname--+ '-engineID--'
パラメーター:
- -e
- このフラグは、KeyChange 値が定義されるエージェントが IP アドレスや ホスト名ではなく、engineID によって識別されることを示します。
- -d n
- このフラグは、デバッグ情報の必須レベルを示します。 デバッグ・トレースはオンかオフのいずれかです。1 を指定すると、コマンド送出側 (sysout) の画面 にデバッグ・トレースが生成されます。デフォルトでは、 デバッグ・トレースはオフ (0) です。
- -p protocol
- このフラグは、keyChange 値が生成されるプロトコルを示します。
protocol で有効な値は、以下のとおりです。
- HMAC-MD5
- HMAC-MD5 認証プロトコルで使用する keyChange 値を生成します。これはデフォルトです。
- HMAC-SHA
- HMAC-SHA 認証プロトコルで使用する keyChange 値を生成します。
- all
- HMAC-MD5 および HMAC-SHA の両方の keyChange 値を生成します。
- -u key_usage
- このフラグは keyChange 値の使用予定を示します。
有効な値は次のとおりです。
- auth
- 認証 keyChange 値
- priv
- 秘密 keyChange 値
- all
- 認証 keyChange 値と秘密 keyChange 値の両方
注: 認証のために生成された keyChange 値とプライバシーのために生成された keyChange 値 の間に相違はありません。ただし、秘密 keyChange 値の長さは、keyChange 値がローカライズ されているかどうかによって異なります。
- -s
- このフラグは、出力を読みやすくするために、追加のスペースを設けて表示することを示します。 デフォルトでは、シェル・スクリプトで行う、構成ファイルまたはコマンド行への keyChange 値の切り貼り操作を容易にするために、 データは圧縮形式で表示されます。
- old_password
- 最初に鍵を生成したときに使用したパスワードを指定します。password は、長さが 8 から 255 文字である必要があります。
- new_password
- 新しい鍵を生成するのに使用するパスワードを指定します。password は、長さが 8 から 255 文字である必要があります。
- IPaddress
- 鍵が使用される宛先ホストのエージェントの IPv4 小数点付き 10 進数表記、 または IPv6 コロン付き 16 進表記の IP アドレスを指定します。
- hostname
- 鍵が使用される宛先ホストを指定します。
- engineID
- 鍵が使用される宛先ホストの engine ID (1 から 32 桁のオクテット、2 から 64 桁の 16 進数字) を指定します。エンジン ID は、1 から 32 桁のオクテット (2 から 64 桁の 16 進数字) のストリングでなければなりません。エンジン ID が指定されている場合は、-e オプションも指定する必要があります。 デフォルトでは、エージェント ID はエンジン ID ではありません。
使用法:
pwchange コマンドは、選択されたプロトコルと鍵の使用法によって、異なる出力を生成します。keyChange 値は、通常、変更する鍵の 2 倍の長さがあります。
例:
pwchange のサンプル出力を示します。
# pwchange oldpassword newpassword 9.67.113.79
Dump of 32 byte HMAC-MD5 authKey keyChange value:
3eca6ff34b59010d262845210a401656
78dd9646e31e9f890480a233dbe1114d
設定する値は、16 進数として渡す必要があります。
snmp set usmUserAuthKeyChange.12.0.0.0.2.0.0.0.0.9.67.113.79.2.117.49
¥'3eca6ff34b59010d262845210a40165678dd9646e31e9f890480a233dbe1114d¥'h
注: 上の例で、z/OS UNIX が正しく 16 進値を解釈できるようにするために、単一引用符の前に円記号
が必要です。
(usmUserTable の索引は、engineID とユーザー名の ASCII 表記から構成されています。この場合は、長さは 2 文字で、117.49 に変換されます。)注: pwchange は、鍵および keyChange 値を生成する際に、ランダム・コンポーネントを
組み込んでいます。したがって、複数のコマンドで入力が同じでも、その出力は重複した結果には
なりません。