eimadmin コマンド
目的
エンタープライズ ID マッピング (EIM) ドメインを管理します。
構文
eimadmin -a | -p | -l | -m | -e -D | -R | -I | -A | -C [-s スイッチ] [-v verboseLevel] [-c accessType] [-f accessUserタイプ] [-g registryParent] [-i 識別子] [-j otherIdentifier] [-k URI] [-n 説明] [-o 情報] [-q accessUser] [-r registryName] [-t associationType] [-u registryUser] [-x registryAlias] [-y registryType] [-z registryAliasタイプ] [-d domainDN] [-h ldapHost] [-b bindDN] [-w bindPassword] [-K keyFile [ -P keyFileパスワード] [-N certificateLabel]] [-S connectType]
説明
eimadmin コマンドは、 AIX® System Services シェル・ツールです。 管理者はこれを使用して、EIM ドメインを定義することと、 レジストリー、ID、および ID とレジストリー・ユーザー間の関連を用いてドメインの事前準備をすることができます。 管理者は、 eimadmin を使用して、ユーザー (および他の管理者) に EIM ドメインへのアクセス権限を付与したり、EIM エンティティーをリストまたは除去したりすることもできます。
- eimadmin コマンドにコマンド行オプションを指定して情報を組み込む
- eimadmin コマンドが参照する入力ファイルに情報を組み込む
ファイルは手動でも、データベースからレコードをエクスポートすることによっても作成できます。 管理者は、コマンド・ライン・オプションを組み合わせて指定することによって、ユーティリティーの処理を指示します。
- オブジェクトの追加 (-a)
- オブジェクトのパージ (-d)
- オブジェクトのリスト (-l)
- オブジェクトに関連付けられた属性の変更 (-m)
- 属性の消去 (-e)
- ドメイン (-D)
- レジストリー (-R)
- ID (-I)
- 関連 (-A)
- アクセス権限 (-C)
- 各 eimadmin コマンドには、1 つのアクションと 1 つのオブジェクト・タイプを含める必要があります。 オブジェクトとそれに関して実行するアクションによっては、EIM が追加のパラメーターを必要とすることがあります。
- 一部のオプションは複数値属性用です。その場合は属性を複数回指定できます。 その他のオプションは、単一値属性用なので、1 回だけしか属性を指定できません。 (単一値属性に対してオプションを繰り返すと、 eimadmin はコマンド内で最初に検出された値のみを処理します。) この規定を除いて、パラメーターを指定する順序はどのような順序でもかまいません。
- eimadmin コマンドのパラメーターは、いくつかの方法でコーディングできます。
- アクションとオブジェクトを連結して、埋め込まれたハイフンを省略する。
-aD
- 両方のハイフンを組み込み、2 つのオプションはスペースで区切る。
-a -D
-a-D
- アクションとオブジェクトを連結して、埋め込まれたハイフンを省略する。
フラグ
eimadmin コマンドは、以下のアクション・フラグを取ります。
項目 | 説明 |
---|---|
-a | オブジェクトを追加します。 (オブジェクト定義とその属性を作成します。) |
-e | 属性を消去します。 (単一値属性をクリアするか、複数値属性を除去します。) |
-l | オブジェクトをリストします。 (オブジェクト定義とその属性を検索します。) |
-m | 属性を変更します。 (単一値属性を変更するか複数値属性を追加することによって、既存オブジェクトを変更します。) |
-p | オブジェクトをパージします。 (オブジェクト定義とその属性を除去します。) |
eimadmin コマンドは、以下のオブジェクト・フラグを取ります。
項目 | 説明 |
---|---|
-A | 関連。 これは EIM ドメイン内の ID とユーザー ID 間の関係です。 |
-C | アクセス権限。 これは EIM 定義の LDAP アクセス制御グループです。 |
-D | ドメイン。 これは ID、ユーザー・レジストリー、および ID とユーザー ID 間の関連で、LDAP ディレクトリーに保管されます。 |
-I | ID。 これは個人または EIM ドメインに関与しているエンティティーの名前です。 |
-R | レジストリー。 これはユーザー・レジストリーの名前です。 関連はユーザー・レジストリー内の ID とユーザー ID 間で定義されます。 |
eimadmin コマンドは、以下の処理制御フラグを取ります。
項目 | 説明 |
---|---|
-s スイッチ | switch は、 eimadmin コマンド機能の動作に影響を与える値を指定します。 以下の値を指定できます。
|
-v verboseLevel | verboseLevel パラメーターは、 eimadmin コマンドが表示するトレース詳細の量を制御する 1 から 10 までの整数です。 (これは、 eimadmin ユーティリティーの問題を診断するためのものです。) デフォルト値は 0 で、トレース情報を取らないことを示しています。 整数値 1 から 10 を指定して、
トレース情報の量を少ないものから多いものにすることができます。 ユーティリティーはこの値を検査して、そのレベル以下で定義されているトレース情報を表示します。 以下のレベルは特定の情報を表示させます。
|
- これらの属性は、コマンド・オプションとしてまたは入力ファイルのフィールドとして指定できます。 コマンド・オプションを指定する場合は、値を組み込みブランクで引用符 (") で囲む必要があります。 または (')。 単一ワード値の場合、引用符はオプションです。 引用符を付けないで複数ワード値を指定すると、結局、コマンド・ライン・オプションが切り捨てられます。最初のワードの後の値はすべて切り捨てられます。
- 次の特殊文字は registryName、registryParent、または identifier では使用できません。
, = + < > # ; \ *
項目 | 説明 |
---|---|
-c accessType | EIM ドメイン内でユーザーがもつアクセス権限のスコープを指定します。 accessType は、以下の値の 1 つでなければなりません。
|
-f accessUserタイプ | アクセス・ユーザー名のタイプを指定します。 accessUserType は、以下のタイプの 1 つでなければなりません。
|
-g registryParent | システム・レジストリーの名前を指定します。 アプリケーション・レジストリーはシステム・レジストリーのサブセットです。 アプリケーション・レジストリーを追加する場合は、 -r オプションと -g オプションを使用する必要があります。 -r 値は、定義するアプリケーション・レジストリーです。 -g オプションは、既存のシステム・レジストリーです。 |
-i ID | 固有 ID 名を指定します。 例: John Day |
-j otherIdentifier | 非固有 ID 名を指定します。 例: John 注: このオプションを複数回指定して、複数の非固有 ID を割り当てることができます。
|
-k URI | レジストリーの Universal Resource Identifier (URI) を指定します (存在する場合)。 |
-n 説明 | ドメイン、レジストリー、ID、または関連に関連付ける任意のテキスト (ユーザー提供) を指定します。 注: ユーザー記述は、ターゲット・アソシエーションに対してのみ定義できます。
|
-o 情報 | ID または関連に関連付ける追加情報を指定します。 注: ユーザー情報は、ターゲット・アソシエーションに対してのみ定義できます。 このオプションを複数回指定して、複数の情報断片を割り当てることができます。
|
-q accessUser | 指定された accessUserType に応じて、EIM アクセスで用いるユーザーの識別名 (DN) または Kerberos ID を指定します。 |
-r registryName | レジストリーの名前を指定します。 新しいレジストリーを追加すると、 -g オプションも指定しない限り、 eimadmin はそのレジストリーをシステム・レジストリーとして扱います。 -g オプションを指定すると、 eimadmin はレジストリーをアプリケーション・レジストリーとして扱います。 |
-t associationType | ID とレジストリー間の関係を指定します。 associationType は、以下の 1 つでなければなりません。
注: このオプションを複数回指定して、複数の関係を定義できます。
|
-u registryUser | レジストリー内のユーザー定義のユーザー ID を指定します。 |
-x registryAlias | レジストリーの別の名前を指定します。 複数の別名を割り当てるには、このオプションを複数回指定する必要があります。 |
-y registryType | レジストリーのタイプを指定します。 eimadmin が認識する事前定義タイプには、以下のものがあります。
|
-z registryAliasタイプ | レジストリー別名のタイプを指定します。 独自の値を作ることも、以下の推奨値のうちの 1 つを使用することもできます。
注: コマンド行オプションのセットまたは単一入力データ・レコードの場合、 eimadmin コマンドは、 registryAliasTypeの最初の指定のみを認識します。 ただし、 eimadmin コマンドは複数のレジストリー別名を認識し、それらすべてを単一の registryAliasTypeに関連付けます。
|
eimadmin コマンドは、以下の接続タイプ・フラグを取ります。
項目 | 説明 |
---|---|
-b bindDN | LDAP との簡易バインドに使用する識別名を指定します。 |
-d domainDN | EIM ドメインの完全識別名 (DN) を指定します。 domainDN は、'ibm-eimDomainName=' で始まり以下のエレメントから構成されます。
|
-h ldapHost | EIM データを制御している LDAP サーバーの URL とポートを指定します。 フォーマットは次のとおりです。
|
-K keyFile | SSL キー・データベース・ファイルの名前 (絶対パス名を含む) を指定します。 ファイルが見つからない場合は、認証証明書を含む RACF 鍵リングの名前であると想定されます。 この値は、セキュア LDAP ホスト (接頭部 ldaps:// ) との SSL 通信に必要です。 次に例を示します。 |
-N certificateLabel | 鍵データベース・ファイルまたは RACF 鍵リングから使用する証明書を指定します。 このオプションを指定しないと、ファイルまたはリング内でデフォルトとマークされた証明書が使用されます。 |
-P keyFileパスワード | キー・データベース・ファイル内の暗号化された情報にアクセスするために必要なパスワードを指定します。 代わりに、file:// を用いて stash ファイルをプレフィックス変換することによって、
このオプションで SSL パスワード stash ファイルを指定することもできます。 次に例を示します。 注: -K オプションに鍵データベース・ファイルの名前を指定し、コマンド行で -P オプションを指定しない場合、 eimadmin コマンドは鍵ファイル・パスワードの入力を求めるプロンプトを出します。
|
-S connectType | LDAP サーバーに対する認証方式を指定します。 connectType は、以下の値の 1 つでなければなりません。
|
-w bindPassword | バインド DN と関連したパスワードを指定します。 |
このユーティリティーが必要とする接続情報には、EIM ドメイン (-d) とその制御サーバー (-h)、サーバーへの認証 (バインド) に使用する ID (-b、-w、または -K、-P、-N)、および認証方式 (-S) が含まれます。
接続タイプ/ホスト・タイプ | 必要な値 | オプションの値 |
---|---|---|
SIMPLE または CRAM-MD5/セキュア (ldaps:// ) |
-d, -h, -b, -w, -K, -P | -N |
SIMPLE または CRAM-MD5/非セキュア (ldap:// ) |
-d, -h, -b, -w | |
EXTERNAL/セキュア (ldaps:// ) |
-d, -h, -K, -P, -S | -N |
EXTERNAL/非セキュア (ldap:// ) |
サポートされない | サポートされない |
GSSAPI/セキュア (ldaps:// ) |
-d, -h, -K, -P, -S | -N |
GSSAPI/非セキュア (ldap:// ) |
-d, -h, -S |
- 上記のテーブルには次の 2 つの例外があります。
- 値が入力ファイルを介して指定されている場合、ドメイン関数にはドメイン・オプション (-d) は必要ありません。
- -K が RACF 鍵リングを指定している場合、SSL 鍵データベース・ファイルのパスワードまたは stash ファイル (-P) は必要ありません。
- eimadmin コマンドは、必要な場合は単純バインド・パスワードの入力を求めるプロンプトを出し、コマンド行で -w が指定されていない場合は、SSL 鍵データベース・ファイルのパスワードの入力を求めるプロンプトを出します (必要な場合)。コマンド行で -P が指定されていない場合は、SSL 鍵データベース・ファイルのパスワードの入力を求めるプロンプトを出します。
オブジェクト・タイプ (アクション) | フラグ | コメント |
---|---|---|
D (a) |
|
ドメインを追加します。 |
D (p) |
|
ドメインを除去します。 ドメインが空でない場合は、-s RMDEPS を組み込みます。 |
D (l) |
|
ドメインをリストします。 すべてのドメインをリストするには、-d* を指定します。 |
D (m) |
|
ドメイン属性を変更または追加します。 |
D (e) |
|
ドメイン属性を除去または消去します。 |
R (a) |
|
レジストリーを追加します。 -r に指定された値は、 -g も指定されていない限り、新しいシステム・レジストリーであると想定されます。指定されている場合、 -r 値は新しいアプリケーション・レジストリーを示します。 |
R (p) |
|
レジストリーを除去します。 |
R (l) |
|
レジストリーをリストします。 指定された -r 値検索フィルターに一致する、ドメイン内のすべてのレジストリー項目を返します。これにはワイルドカード *が含まれる場合があります。 |
R (m) |
|
レジストリー属性 (レジストリー別名を含む) を変更または追加します。 |
R (e) |
|
レジストリー属性 (レジストリー別名を含む) を除去または消去します。 |
I (a) |
|
ID を追加します。 |
I (p) |
|
ID を除去します。 |
I (l) |
|
固有 ID 名別に ID をリストします。 指定された -i 値検索フィルターに一致するドメイン内のすべての ID エントリーを返します。これにはワイルドカード *が含まれる場合があります。 |
I (l) |
|
非固有 ID 名別に ID をリストします。 指定された -j 値検索フィルターに一致する非固有 ID を持つ、ドメイン内のすべての ID 項目を返します。これには、ワイルドカード *が含まれる場合があります。 |
I (m) |
|
ID 属性を変更または追加します。 |
I (e) |
|
ID 属性を除去または消去します。 |
A (a) |
|
関連を追加します。 -t オプションを繰り返して、複数の関連タイプを追加できます。 -n および -o フラグは、TARGET 関連にのみ関連します。 |
A (p) |
|
関連を除去します。 -t オプションを繰り返して、複数の関連付けタイプを削除できます。 |
A (l) |
|
関連をリストします。 指定された -i 固有 ID のドメイン内のすべての関連付けを返します。 -t 値を指定して、指定された関連タイプに返されるエントリーを制限します。 |
A (m) |
|
関連属性を変更または追加します。 -n および -o フラグは、TARGET 関連にのみ関連します。 |
A (e) |
|
関連属性を除去または消去します。 -n および -o フラグは、TARGET 関連にのみ関連します。 |
C (a) |
|
アクセスを追加します。 アクセス・タイプ REGISTRY の場合は、特定の -r レジストリー値、またはドメイン内のすべてのレジストリーへのアクセスを示すワイルドカード * を指定します。 |
C (p) |
|
アクセスを除去します。 アクセス・タイプ REGISTRY の場合は、特定の -r レジストリー値、またはドメイン内のすべてのレジストリーへのアクセスを示すワイルドカード * を指定します。 |
C (l) |
|
タイプ別にアクセスをリストします。 アクセス・タイプ REGISTRY の場合は、特定の -r レジストリー値、またはドメイン内のすべてのレジストリーへのアクセスを示すワイルドカード * を指定します。 |
C (l) |
|
ユーザー別にアクセスをリストします。 |
終了状況
eimadmin コマンドは、完了時に以下のいずれかの終了コードを戻します。
項目 | 説明 |
---|---|
0 | 成功。 |
4 | 1 つ以上のエラーが起こったが、すべてのレコードが処理された (入力ファイルを指定した場合)。 |
8 | 入力ファイル (指定された場合) の最後に到達する前に、処理を停止させる重大エラーが発生した。 |
例
- 単一ドメインをリストするには、次のように入力します。
これは次の出力に似たものを戻します。eimadmin -lD -h ldap://my.server -b "cn=EIM admin,o=MyCompany,c=US" -d "ibm-eimDomainName=My Employees,o=My Company,c=US"
domain name: My Employees domain DN: ibm-eimDomainName=My Employees,o=My Company,c=US description: employees in my company
- 単一レジストリーをリストするには、次のように入力します。
これは次の出力に似たものを戻します。eimadmin -lR -r MyRegistry
registry: MyRegistry registry kind: APPLICATION registry parent: MySystemRegistry registry type: RACF description: my racf registry URI: ldap://some.big.host:389/profileType=User,cn=RACFA,o=My Company,c=US registry alias: TCPGROUP registry alias type: DNSHostName
- ID をリストするには、次のように入力します。
これは次の出力に似たものを戻します。eimadmin -lI -i "J.C.Smith"
unique identifier: J.C.Smith other identifier: J.C.Smith other identifier: Joseph other identifier: Joe description: 004321 information: D01 information: 1990-04-11
- 宛先関連をリストするには、次のように入力します。
これは次の出力に似たものを戻します。eimadmin -lA -i "J.C.Smith" -t target
unique identifier: J.C.Smith registry: MyRegistry registry type: RACF association: target registry user: SMITH description: TSO information: 1989-08-01 information: ADMIN1
- アクセスをリストするには、次のように入力します。
これは次の出力に似たものを戻します。eimadmin -lC -c admin
access user: cn=JoeUser,o=My Company,c=us access user: cn=admin1,o=My Company,c=us access user: cn=admin2,o=My Company,c=us
場所
/usr/bin/eimadmin
セキュリティー
- EIM ドメインを収容している LDAP サーバーに定義された BIND 識別名およびパスワードをもっている。
- BIND 識別名が次の EIM 権限のうちの 1 つをもっている。
- EIM 管理者
- EIM レジストリー管理者
- EIM レジストリー X 管理者
- EIM ID 管理者
標準エラー
eimadmin コマンドは、パスワードの入力を求めるプロンプトを出すか、エラーを示すメッセージを出します。 入力ファイルを使用していない場合は、正常終了のメッセージを受信することは期待しないでください。 入力ファイル内のレコードを処理する場合、 eimadmin は、50 レコードごとの進行メッセージに加えて、プロセスの開始時および停止時に通知メッセージを発行します。