eimadmin コマンド

オンライン編集

目的

エンタープライズ ID マッピング (EIM) ドメインを管理します。

構文

eimadmin -a | -p | -l | -m | -e -D | -R | -I | -A | -C [-s スイッチ] [-v verboseLevel] [-c accessType] [-f accessUserタイプ] [-g registryParent] [-i 識別子] [-j otherIdentifier] [-k URI] [-n 説明] [-o 情報] [-q accessUser] [-r registryName] [-t associationType] [-u registryUser] [-x registryAlias] [-y registryType] [-z registryAliasタイプ] [-d domainDN] [-h ldapHost] [-b bindDN] [-w bindPassword] [-K keyFile [ -P keyFileパスワード] [-N certificateLabel]] [-S connectType]

説明

eimadmin コマンドは、 AIX® System Services シェル・ツールです。 管理者はこれを使用して、EIM ドメインを定義することと、 レジストリー、ID、および ID とレジストリー・ユーザー間の関連を用いてドメインの事前準備をすることができます。 管理者は、 eimadmin を使用して、ユーザー (および他の管理者) に EIM ドメインへのアクセス権限を付与したり、EIM エンティティーをリストまたは除去したりすることもできます。

管理者は、次の 2 つの方法で eimadmin コマンドを使用できます。
  • eimadmin コマンドにコマンド行オプションを指定して情報を組み込む
  • eimadmin コマンドが参照する入力ファイルに情報を組み込む

ファイルは手動でも、データベースからレコードをエクスポートすることによっても作成できます。 管理者は、コマンド・ライン・オプションを組み合わせて指定することによって、ユーティリティーの処理を指示します。

eimadmin コマンドは、以下のアクションを実行できます。
  • オブジェクトの追加 (-a)
  • オブジェクトのパージ (-d)
  • オブジェクトのリスト (-l)
  • オブジェクトに関連付けられた属性の変更 (-m)
  • 属性の消去 (-e)
上記のアクションは、以下のオブジェクトに関して実行されます。
  • ドメイン (-D)
  • レジストリー (-R)
  • ID (-I)
  • 関連 (-A)
  • アクセス権限 (-C)
注:
  1. eimadmin コマンドには、1 つのアクションと 1 つのオブジェクト・タイプを含める必要があります。 オブジェクトとそれに関して実行するアクションによっては、EIM が追加のパラメーターを必要とすることがあります。
  2. 一部のオプションは複数値属性用です。その場合は属性を複数回指定できます。 その他のオプションは、単一値属性用なので、1 回だけしか属性を指定できません。 (単一値属性に対してオプションを繰り返すと、 eimadmin はコマンド内で最初に検出された値のみを処理します。) この規定を除いて、パラメーターを指定する順序はどのような順序でもかまいません。
  3. eimadmin コマンドのパラメーターは、いくつかの方法でコーディングできます。
    • アクションとオブジェクトを連結して、埋め込まれたハイフンを省略する。-aD
    • 両方のハイフンを組み込み、2 つのオプションはスペースで区切る。-a -D
    つまり、以下の例は、両方のハイフンが含まれており、 -Dの前にスペースがないため、 無効 です。 -a-D

フラグ

eimadmin コマンドは、以下のアクション・フラグを取ります。

項目 説明
-a オブジェクトを追加します。 (オブジェクト定義とその属性を作成します。)
-e 属性を消去します。 (単一値属性をクリアするか、複数値属性を除去します。)
-l オブジェクトをリストします。 (オブジェクト定義とその属性を検索します。)
-m 属性を変更します。 (単一値属性を変更するか複数値属性を追加することによって、既存オブジェクトを変更します。)
-p オブジェクトをパージします。 (オブジェクト定義とその属性を除去します。)

eimadmin コマンドは、以下のオブジェクト・フラグを取ります。

項目 説明
-A 関連。 これは EIM ドメイン内の ID とユーザー ID 間の関係です。
-C アクセス権限。 これは EIM 定義の LDAP アクセス制御グループです。
-D ドメイン。 これは ID、ユーザー・レジストリー、および ID とユーザー ID 間の関連で、LDAP ディレクトリーに保管されます。
-I ID。 これは個人または EIM ドメインに関与しているエンティティーの名前です。
-R レジストリー。 これはユーザー・レジストリーの名前です。 関連はユーザー・レジストリー内の ID とユーザー ID 間で定義されます。

eimadmin コマンドは、以下の処理制御フラグを取ります。

項目 説明
-s スイッチ switch は、 eimadmin コマンド機能の動作に影響を与える値を指定します。 以下の値を指定できます。
RMDEPS
ドメインまたはシステム・レジストリーを除去するときに、それに従属しているものも除去します。 これにより、 そのドメインで定義されているすべての ID とレジストリーが最初に除去されるので、ドメインの除去が容易になります。 また、これにより、 そのレジストリーで定義されているすべてのアプリケーション・レジストリーが最初に除去されるので、システム・レジストリーの除去が容易になります。
重要: 重要: eimadmin コマンドは、従属セグメントを除去する前に従属セグメントが存在することを警告しません。したがって、このスイッチは慎重に使用してください。
-v verboseLevel verboseLevel パラメーターは、 eimadmin コマンドが表示するトレース詳細の量を制御する 1 から 10 までの整数です。 (これは、 eimadmin ユーティリティーの問題を診断するためのものです。) デフォルト値は 0 で、トレース情報を取らないことを示しています。 整数値 1 から 10 を指定して、 トレース情報の量を少ないものから多いものにすることができます。 ユーティリティーはこの値を検査して、そのレベル以下で定義されているトレース情報を表示します。 以下のレベルは特定の情報を表示させます。
  • 3 を指定すると EIM API 呼び出しパラメーターと戻り値を表示します。
  • 6 を指定するとオプション値と入力ファイル・ラベルを表示します。
  • 9 を指定するとユーティリティー・ルーチンのエントリー・ステートメントと終了ステートメントを表示します。
eimadmin コマンドは、以下の表にリストされている必須およびオプションの属性フラグを取ります。 フラグ・オプションは、示されていない限り、単一値です。 オプションを複数回指定すると、ユーティリティーは最初のものだけを処理します。
注:
  1. これらの属性は、コマンド・オプションとしてまたは入力ファイルのフィールドとして指定できます。 コマンド・オプションを指定する場合は、値を組み込みブランクで引用符 (") で囲む必要があります。 または (')。 単一ワード値の場合、引用符はオプションです。 引用符を付けないで複数ワード値を指定すると、結局、コマンド・ライン・オプションが切り捨てられます。最初のワードの後の値はすべて切り捨てられます。
  2. 次の特殊文字は registryNameregistryParent、または identifier では使用できません。
    , = + < > # ; \ *
項目 説明
-c accessType EIM ドメイン内でユーザーがもつアクセス権限のスコープを指定します。 accessType は、以下の値の 1 つでなければなりません。
ADMIN
管理アクセスを指定します。
REGISTRY
レジストリー・アクセスを指定します。 REGISTRYを指定する場合は、レジストリー値 (-r) も指定する必要があります。 レジストリー値は、特定のレジストリー名にすることも、すべてのレジストリーへのアクセスを示すアスタリスク (*) にすることもできます。
ID
ID アクセスを指定します。
MAPPING
マッピング操作アクセスを指定します。
-f accessUserタイプ アクセス・ユーザー名のタイプを指定します。 accessUserType は、以下のタイプの 1 つでなければなりません。
DN
accessUser は識別名です。
KERBEROS
accessUser は Kerberos ID です。
-g registryParent システム・レジストリーの名前を指定します。 アプリケーション・レジストリーはシステム・レジストリーのサブセットです。 アプリケーション・レジストリーを追加する場合は、 -r オプションと -g オプションを使用する必要があります。 -r 値は、定義するアプリケーション・レジストリーです。 -g オプションは、既存のシステム・レジストリーです。
-i ID 固有 ID 名を指定します。 例: John Day
-j otherIdentifier 非固有 ID 名を指定します。 例: John
注: このオプションを複数回指定して、複数の非固有 ID を割り当てることができます。
-k URI レジストリーの Universal Resource Identifier (URI) を指定します (存在する場合)。
-n 説明 ドメイン、レジストリー、ID、または関連に関連付ける任意のテキスト (ユーザー提供) を指定します。
注: ユーザー記述は、ターゲット・アソシエーションに対してのみ定義できます。
-o 情報 ID または関連に関連付ける追加情報を指定します。
注: ユーザー情報は、ターゲット・アソシエーションに対してのみ定義できます。 このオプションを複数回指定して、複数の情報断片を割り当てることができます。
-q accessUser 指定された accessUserType に応じて、EIM アクセスで用いるユーザーの識別名 (DN) または Kerberos ID を指定します。
-r registryName レジストリーの名前を指定します。 新しいレジストリーを追加すると、 -g オプションも指定しない限り、 eimadmin はそのレジストリーをシステム・レジストリーとして扱います。 -g オプションを指定すると、 eimadmin はレジストリーをアプリケーション・レジストリーとして扱います。
-t associationType ID とレジストリー間の関係を指定します。 associationType は、以下の 1 つでなければなりません。
ADMIN
管理目的用の ID にユーザー ID を関連付けることを指定します。
ソース
そのユーザー ID が検索操作の (からの) ソースであることを示します。
ターゲット
そのユーザー ID が検索操作の (に対する) ターゲットであることを示します。
注: このオプションを複数回指定して、複数の関係を定義できます。
-u registryUser レジストリー内のユーザー定義のユーザー ID を指定します。
-x registryAlias レジストリーの別の名前を指定します。 複数の別名を割り当てるには、このオプションを複数回指定する必要があります。
-y registryType レジストリーのタイプを指定します。 eimadmin が認識する事前定義タイプには、以下のものがあります。
  • RACF®
  • OS/400®
  • KERBEROS (大/小文字を無視する場合)
  • KERBEROSX (大/小文字を正確に識別する場合)
  • AIX
  • NDS
  • LDAP
  • PD (Policy Director)
  • WIN2K
以下の 2 つの正規化方式のうちの 1 つを用いて、固有の OID を連結することによって独自のタイプを作成することもできます。
  • caseIgnore
  • caseExact
-z registryAliasタイプ レジストリー別名のタイプを指定します。 独自の値を作ることも、以下の推奨値のうちの 1 つを使用することもできます。
  • DNSHostName
  • KerberosRealm
  • IssuerDN
  • RootDN
  • TCPIPAddress
  • LdapDnsHostName
注: コマンド行オプションのセットまたは単一入力データ・レコードの場合、 eimadmin コマンドは、 registryAliasTypeの最初の指定のみを認識します。 ただし、 eimadmin コマンドは複数のレジストリー別名を認識し、それらすべてを単一の registryAliasTypeに関連付けます。

eimadmin コマンドは、以下の接続タイプ・フラグを取ります。

項目 説明
-b bindDN LDAP との簡易バインドに使用する識別名を指定します。
-d domainDN EIM ドメインの完全識別名 (DN) を指定します。 domainDN は、'ibm-eimDomainName=' で始まり以下のエレメントから構成されます。
domainName
作成する EIM ドメインの名前です。 例えば、 MyDomainです。
親の識別名
ディレクトリー情報ツリー階層内のあるエントリーのすぐ上のエントリーの識別名 (o=ibm,c=us など) です。 次に例を示します。
 ibm-eimDomainName=MyDomain,o=ibm,c=us
-h ldapHost EIM データを制御している LDAP サーバーの URL とポートを指定します。 フォーマットは次のとおりです。
ldap://some.ldap.host:389  
ldaps://secure.ldap.host:636
-K keyFile SSL キー・データベース・ファイルの名前 (絶対パス名を含む) を指定します。 ファイルが見つからない場合は、認証証明書を含む RACF 鍵リングの名前であると想定されます。 この値は、セキュア LDAP ホスト (接頭部 ldaps://) との SSL 通信に必要です。 次に例を示します。
/u/eimuser/ldap.kdb
-N certificateLabel 鍵データベース・ファイルまたは RACF 鍵リングから使用する証明書を指定します。 このオプションを指定しないと、ファイルまたはリング内でデフォルトとマークされた証明書が使用されます。
-P keyFileパスワード キー・データベース・ファイル内の暗号化された情報にアクセスするために必要なパスワードを指定します。 代わりに、file:// を用いて stash ファイルをプレフィックス変換することによって、 このオプションで SSL パスワード stash ファイルを指定することもできます。 次に例を示します。
secret  or file:///u/eimuser/ldapclient.sth
注: -K オプションに鍵データベース・ファイルの名前を指定し、コマンド行で -P オプションを指定しない場合、 eimadmin コマンドは鍵ファイル・パスワードの入力を求めるプロンプトを出します。
-S connectType LDAP サーバーに対する認証方式を指定します。 connectType は、以下の値の 1 つでなければなりません。
  • SIMPLE (バインド DN とパスワード)
  • CRAM-MD5 (バインド DN と保護パスワード)
  • EXTERNAL (デジタル証明書)
  • GSSAPI (Kerberos)
指定しない場合、 connectType はデフォルトで SIMPLEになります。 接続タイプ GSSAPIの場合、デフォルトの Kerberos 資格情報が使用されます。 この資格情報は、 eimadminを実行する前に kinit などのサービスを使用して設定する必要があります。 KINIT および関連情報については、「 AIX Authentication Service Administration」を参照してください。
-w bindPassword バインド DN と関連したパスワードを指定します。

このユーティリティーが必要とする接続情報には、EIM ドメイン (-d) とその制御サーバー (-h)、サーバーへの認証 (バインド) に使用する ID (-b-w、または -K-P-N)、および認証方式 (-S) が含まれます。

ドメイン (-D) 以外のオブジェクト・タイプの場合、ドメイン、サーバー、およびバインド ID の指定はオプションです。 これらが指定されていない場合、情報は RACF プロファイルから取得されます。
注: 接続情報のいずれかを指定する場合は、接続タイプに必要な値の完全セットも指定する必要があります。 1 つ以上の値 (すべてではない) を省略すると、エラーになります。 以下の表は、 eimadmin コマンドで指定された場合の各接続およびホスト・タイプの必須値とオプション値を示しています。
接続タイプ/ホスト・タイプ 必要な値 オプションの値
SIMPLE または CRAM-MD5/セキュア (ldaps://) -d, -h, -b, -w, -K, -P -N
SIMPLE または CRAM-MD5/非セキュア (ldap://) -d, -h, -b, -w  
EXTERNAL/セキュア (ldaps://) -d, -h, -K, -P, -S -N
EXTERNAL/非セキュア (ldap://) サポートされない サポートされない
GSSAPI/セキュア (ldaps://) -d, -h, -K, -P, -S -N
GSSAPI/非セキュア (ldap://) -d, -h, -S  
注:
  1. 上記のテーブルには次の 2 つの例外があります。
    • 値が入力ファイルを介して指定されている場合、ドメイン関数にはドメイン・オプション (-d) は必要ありません。
    • -K が RACF 鍵リングを指定している場合、SSL 鍵データベース・ファイルのパスワードまたは stash ファイル (-P) は必要ありません。
  2. eimadmin コマンドは、必要な場合は単純バインド・パスワードの入力を求めるプロンプトを出し、コマンド行で -w が指定されていない場合は、SSL 鍵データベース・ファイルのパスワードの入力を求めるプロンプトを出します (必要な場合)。コマンド行で -P が指定されていない場合は、SSL 鍵データベース・ファイルのパスワードの入力を求めるプロンプトを出します。
以下のテーブルに、オブジェクト・タイプおよびアクション・ペアごとに必要なフラグとオプションのフラグが要約されています。 ほとんどのオプションの値は、コマンド・ラインで指定する代わりに入力ファイルでも指定することができます。
オブジェクト・タイプ (アクション) フラグ コメント
D (a)
  • 必須: dh
  • オプション: n
 ドメインを追加します。
D (p)
  • 必須: dh
  • オプション: s
 ドメインを除去します。 ドメインが空でない場合は、-s RMDEPS を組み込みます。
D (l)
  • 必須: dh
  • (オプション)
 ドメインをリストします。 すべてのドメインをリストするには、-d* を指定します。
D (m)
  • 必須: dh
  • オプション: n
 ドメイン属性を変更または追加します。
D (e)
  • 必須: dh
  • オプション: n
 ドメイン属性を除去または消去します。
R (a)
  • 必須: ry
  • オプション: gknxz
 レジストリーを追加します。 -r に指定された値は、 -g も指定されていない限り、新しいシステム・レジストリーであると想定されます。指定されている場合、 -r 値は新しいアプリケーション・レジストリーを示します。
R (p)
  • 必須: r
  • オプション: s
 レジストリーを除去します。
R (l)
  • 必須: r
  • オプション: y
 レジストリーをリストします。 指定された -r 値検索フィルターに一致する、ドメイン内のすべてのレジストリー項目を返します。これにはワイルドカード *が含まれる場合があります。
R (m)
  • 必須: r
  • オプション: knxz
 レジストリー属性 (レジストリー別名を含む) を変更または追加します。
R (e)
  • 必須: r
  • オプション: knxz
 レジストリー属性 (レジストリー別名を含む) を除去または消去します。
I (a)
  • 必須: i
  • オプション: jno
 ID を追加します。
I (p)
  • 必須: i
  • (オプション)
 ID を除去します。
I (l)
  • 必須: i
  • (オプション)
 固有 ID 名別に ID をリストします。 指定された -i 値検索フィルターに一致するドメイン内のすべての ID エントリーを返します。これにはワイルドカード *が含まれる場合があります。
I (l)
  • 必須: j
  • (オプション)
 非固有 ID 名別に ID をリストします。 指定された -j 値検索フィルターに一致する非固有 ID を持つ、ドメイン内のすべての ID 項目を返します。これには、ワイルドカード *が含まれる場合があります。
I (m)
  • 必須: i
  • オプション: jno
 ID 属性を変更または追加します。
I (e)
  • 必須: i
  • オプション: jno
 ID 属性を除去または消去します。
A (a)
  • 必須: irut
  • オプション: no
 関連を追加します。 -t オプションを繰り返して、複数の関連タイプを追加できます。 -n および -o フラグは、TARGET 関連にのみ関連します。
A (p)
  • 必須: irut
  • (オプション)
 関連を除去します。 -t オプションを繰り返して、複数の関連付けタイプを削除できます。
A (l)
  • 必須: i
  • オプション: t
 関連をリストします。 指定された -i 固有 ID のドメイン内のすべての関連付けを返します。 -t 値を指定して、指定された関連タイプに返されるエントリーを制限します。
A (m)
  • 必須: ru
  • オプション: no
 関連属性を変更または追加します。 -n および -o フラグは、TARGET 関連にのみ関連します。
A (e)
  • 必須: ru
  • オプション: no
 関連属性を除去または消去します。 -n および -o フラグは、TARGET 関連にのみ関連します。
C (a)
  • 必須: cqf
  • オプション: r
 アクセスを追加します。 アクセス・タイプ REGISTRY の場合は、特定の -r レジストリー値、またはドメイン内のすべてのレジストリーへのアクセスを示すワイルドカード * を指定します。
C (p)
  • 必須: cqf
  • オプション: r
 アクセスを除去します。 アクセス・タイプ REGISTRY の場合は、特定の -r レジストリー値、またはドメイン内のすべてのレジストリーへのアクセスを示すワイルドカード * を指定します。
C (l)
  • 必須: c
  • オプション: r
 タイプ別にアクセスをリストします。 アクセス・タイプ REGISTRY の場合は、特定の -r レジストリー値、またはドメイン内のすべてのレジストリーへのアクセスを示すワイルドカード * を指定します。
C (l)
  • 必須: qf
  • (オプション)
 ユーザー別にアクセスをリストします。

終了状況

eimadmin コマンドは、完了時に以下のいずれかの終了コードを戻します。

項目 説明
0 成功。
4 1 つ以上のエラーが起こったが、すべてのレコードが処理された (入力ファイルを指定した場合)。
8 入力ファイル (指定された場合) の最後に到達する前に、処理を停止させる重大エラーが発生した。

  1. 単一ドメインをリストするには、次のように入力します。
    eimadmin -lD -h ldap://my.server -b "cn=EIM admin,o=MyCompany,c=US" -d "ibm-eimDomainName=My Employees,o=My Company,c=US"
    これは次の出力に似たものを戻します。
    domain name: My Employees 
domain DN: ibm-eimDomainName=My Employees,o=My Company,c=US 
description: employees in my company
  2. 単一レジストリーをリストするには、次のように入力します。
    eimadmin -lR -r MyRegistry
    これは次の出力に似たものを戻します。
    registry: MyRegistry 
registry kind: APPLICATION 
registry parent: MySystemRegistry 
registry type: RACF 
description: my racf registry 
URI: ldap://some.big.host:389/profileType=User,cn=RACFA,o=My Company,c=US 
registry alias: TCPGROUP 
registry alias type: DNSHostName
  3. ID をリストするには、次のように入力します。
    eimadmin -lI -i "J.C.Smith"
    これは次の出力に似たものを戻します。
    unique identifier: J.C.Smith 
other identifier: J.C.Smith 
other identifier: Joseph 
other identifier: Joe 
description: 004321 
information: D01 
information: 1990-04-11
  4. 宛先関連をリストするには、次のように入力します。
    eimadmin -lA -i "J.C.Smith" -t target
    これは次の出力に似たものを戻します。
    unique identifier: J.C.Smith 
registry: MyRegistry 
registry type: RACF 
association: target 
registry user: SMITH 
description: TSO 
information: 1989-08-01 
information: ADMIN1
  5. アクセスをリストするには、次のように入力します。
    eimadmin -lC -c admin
    これは次の出力に似たものを戻します。
    access user: cn=JoeUser,o=My Company,c=us 
access user: cn=admin1,o=My Company,c=us 
access user: cn=admin2,o=My Company,c=us

場所

/usr/bin/eimadmin

セキュリティー

LDAP 管理者には、 eimadmin コマンドを使用する権限と、このコマンドが提供するすべての機能にアクセスする権限があります。 EIM 管理者は、以下の条件が真である限りは、コマンドを使用することができます。
  • EIM ドメインを収容している LDAP サーバーに定義された BIND 識別名およびパスワードをもっている。
  • BIND 識別名が次の EIM 権限のうちの 1 つをもっている。
    • EIM 管理者
    • EIM レジストリー管理者
    • EIM レジストリー X 管理者
    • EIM ID 管理者

標準エラー

eimadmin コマンドは、パスワードの入力を求めるプロンプトを出すか、エラーを示すメッセージを出します。 入力ファイルを使用していない場合は、正常終了のメッセージを受信することは期待しないでください。 入力ファイル内のレコードを処理する場合、 eimadmin は、50 レコードごとの進行メッセージに加えて、プロセスの開始時および停止時に通知メッセージを発行します。

注: eimadmin コマンドは、一致する EIM 項目が見つからない場合、またはバインド ID がそのデータへのアクセスを許可されていない場合を除き、リスト (-l) 要求に対して 1 つ以上のデータ行を戻します。