efskeymgr コマンド
目的
暗号化ファイルシステム (EFS) の鍵 (鍵ストア) のためのユーザーとグループのリポジトリーを管理します。
構文
efskeymgr -?
efskeymgr -Q (Q)
efskeymgr V 値
ESSKEYMGR [-L (L) ロード・モジュール]-C <グループ>
ESSKEYMGR [-L (L) ロード・モジュール] [ -d 年 ] [ -k (K) <K> ] [ - ] [ P- <PW> ] -v (V)
ESSKEYMGR [-L (L) ロード・モジュール] [ -d 年 ] [ -k (K) <K> ] -m (M)
ESSKEYMGR [-L (L) ロード・モジュール] [ -d 年 ] [ -k (K) <K> ] [ - ] [ P- <PW> ] - <CMD>
ESSKEYMGR [-L (L) ロード・モジュール] [ -d 年 ] [ 「-c」 <CMD> ]
ESSKEYMGR [-L (L) ロード・モジュール] [ -d 年 ] [ -k (K) <K> ] [ - ] [ P- <PW> ] N
ESSKEYMGR [-L (L) ロード・モジュール] [ -d 年 ] [ -k (K) <K> ] [ - ] [ P- <PW> ] - <モード>
efskeymgr [-L load_module] [ -d ] [ -k <ks>] [ -g ] [ -p <pw>] -s <ks2>
efskeymgr [-L load_module] [ -d ] [ -k <ks>] [ -g ] [ -p <pw>] -S <ks2>
ESSKEYMGR[-L (L) ロード・モジュール] [ -d 年 ] [ -k (K) <K> ] [ - ] [ P- <PW> ] -R <アルゴ>
ESSKEYMGR [-L (L) ロード・モジュール] [ -d 年 ] [ -k (K) <K> ] [ - ] [ P- <PW> ] -D <FP>
ESSKEYMGR [-L (L) ロード・モジュール] [ -d 年 ] [ -k (K) <K> ] [ - ] [ P- <PW> ] -e (E) <ファイル>
説明
efskeymgr コマンドは、EFS に必要なすべての鍵管理操作専用です。 EFS が efsenable コマンドを使用してシステムで使用可能になっていると、鍵ストア (公開鍵と秘密鍵のリポジトリー) が /var/efs ディレクトリーに作成されます。
ユーザー鍵ストアの初期パスワードは、ユーザーのログイン・パスワードです。 グループ鍵ストアと admin 鍵ストアは、パスワードではなく、アクセス・キーで保護されます。 アクセス・キーは、このグループに属するすべてのユーザー鍵ストア内に保管されます。
鍵ストアを開くと (ログイン時または efskeymgr コマンドで明示的に)、この鍵ストアに入っている秘密鍵がカーネルにプッシュされ、処理と関連付けられます。 アクセス・キーが鍵ストア内で見つかった場合は、対応する鍵ストアも開き、鍵が自動的にそのカーネルにプッシュされます。
- admin モード
- このモードに鍵ストアを設定すると、aix.security.efs RBAC 権限と admin 鍵ストアへのアクセス・キーを持つ EFS 管理者は、鍵ストアを開いて、パスワードのリセット、鍵の再生成、アクセス・キーの追加や削除などの管理を行うことができます。
- guard モード
- このモードに鍵ストアを設定すると、EFS 管理者は鍵ストアにアクセスできません。 このモードでは、鍵ストアへのパスワードを失うと、秘密鍵をリカバリーできません。
鍵ストアのパスワードがログイン・パスワードと同じ場合は、鍵ストアがログイン時に自動的に開き、その鍵がセッションで使用可能になります。 passwd コマンドが使用され、既存のパスワードが指定された場合、鍵ストアのパスワードはログイン・パスワードと同期します。 鍵ストアのパスワードが何らかの時点でログイン・パスワードと同期していない場合は、efskeymgr コマンドを使用して鍵ストアのパスワードを変更できます。 パスワードが同期化されないと、ログイン時に鍵が自動的にセッションと関連付けられません。
efskeymgr –o <cmd> and efskeymgr –c <cmd>
遅延オペレーション
- 秘密鍵を再生成する必要がある。
- group/group1 鍵ストアへのアクセスを認可される。
efskeymgr -v コマンドを実行して、保留中のオペレーションを処理する必要があります。
- Private key regeneration (秘密鍵の再生成)。 この結果、新規の秘密鍵が生成され、古い秘密鍵に「deprecated」(非推奨) のマークが付きます。
- New access key (新規のアクセス・キー)。 この Cookie を受け入れると、新規の鍵ストアへのアクセスを取得します (例えば、ユーザーが追加されたグループの鍵ストアなど)。
- Remove access key (アクセス・キーの削除)。 この Cookie を受け入れると (アクセス・キーがグループから削除される場合など)、鍵ストアへのアクセスを失います。
- Accept the cookie (Cookie の受け入れ): 鍵ストアが Cookie に応じて変更された後に、その Cookie が破棄されます。
- Postpone the cookie (Cookie の延期): 鍵ストアは変更されず、その Cookie は削除されません。 次回アクションについてのプロンプトが出されます。
- Delete the cookie (Cookie の削除): 鍵ストアは変更されず、その Cookie が削除されます。 efskeymgr コマンドを使用して、アクションを再実行する必要があります。
フラグ
項目 | 説明 |
---|---|
一般フラグ: | |
-d | 詳細モード。 |
-g | 鍵ストアが開く際に保留中のオペレーションを処理しません。 |
-k (K) K | オペレーションは、アクティブ・ユーザーの鍵ストアの代わりに ks 鍵ストアがターゲットになります。 ks 値は次のようになります。
|
-L (L) ロード・モジュール | 鍵ストアの操作に使用するロード可能モジュールを指定します。 |
P- PW | 鍵ストアを開くために使用するパスワード。 これは ps コマンドなどを使用して他のユーザーが表示できてしまうため、このフラグの使用はお勧めしません。 |
-P ファイル名 | ~/.ssh/authorized_keys ディレクトリーにある OpenSSH ファイルに格納されているすべてのキーの公開鍵 Cookie をプッシュします。 |
コマンドのフラグ (鍵ストア・ファイルへのアクセスなし): | |
-? | コマンド・ヘルプと出口を表示します。 |
-q | 鍵の再生成に対してサポートされるアルゴリズムのリストを表示します。 |
-V | カーネル内でアクティブなプロセスの証明書に関連付けられた鍵を表示します。 |
コマンド用フラグ (鍵ストアへの読み取り専用アクセス): | |
「-c」 <CMD> | カーネルからすべての鍵を削除し、cmd コマンドを実行します。 cmd コマンドが終了すると、鍵は復元されます。 |
-m | 鍵ストアで保留中のすべてのオペレーションをリストします。 |
- <CMD> | 鍵ストアを開いて鍵をプッシュし、cmd コマンドを実行します。 cmd コマンドが終了すると、鍵は廃棄されます。 |
-v | 鍵ストア・ファイルの内容を表示します。 |
コマンド用フラグ (鍵ストアへの読み取り/書き込みアクセス): | |
-C <グループ> | group グループの鍵ストアを作成します。 |
-D <FP> | 非推奨の秘密鍵を鍵ストアから削除します。 fp 値はキーの指紋です。 |
-e (E) <ファイル> | 鍵ストアをファイルにエクスポートします。 ファイルは PKCS#12 形式でエンコードされ、鍵ストアからの公開鍵と秘密鍵を含みます。 このファイルは、openssh などで使用できます。 |
-n | ユーザー鍵ストアの場合は、鍵ストア用の新規パスワードについてのプロンプトを出します。 グループ鍵ストアの場合は、新規アクセス・キーを生成し、グループ・メンバーに送信します。 admin 鍵ストアの場合は、新規アクセス・キーを生成します。 その後で、鍵は efskeymgr コマンドを使用して EFS 管理者に送信されなければなりません。 |
-R <アルゴ> | 鍵ストアの秘密鍵を再生成します。 アルゴ パラメーターの有効な値については、 -Q (Q) フラグを参照してください。 |
- <モード> | 鍵ストアの管理モードを変更します。 mode 値は次のようになります。
|
-S <ks2> | ks2 アクセス・キーを鍵ストアから削除します。 鍵ストアを次回開く際、ks2 秘密鍵は自動的にプッシュされません。 |
-s <ks2> | 鍵ストアのアクセス・キーを ks2 鍵ストアに送信します。 ks2 キーを次回開く際、鍵ストアの秘密鍵は自動的にロードされます。 |
終了状況
項目 | 説明 |
---|---|
0 | コマンドは正常に実行されました。 |
1 | コマンドの実行中にエラーが発生しました。 |
※2 | コマンド・ラインで構文エラーが発生しました。 |
セキュリティー
例
- 自分の鍵ストアの内容を表示するには、次のように入力します。
efskeymgr –v
- アクティブ・シェルに関連付けられた鍵を表示するには、次のように入力します。
efskeymgr -V
- 自分の鍵ストアから秘密鍵を再生成するには、次のように入力します。
efskeymgr –R RSA_1024
- 非推奨の鍵を削除するには、次のように入力します。
efskeymgr –D dbb62547:d6925088:45357fd3:54cddbba:27b255a9
- グループ「students」のアクセス・キーをユーザー「joe」へ送信するには、次のように入力します。
efskeymgr –k group/students –s user/joe
- ~/.ssh/authorized_keys ファイルにインストール済みの公開鍵が格納されているターゲットの鍵ストアに入っている、Open-SSH クライアント・ユーザーの Open-SSH 公開鍵 Cookie をプッシュするには、次のように入力します。
efskeymgr -P ~/.ssh/authorized_keys
- グループ鍵ストアを LDAP に直接作成するには、次のように入力します (構成されている場合)。
efskeymgr -L LDAP -C staff
ファイル
項目 | 説明 |
---|---|
/var/efs | すべての鍵ストアが入っています。 |
/etc/security/user | ユーザー鍵ストアの作成と管理のための EFS 属性が入っています。 |
/etc/security/group | グループ鍵ストアの作成のための EFS 属性が入っています。 |