pwtokey 機能の使用

z/OS® Communications Server は、SNMP または OMPROUTE のパスワードを、ローカライズされた認証鍵と秘密鍵、およびローカライズされていない認証鍵と秘密鍵に変換できる、pwtokey と呼ばれる機能を提供します。

OMPROUTE の場合、pwtokey はパスワードを入力として使用して、認証鍵を生成します。ローカライズされた鍵または秘密鍵は、OMPROUTE には必要ではなく生成されません。 OMPROUTE に対して PWTOKEY を使用する場合には、若干の制約事項があります。詳しくは、パスワード・パラメーターの説明を参照してください。
SNMP の場合、pwtokey プロシージャーはパスワードとエージェントの ID を入力として使用し、認証鍵と秘密鍵を生成します。pwtokey 機能で使用するプロシージャーは、z/OS UNIX snmp コマンドで使用するものと同じアルゴリズムです。SNMP エージェントの構成を行う人は、特定のパスワード、およびエージェントが稼働する IP アドレスが与えられれば、ユーザーの SNMPD.CONF ファイルに入れるのに適した認証鍵および秘密鍵を生成することができます。
ヒント: 秘密鍵の場合、暗号化では 32 の 16 進数字 (16 バイト) の長さの鍵を使用する必要があります。ただし、鍵が HMAC-SHA を使用して生成される場合、長さが 40 の 16 進数字 (20 バイト) の鍵が生成され、その鍵がローカライズされるまで、40 から 32 への 16 進数字の切り捨ては行われません。このため、HMAC-SHA を使用して生成されたローカライズされていない秘密鍵の長さは 40 の 16 進数字 (20 バイト) であり、HMAC-SHA を使用して生成されたローカライズされている秘密鍵の長さは 32 の 16 進数字 (16 バイト) です。HMAC-MD5 で生成された秘密鍵 (ローカライズ済みまたはローカライズなし) の長さは、32 の 16 進数字 (16 バイト) です。

パスワードを認証鍵および秘密鍵に変換するには、次のコマンドを z/OS UNIX から出して pwtokey 機能を使用します。

形式:


                     .- -d--0-.  .- -p HMAC-MD5-.   
>>-pwtokey--+-----+--+--------+--+--------------+--------------->
            '- -e-'  '- -d--n-'  +- -p HMAC-SHA-+   
                                 '- -p all------'   

   .- -u auth------.                                     
>--+---------------+--+-----+--password--+-----------+---------><
   '- -u key_usage-'  '- -s-'            +-IPaddress-+   
                                         +-hostname--+   
                                         '-engineID--'

パラメーター:

-e

このフラグは、鍵が定義されるエージェントが IP アドレスやホスト名ではなく、engineID によって識別されることを示します。これが適用されるのは、SNMP の鍵を生成する場合のみです。

-d n

このフラグは、必要なデバッグ情報のレベルを示します。デバッグ・トレースはオンかオフのいずれかであるため、1 の値を指定すると、コマンド送出側 (sysout) の画面にデバッグ・トレースが生成され、0 の値を指定すると、デバッグ・トレースを生成しないことが指定されます。デフォルトでは、デバッグ・トレースはオフ (0) です。

-p protocol

このフラグは、鍵が生成されるプロトコルを示します。有効な値は次のとおりです。

HMAC-MD5: HMAC-MD5 認証プロトコルで使用する鍵を生成します。これは、OMPROUTE の OSPF MD5 鍵を生成するときに使用する唯一のプロトコルです。
HMAC-SHA: HMAC-SHA 認証プロトコルで使用する鍵を生成します。
all: HMAC-MD5 および HMAC-SHA の両方の鍵を生成します。

デフォルトでは、HMAC-MD5 プロトコルの鍵が生成されます。

-u key_usage

このフラグは鍵の予定使用法を示します。有効な値は次のとおりです。

auth: 認証鍵。OMPROUTE の OSPF MD5 鍵を生成する場合には、この方法を推奨します。
priv: 秘密鍵
all: 認証鍵と秘密鍵の両方。
注: 認証のために生成された鍵とプライバシーのために生成された鍵の間に相違はありません。ただし、秘密鍵の長さは、鍵がローカライズされているかどうかによって異なります。

-s

このフラグは、出力データを読みやすくするために、追加のスペースを設けて表示することを示します。デフォルトでは、鍵での構成ファイルまたはコマンド行への切り貼り操作を容易にするために、データは圧縮された形式で表示されます。

password

鍵の生成時に使用するテキスト・ストリングを指定します。password は 8 から 255 文字の範囲である必要があります。一般に、パスワードには任意の印刷可能文字を使用できますが、z/OS UNIX シェルは、一部の文字を pwtokey コマンドに渡さずに解釈することがあります。文字が z/OS UNIX シェルによって解釈されないようにするためには、パスワードを単一引用符で囲みます。

注:

このパスワードは、コミュニティー・ベースのセキュリティー (SNMPv1 および SNMPv2c) で使用するコミュニティー名 (またはパスワード) とは関係ありません。このパスワードは、全く異なるセキュリティー機構であるユーザー・ベース・セキュリティー用の鍵を生成するためにのみ使用されます。
より簡単にパスワードから MD5 認証に OMPROUTE 移行するためには、入力パスワードを OMPROUTE パスワードに基づくようにすることができます (そうしなければならない必要はありません)。入力パスワードは 8 文字以上でなければなりませんが、OMPROUTE では 1 文字だけのパスワードでもサポートしているため、埋め込みを行うか、もしくは OMPROUTE パスワードを 8 文字になるように変更する必要が生じる場合があります。OMPROUTE に対して PWTOKEY を使用する場合には、若干の制約事項があります。「z/OS Communications Server: IP 構成解説書」の OMPROUTE についての MD5 認証仕様を参照してください。

IPaddress

SNMP 要求で鍵が使用される SNMP エージェントの IPv4 の小数点付き 10 進数表記または IPv6 のコロン付き 16 進表記の IP アドレスを指定します。このパラメーターを使用するのは、ローカライズされた鍵を生成する場合のみであり、OMPROUTE の MD5 鍵を生成する場合には必要ありません。

hostname

SNMP 要求に基づいて鍵が使用される SNMP エージェントを指定します。このパラメーターを使用するのは、ローカライズされた鍵を生成する場合のみであり、OMPROUTE の MD5 鍵を生成する場合には必要ありません。

engineID

鍵が使用される SNMP エージェントのエンジン ID を指定します。エンジン ID は、SNMP エージェントの初期化時点で、SNMPD.BOOTS ファイルによって決まります。エンジン ID は、1 から 32 桁のオクテット (2 から 64 桁の 16 進数字) のストリングでなければなりません。エンジン ID が指定されている場合は、-e オプションも指定する必要があります。デフォルトでは、エージェント ID はエンジン ID ではありません。このパラメーターを使用するのは、ローカライズされた鍵を生成する場合のみであり、OMPROUTE の MD5 鍵を生成する場合には必要ありません。

例:

次の例は、pwtokey コマンドの出力を示しています。

# pwtokey testpassword 9.67.113.79
Display of 16 byte HMAC-MD5 authKey:  
 775b109f79a6b71f94cca5d22451cc0e
 
Display of 16 byte HMAC-MD5 localized authKey:
 de25243d5c2765f0ce273e4bcf941701

pwtokey は、2 つの鍵を生成します。1 つは、ローカライズされた鍵 (識別されたエージェントでのみ使用できるように調整済み) であり、もう 1 つはローカライズされていない鍵です。通常、ローカライズされた鍵は、SNMP エージェントの構成で使用されます。ローカライズされていない鍵は、snmp コマンドの構成で使用されます。

認証鍵と秘密鍵の両方のための HMAC-SHA 鍵を要求して pwtokey を呼び出した場合、出力は次のようになります。

# pwtokey -p HMAC-SHA -u all testpassword 9.67.113.79   
Display of 20 byte HMAC-SHA authKey:                     
 b267809aee4b8ef450a7872d6e348713f04b9c50
 
Display of 20 byte HMAC-SHA localized authKey:
 e5438092d1098a43e27e507e50d32c0edaa39b7c
 
Display of 20 byte HMAC-SHA privKey:
 b267809aee4b8ef450a7872d6e348713f04b9c50
 
Display of 16 byte HMAC-SHA localized privKey: 
 e5438092d1098a43e27e507e50d32c0e

プライバシー・キーの出力は認証キーの出力と同じですが、ローカライズされたプライバシー・キーは、要求された 16 バイトに切り捨てられている点が異なります。

注: 暗号化を使用する場合は、認証とプライバシーに異なるパスワードを使用する方がより安全です。

OMPROUTE の MD5 認証鍵を要求して pwtokey を呼び出した場合、出力は次のようになります。

 # pwtokey testpassword    
 Display of 16 byte HMAC-MD5 authKey:  
  775b109f79a6b71f94cca5d22451cc0e

使用法:

IP アドレスまたはホスト名を指定する場合、SNMP エージェントは IBM® エージェントでなければなりません。engineID は、エージェントの IP アドレスおよび IBM を表すエンタープライズ ID を組み込んだ、ベンダー独自の式を使用して作成されます。