chlpracl コマンド

目的

最小特権 (LP) リソースのアクセス制御を変更します。

構文

1 つ以上のアクセス指定を Resource ACL に追加するか、または 1 つ以上のアクセス指定を用いて Resource ACL を上書きする場合:

chlpracl [ -a | -n host1[,host2,… ] ] [-o] [-r] [-h] [-TV] resource ID_1 perm1 [ID_2 perm2] …

1 つ以上のアクセス指定を Resource ACL に追加するか、またはすべて同じアクセス権を使用した 1 つ以上のアクセス指定を用いて Resource ACL を上書きする場合:

chlpracl [ -a | -n host1[,host2,… ] ] -l [-o] [-r] [-h] [-TV] resource ID_1 [ID_2…] perm

1 つ以上のアクセス指定を Resource ACL から削除する場合:

chlpracl [ -a | -n host1[,host2,… ] ] -d [-r] [-h] [-TV] resource ID_1 [ID_2…]

アクセス指定を Resource ACL に追加する (またはアクセスをこの ACL から削除する)、あるいはファイルの中に指定されているアクセス指定を用いて Resource ACL を上書きする場合:

chlpracl [ -a | -n host1[,host2,… ] ] [ -o | -d ] -f file_name [-r] [-h] [-TV] resource

アクセス権が許可されないように 1 つの Resource ACL を設定するか、または Resource Shared ACL を使用する場合:

chlpracl [ -a | -n host1[,host2,… ] ] { -b | -x } [-r] [-h] [-TV] resource

アクセス権が許可されないようにすべての Resource ACL を設定するか、または Resource Shared ACL を使用する場合:

chlpracl [ -a | -n host1[,host2,… ] ] { -B | -X } [-h] [-TV]

説明

chlpracl コマンドは、最小特権 (LP) リソースに関連付けられているアクセス制御リスト (ACL) を変更します。このコマンドにより、アクセス指定を Resource ACL に追加するか、またはアクセス指定をこの ACL から削除することができます。この ACL は、属性値のリスト作成や LP コマンドの実行などのリソース操作へのアクセスを制御します。 LP リソースごとに Resource ACL が 1 つ存在します。

LP リソースへのアクセスを制御するために、以下の 3 つの異なるタイプの Resource ACL が存在します。

Resource ACL
Resource Initial ACL
Resource Shared ACL

chlpracl コマンドにより、Resource ACL は、その代わりに Resource Shared ACL を使用してアクセスを制御する必要があることを指示することができます。上記の ACL については、lpacl 情報ファイルを参照してください。

アクセス指定を Resource ACL に追加するには、LP リソースの名前、その ID、およびその ID が持つアクセス権を指定します。 ID とアクセス権のペアを、複数個指定できます。複数の ID を追加する場合で、かつそれらの ID が同じアクセス権を持っている場合には、-l フラグを使用して、コマンドの形式が ID とそれに続く 1 つのアクセス権 (ID のすべてに適用される) のリストであることを指示します。 -o フラグを使用すると、コマンドで指定された ID とアクセス権により既存のアクセス指定が上書きされます。この ACL の中の事前定義のアクセス指定は削除されます。

Resource ACL からアクセス指定を削除するには、-d フラグを使用し、LP リソースの名前と削除すべき ID を指定します。

アクセス指定がファイルの中に指定されていることを示すには、-f フラグを使用します。このファイルの各行が、ID とその ID のアクセス権となります。 -d フラグを -f フラグと一緒に使用する場合は、各行には ID のみが必要とされます。最初のスペースの後にあるものはすべて無視されます。

このコマンドはどのノードでも実行できます。ドメイン内のすべてのノードでこのコマンドを実行したい場合には、-a フラグを使用します。ドメイン内の一部のノード上でこのコマンドを実行したい場合には、-n フラグを使用します。それ以外の場合、このコマンドはローカル・ノードで実行されます。

フラグ

-a

ドメイン内のすべてのノードの resource の Resource ACL を変更します。 CT_MANAGEMENT_SCOPE 環境変数の設定値によって、クラスター有効範囲が決まります。 CT_MANAGEMENT_SCOPE 変数が設定されていない場合、LP リソース・マネージャーは次の順序で有効範囲設定値を使用します。

管理ドメイン (存在する場合)
ピア・ドメイン (存在する場合)
ローカル有効範囲

chlpracl コマンドは、LP リソース・マネージャーが最初に検出した有効範囲に対して 1 回実行されます。例えば、管理ドメインとピア・ドメインが存在していて、かつ、その CT_MANAGEMENT_SCOPE 環境変数が設定されていないと仮定します。この場合、chlpracl -a は管理ドメインで実行されます。chlpracl -a をピア・ドメインで実行するには、CT_MANAGEMENT_SCOPE を 2 に設定する必要があります。

-b

指定された LP リソースの ACL をバイパスします。Resource Shared ACL がこの LP リソースのアクセス制御に使用されます。 Resource ACL の中のすべての ACL エントリーは削除されます。

-B

すべての LP リソースの ACL をバイパスします。Resource Shared ACL がすべての LP リソースのアクセス制御に使用されます。 Resource ACL の中のすべての ACL エントリーは削除されます。IBM.LPCommands クラス (またはノード) ごとに Resource Shared ACL が 1 つ存在します。

-d

指定された ID の ACL エントリーを、指定された Resource ACL から削除します。

-f file_name

アクセス指定が file_name の中に入っていることを意味します。このファイルの各行は、ID とその ID のアクセス権から構成されます。 -d フラグを -f フラグと一緒に使用する場合は、各行には ID のみが必要とされます。最初のスペースの後にあるものはすべて無視されます。

-l

ID とそれに続く 1 つのアクセス権 (すべての ID に対応して使用する) のリストがあることを示します。

-n host1[,host2,…]

Resource ACL を変更するドメインのノード (複数の場合もある) を指定します。デフォルトでは、Resource ACL は、ローカル・ノードで変更されます。このフラグは、管理ドメインまたはピア・ドメインでのみ有効です。 CT_MANAGEMENT_SCOPE が設定されていない場合は、まず管理ドメインの有効範囲が選択され (存在する場合)、次にピア・ドメインの有効範囲が選択され (存在する場合)、次にローカル有効範囲が選択され、というように、このコマンドに対して有効範囲が有効となるまで選択が行われます。このコマンドは、最初に有効であると認識された有効範囲について 1 回実行されます。

-o

指定された ACL アクセスにより指定の Resource ACL の既存のすべての ACL エントリーが上書きされることを示します。Resource ACL の中のすべての ACL エントリーは削除されます。

-r

resource が「典型的な」RSCT リソース・ハンドルであることを示します。リソース・ハンドルは、引用符で囲む必要があります。このリソース・ハンドルの Resource ACL が変更されます。

-x

指定された LP リソースに対して Resource ACL を設定して、その LP リソースへの全アクセスを拒否します。 Resource ACL の中のすべての ACL エントリーは削除されます。

-X

すべての LP リソースの Resource ACL を設定して、LP リソースへの全アクセスを拒否します。 Resource ACL の中のすべての ACL エントリーは削除されます。

-h

コマンドの使用状況ステートメントを標準出力に書き込みます。

-T

コマンドのトレース・メッセージを標準エラーに書き込みます。

-V

コマンドの詳細メッセージを標準出力に書き込みます。

パラメーター

resource

Resource ACL が変更される LP リソース名を指定します。

ID

ユーザーのネットワーク ID を指定します。同じ ID が複数回リストされている場合は、最後に指定されたアクセス権が使用されます。ネットワーク ID の指定方法については、lpacl 情報ファイルを参照してください。

perm

ID に対応して使用可能なアクセス権を指定します。perm は、1 つ以上の文字の文字列として指定されます。ここで、各文字は特定のアクセス権を表します。perm の有効な値は以下のとおりです。

r: 読み取り許可 (q、l、e、および v のアクセス権から構成される)
w: 書き込み許可 (d、c、s、および o のアクセス権から構成される)
a: 管理者アクセス権
x: 実行アクセス権
q: 照会アクセス権
l: 列挙アクセス権
e: イベント・アクセス権
v: 検証アクセス権
d: 定義および定義解除アクセス権
c: リフレッシュ・アクセス権
s: 設定アクセス権
o: オンライン、オフライン、およびリセット・アクセス権
0: アクセス権なし

各アクセス権およびその適用方法については、lpacl 情報ファイルを参照してください。

セキュリティー

chlpracl コマンドを実行するには、以下のアクセス権が必要です。

IBM.LPCommands リソース・クラスの Class ACL の中の読み取りアクセス権。
Resource ACL の中の読み取りおよび管理者アクセス権。
代わりに、これら許可が Resource Shared ACL の中に存在する場合は、 Resource ACL が Resource Shared ACL の使用を指示できます。

アクセス権は、連絡先システムの LP ACL で指定されています。 LP ACL に関する一般情報については lpacl 情報ファイル、LP ACL の変更については「RSCT: Administration Guide」を参照してください。

終了状況

0: コマンドが正常に実行されました。
1: RMC でエラーが発生しました。
2: コマンド・ライン・インターフェース (CLI) スクリプトでエラーが発生しました。
3: コマンド・ラインに間違ったフラグが指定されました。
4: コマンド・ラインに間違ったパラメーターが指定されました。
5: コマンド・ラインの入力に誤りがあるため、RMC でエラーが発生しました。
6: リソースが見つかりません。

環境変数

CT_CONTACT

これにより、リソース・モニターおよび制御 (RMC) デーモンとのセッションが発生するシステムが判別されます。 CT_CONTACT にホスト名または IP アドレスが設定されていると、このコマンドは指定されたホスト上の RMC デーモンと連絡を取ります。CT_CONTACT が設定されていない場合、このコマンドは、コマンドが実行されているローカル・システムの RMC デーモンと連絡を取ります。その RMC デーモン・セッションのターゲットおよび管理の有効範囲により、処理されるリソース・クラスまたはリソースが決定されます。

CT_IP_AUTHENT

CT_IP_AUTHENT 環境変数が存在する場合は、RMC デーモンは、IP ベース・ネットワーク認証を使用して、CT_CONTACT 環境変数が設定されている IP アドレスで指定されるシステム上の RMC デーモンと連絡を取ります。CT_CONTACT が IP アドレスに設定されている場合のみ、CT_IP_AUTHENT が意味を持ちます。CT_IP_AUTHENT はドメイン・ネーム・システム (DNS) サービスに依存しません。

CT_MANAGEMENT_SCOPE

最小特権 (LP) リソース・マネージャーのリソースの処理中に、RMC デーモンとのセッションに使用される管理有効範囲を決定します。管理有効範囲により、リソースを処理可能なターゲット・ノードのセットが決まります。有効な値は以下のとおりです。

0: Local 有効範囲を指定します。
1: Local 有効範囲を指定します。
2: ピア・ドメイン の有効範囲を指定します。
3: 管理ドメイン の有効範囲を指定します。

この環境変数が設定されていない場合は、-a フラグまたは -n フラグが指定されていない限り、Local 有効範囲が使用されます。

実装上の固有な条件

このコマンドは、AIX® 用の Reliable Scalable Cluster Technology (RSCT) ファイルセットの一部です。

標準出力

-h フラグが指定されている場合は、このコマンドの使用状況ステートメントが標準出力に書き込まれます。 -V フラグが指定されると、このコマンドの詳細メッセージが標準出力に書き込まれます。

標準エラー

トレース・メッセージはすべて、標準エラーに書き込まれます。

例

nodeA で LP コマンド lpcommand1 を実行する能力を nodeA のユーザー joe に付与するには、nodeA で次のいずれかのコマンドを実行します。
```
chlpracl lpcommand1 joe@NODEID  x

chlpracl lpcommand1 joe@LOCALHOST  x 
```
nodeA と nodeB はピア・ドメイン内にあります。nodeB で LP コマンド lpcommand1 を実行する能力を nodeB のユーザー joe に付与するには、nodeA で次のコマンドを実行します。
```
chlpracl -n nodeB lpcommand1 joe@LOCALHOST  x
```
この例では、joe@LOCALHOST の代わりに joe@NODEID を指定すると、nodeB で LP コマンド lpcommand1 を実行する能力が nodeA の joe に付与されます。
nodeA のユーザー joe に LP コマンド lpcommand1 への実行アクセス権、nodeA の bill に nodeA の同じリソースへの管理者アクセス権および書き込み許可を付与するには、nodeA で次のコマンドを実行します。
```
chlpracl lpcommand1 joe@LOCALHOST  x  bill@LOCALHOST  wa
```
nodeA のユーザー joe に nodeA の LP コマンド lpcommand1 への管理者アクセス権を付与し、これが唯一の許可されるアクセスとなるように lpcommand1 の現行 ACL を上書きするには、nodeA で次のコマンドを実行します。
```
chlpracl -o lpcommand1 joe@LOCALHOST x
```
nodeA のユーザー joe、bill、および jane に nodeA の LP コマンド lpcommand1 を実行する能力を付与するには、nodeA で次のコマンドを実行します。
```
chlpracl lpcommand1 -l joe@LOCALHOST  bill@LOCALHOST  jane@LOCALHOST  x
```
nodeA の joe に関するアクセスを nodeA の LP コマンド lpcommand1 の ACL から削除するには、nodeA で次のコマンドを実行します。
```
chlpracl -d lpcommand1 joe@LOCALHOST
```
nodeA の /mysecure/aclfile という名前のファイルの中にあるアクセス指定のリストを nodeA の LP コマンド lpcommand1 に追加するには、nodeA で次のコマンドを実行します。
```
chlpracl -f /mysecure/aclfile lpcommand1  
```
nodeA の /mysecure/aclfile の内容は、例えば次のようになります。
```
joe@LOCALHOST	  		x
bill@LOCALHOST                   ax
jane@LOCALHOST		 	wx
```
nodeA の LP コマンド lpcommand1 の Resource ACL をバイパスし、そのアクセス制御に Resource Shared ACL を使用するためには、nodeA で次のコマンドを実行します。
```
chlpracl -b lpcommand1 	
```
nodeA のすべての LP リソースの Resource ACL をバイパスし、アクセス制御に Resource Shared ACL を使用するためには、nodeA で次のコマンドを実行します。
```
chlpracl -B 	
```
nodeA の LP コマンド lpcommand1 への全アクセスを拒否するには、nodeA で次のコマンドを実行します。
```
chlpracl -x lpcommand1
```

場所

/opt/rsct/bin/chlpracl: chlpracl コマンドが入っています。