efskeymgr コマンド

オンライン編集

目的

暗号化ファイルシステム (EFS) の鍵 (鍵ストア) のためのユーザーとグループのリポジトリーを管理します。

構文

efskeymgr -?

efskeymgr -Q (Q)

efskeymgr V 値

ESSKEYMGR [-L (L) ロード・モジュール]-C <グループ>

efskeymgr -P < Open-SSH 公開鍵ファイル >

注: 公開鍵ファイルは、 ~/.ssh/ ディレクトリー ディレクトリーにあります。

ESSKEYMGR [-L (L) ロード・モジュール] [ -d 年 ] [ -k (K) <K> ] [ - ] [ P- <PW> ] -v (V)

ESSKEYMGR [-L (L) ロード・モジュール] [ -d 年 ] [ -k (K) <K> ] -m (M)

ESSKEYMGR [-L (L) ロード・モジュール] [ -d 年 ] [ -k (K) <K> ] [ - ] [ P- <PW> ] - <CMD>

ESSKEYMGR [-L (L) ロード・モジュール] [ -d 年 ] [ 「-c」 <CMD> ]

ESSKEYMGR [-L (L) ロード・モジュール] [ -d 年 ] [ -k (K) <K> ] [ - ] [ P- <PW> ] N

ESSKEYMGR [-L (L) ロード・モジュール] [ -d 年 ] [ -k (K) <K> ] [ - ] [ P- <PW> ] - <モード>

efskeymgr [-L load_module] [ -d ] [ -k <ks>] [ -g ] [ -p <pw>] -s <ks2>

efskeymgr [-L load_module] [ -d ] [ -k <ks>] [ -g ] [ -p <pw>] -S <ks2>

ESSKEYMGR[-L (L) ロード・モジュール] [ -d 年 ] [ -k (K) <K> ] [ - ] [ P- <PW> ] -R <アルゴ>

ESSKEYMGR [-L (L) ロード・モジュール] [ -d 年 ] [ -k (K) <K> ] [ - ] [ P- <PW> ] -D <FP>

ESSKEYMGR [-L (L) ロード・モジュール] [ -d 年 ] [ -k (K) <K> ] [ - ] [ P- <PW> ] -e (E) <ファイル>

説明

efskeymgr コマンドは、EFS に必要なすべての鍵管理操作専用です。 EFS が efsenable コマンドを使用してシステムで使用可能になっていると、鍵ストア (公開鍵と秘密鍵のリポジトリー) が /var/efs ディレクトリーに作成されます。

ユーザー鍵ストアの初期パスワードは、ユーザーのログイン・パスワードです。グループ鍵ストアと admin 鍵ストアは、パスワードではなく、アクセス・キーで保護されます。アクセス・キーは、このグループに属するすべてのユーザー鍵ストア内に保管されます。

鍵ストアを開くと (ログイン時または efskeymgr コマンドで明示的に)、この鍵ストアに入っている秘密鍵がカーネルにプッシュされ、処理と関連付けられます。アクセス・キーが鍵ストア内で見つかった場合は、対応する鍵ストアも開き、鍵が自動的にそのカーネルにプッシュされます。

鍵ストアは、admin モードと guard モードの 2 つの管理モードをサポートします。

admin モード: このモードに鍵ストアを設定すると、aix.security.efs RBAC 権限と admin 鍵ストアへのアクセス・キーを持つ EFS 管理者は、鍵ストアを開いて、パスワードのリセット、鍵の再生成、アクセス・キーの追加や削除などの管理を行うことができます。
guard モード: このモードに鍵ストアを設定すると、EFS 管理者は鍵ストアにアクセスできません。このモードでは、鍵ストアへのパスワードを失うと、秘密鍵をリカバリーできません。

鍵ストアのパスワードがログイン・パスワードと同じ場合は、鍵ストアがログイン時に自動的に開き、その鍵がセッションで使用可能になります。 passwd コマンドが使用され、既存のパスワードが指定された場合、鍵ストアのパスワードはログイン・パスワードと同期します。鍵ストアのパスワードが何らかの時点でログイン・パスワードと同期していない場合は、efskeymgr コマンドを使用して鍵ストアのパスワードを変更できます。パスワードが同期化されないと、ログイン時に鍵が自動的にセッションと関連付けられません。

次のコマンドは、cmd コマンドの実行に対してのみ、EFS 証明書を認可したり、削除したりします。 cmd コマンドが戻ると、前のプロセスの証明書が復元されます。

efskeymgr –o <cmd> and efskeymgr –c <cmd>

秘密鍵が鍵ストアで再生成される場合、新規の秘密鍵が作成され、古い鍵には「deprecated」(非推奨) のマークが付きます。

注: 新しい鍵はカーネルにプッシュされません。新規の鍵をファイル操作に使用できるようにするには、efskeymgr コマンドを使用するか、セッションを閉じてから開いて、鍵ストアを再度開く必要があります。

非推奨の鍵は、ファイルの暗号化解除に使用できますが、ファイルの暗号化には使用できません。非推奨の鍵は鍵ストアから除去できます。ただし、この場合、その古い鍵で暗号化されたファイルはすべてアクセス不能となります。

注: この EFS コマンドでは、デフォルト設定である役割ベースのアクセス制御 (RBAC) がシステム上で有効になっている必要があります。

遅延オペレーション

鍵ストアは、コマンドまたはアクションで直接変更できない場合があります。この場合は、特殊ファイルが鍵ストアのディレクトリーに作成され、鍵ストアが次回開く際に解析されます。この特殊ファイルは、Cookie と呼ばれます。 admin モードの鍵ストアの場合、Cookie は鍵ストアが開く際に自動的に解析されます (ログイン時または efskeymgr コマンドの実行時)。 guard モードの鍵ストアの場合、Cookie は自動的に解析されません。ユーザーはその承認をその鍵ストアの変更ごとに与える必要があります。セッションを開く際、1 つ以上のオペレーションが EFS 鍵ストアで保留中の場合はメッセージが表示されます。

秘密鍵を再生成する必要がある。
group/group1 鍵ストアへのアクセスを認可される。

efskeymgr -v コマンドを実行して、保留中のオペレーションを処理する必要があります。

以下のアクションが可能です。

Private key regeneration (秘密鍵の再生成)。この結果、新規の秘密鍵が生成され、古い秘密鍵に「deprecated」(非推奨) のマークが付きます。
New access key (新規のアクセス・キー)。この Cookie を受け入れると、新規の鍵ストアへのアクセスを取得します (例えば、ユーザーが追加されたグループの鍵ストアなど)。
Remove access key (アクセス・キーの削除)。この Cookie を受け入れると (アクセス・キーがグループから削除される場合など)、鍵ストアへのアクセスを失います。

注: 鍵ストアを開くフラグ (例えば、 -v (V) フラグ) を指定して ESSKEYMGR コマンドを実行すると、各 Cookie の処理方法を求めるプロンプトが出されます。選択項目は次のとおりです。

Accept the cookie (Cookie の受け入れ): 鍵ストアが Cookie に応じて変更された後に、その Cookie が破棄されます。
Postpone the cookie (Cookie の延期): 鍵ストアは変更されず、その Cookie は削除されません。次回アクションについてのプロンプトが出されます。
Delete the cookie (Cookie の削除): 鍵ストアは変更されず、その Cookie が削除されます。 efskeymgr コマンドを使用して、アクションを再実行する必要があります。

フラグ

項目	説明
一般フラグ:
-d	詳細モード。
-g	鍵ストアが開く際に保留中のオペレーションを処理しません。
-k (K) K	オペレーションは、アクティブ・ユーザーの鍵ストアの代わりに ks 鍵ストアがターゲットになります。 ks 値は次のようになります。 user/<login> ユーザー <login> 鍵ストア。 group/<grpname> グループ <grpname> 鍵ストア。 admin/ EFS 管理鍵ストア。
-L (L) ロード・モジュール	鍵ストアの操作に使用するロード可能モジュールを指定します。
P- PW	鍵ストアを開くために使用するパスワード。これは ps コマンドなどを使用して他のユーザーが表示できてしまうため、このフラグの使用はお勧めしません。
-P ファイル名	~/.ssh/authorized_keys ディレクトリーにある OpenSSH ファイルに格納されているすべてのキーの公開鍵 Cookie をプッシュします。
コマンドのフラグ (鍵ストア・ファイルへのアクセスなし):
-?	コマンド・ヘルプと出口を表示します。
-q	鍵の再生成に対してサポートされるアルゴリズムのリストを表示します。
-V	カーネル内でアクティブなプロセスの証明書に関連付けられた鍵を表示します。
コマンド用フラグ (鍵ストアへの読み取り専用アクセス):
「-c」 <CMD>	カーネルからすべての鍵を削除し、cmd コマンドを実行します。 cmd コマンドが終了すると、鍵は復元されます。
-m	鍵ストアで保留中のすべてのオペレーションをリストします。
- <CMD>	鍵ストアを開いて鍵をプッシュし、cmd コマンドを実行します。 cmd コマンドが終了すると、鍵は廃棄されます。
-v	鍵ストア・ファイルの内容を表示します。
コマンド用フラグ (鍵ストアへの読み取り/書き込みアクセス):
-C <グループ>	group グループの鍵ストアを作成します。
-D <FP>	非推奨の秘密鍵を鍵ストアから削除します。 fp 値はキーの指紋です。
-e (E) <ファイル>	鍵ストアをファイルにエクスポートします。ファイルは PKCS#12 形式でエンコードされ、鍵ストアからの公開鍵と秘密鍵を含みます。このファイルは、openssh などで使用できます。
-n	ユーザー鍵ストアの場合は、鍵ストア用の新規パスワードについてのプロンプトを出します。グループ鍵ストアの場合は、新規アクセス・キーを生成し、グループ・メンバーに送信します。 admin 鍵ストアの場合は、新規アクセス・キーを生成します。その後で、鍵は efskeymgr コマンドを使用して EFS 管理者に送信されなければなりません。
-R <アルゴ>	鍵ストアの秘密鍵を再生成します。アルゴパラメーターの有効な値については、 -Q (Q) フラグを参照してください。
- <モード>	鍵ストアの管理モードを変更します。 mode 値は次のようになります。 admin EFS 管理者は鍵ストアを管理できます。保留中のオペレーションは自動的に適用されます。 guard EFS 管理者は鍵ストアを管理できません。保留中のオペレーションについてのプロンプトがユーザーに対して出されます。
-S <ks2>	ks2 アクセス・キーを鍵ストアから削除します。鍵ストアを次回開く際、ks2 秘密鍵は自動的にプッシュされません。
-s <ks2>	鍵ストアのアクセス・キーを ks2 鍵ストアに送信します。 ks2 キーを次回開く際、鍵ストアの秘密鍵は自動的にロードされます。

終了状況

項目	説明
0	コマンドは正常に実行されました。
1	コマンドの実行中にエラーが発生しました。
※2	コマンド・ラインで構文エラーが発生しました。

セキュリティー

RBAC ユーザーおよび Trusted AIX ユーザーへの注意: このコマンドは特権操作を実行できます。特権命令を実行できるのは特権ユーザーのみです。権限および特権について詳しくは、「 セキュリティ」の「特権コマンド・データベース」を参照してください。このコマンドに関連した特権および権限のリストについては、lssecattr コマンドまたは getcmdattr サブコマンドの項を参照してください。

例

自分の鍵ストアの内容を表示するには、次のように入力します。
```
efskeymgr –v
```
アクティブ・シェルに関連付けられた鍵を表示するには、次のように入力します。
```
efskeymgr -V
```
自分の鍵ストアから秘密鍵を再生成するには、次のように入力します。
```
efskeymgr –R RSA_1024
```
非推奨の鍵を削除するには、次のように入力します。
```
efskeymgr –D dbb62547:d6925088:45357fd3:54cddbba:27b255a9
```
グループ「students」のアクセス・キーをユーザー「joe」へ送信するには、次のように入力します。
```
efskeymgr –k group/students –s user/joe
```
~/.ssh/authorized_keys ファイルにインストール済みの公開鍵が格納されているターゲットの鍵ストアに入っている、Open-SSH クライアント・ユーザーの Open-SSH 公開鍵 Cookie をプッシュするには、次のように入力します。
```
efskeymgr  -P  ~/.ssh/authorized_keys
```
グループ鍵ストアを LDAP に直接作成するには、次のように入力します (構成されている場合)。
```
efskeymgr -L LDAP -C staff
```

ファイル

項目	説明
/var/efs	すべての鍵ストアが入っています。
/etc/security/user	ユーザー鍵ストアの作成と管理のための EFS 属性が入っています。
/etc/security/group	グループ鍵ストアの作成のための EFS 属性が入っています。