pwchange コマンド

目的

ユーザー認証およびプライバシー・キーを動的に変更します。

構文

pwchange [ -e ] [ -d DebugLevel ] [ -p Protocol ] [ -u KeyUsage ] [ -s ] [ OldPassword NewPassword ] [ IPAddress | HostName | EngineID ]

説明

pwchange コマンドは、ユーザー認証およびプライバシー・キーを動的に変更できるようにするために提供されています。認証およびプライバシー・キーの動的な構成は、構文 KeyChange のオブジェクトに set コマンドを実行して行います。実際のキー (新しいキーまたは古いキー) を回線に直接転送するのは安全でないため、 KeyChange 構文は、そのような転送を必要としないでキーを変更する方法を提供します。実際のキーを回線に直接転送するのではなく、例えばオブジェクト usmUserAuthKeyChange (例) が設定されていた場合には、 keyChange 値は、古いパスワードと新しいパスワードから導き出す必要があり、キーが使用されるエージェントの engineID が使用されます。 pwchange コマンドは、keyChange 値の生成に使用されます。

pwchange コマンドは、選択したプロトコルとキー用途により、異なる出力を生成します。通常 Keychange 値は、変更されるキーの 2 倍の長さです。

フラグ

項目	説明
-d DebugLevel	このフラグは、デバッグ情報の望ましいレベルを指定します。デバッグ・トレースは、オンまたはオフのいずれかであり、1 は、デバッグ・トレースをコマンド実行者の画面 (sysout) に生成します。デフォルトでは、デバッグ・トレースはオフ (0) です。
-e	このフラグは、keychange 値を定義するエージェントを、 IP アドレスまたはホスト名ではなく、engineID で識別することを示します。
-p Protocol	このフラグは、keychange 値を生成すべきプロトコルを指定します。有効な値は以下のとおりです。 HMAC-MD5 HMAC-MD5 認証プロトコルで使用する keychange 値を生成する。 HMAC-SHA HMAC-SHA 認証プロトコルで使用する keychange 値を生成する。 all HMAC-MD5 および HMAC-SHA の両方の keychange 値を生成する。デフォルトでは、HMAC-MD5 プロトコルの keychange 値が生成されます。
-s	このフラグは、読みやすくするために、スペースを追加して出力を表示することを指定します。デフォルトでは、データはスペースのないフォーマットで表示されますが、その理由は、keychange 値をシェル・スクリプトのコマンド・ラインにカット・アンド・ペースト操作できるようにするためです。
-u KeyUsage	このフラグは、keychange 値に意図した用途を示します。有効な値は以下のとおりです。 auth 認証 keychange 値。 priv プライバシー keychange 値。 all 認証およびプライバシーの両方の keychange 値。注: 認証用に生成される keychange 値とプライバシー用に生成される keychange 値には、違いはありません。ただし、プライバシー keychange 値の長さは、 keychange 値をローカライズするかどうかにより異なります。

パラメーター

項目	説明
EngineID	キーを使用する宛先ホストの engineID (1 から 32 のオクテット、 2 から 64 の 16 進数) を指定します。 engineID は 1 から 32 のオクテット (2 から 64 の 16 進数) の文字列でなければなりません。デフォルトでは、エージェント ID は engineID ではありません。
HostName	鍵を使用する宛先ホストを指定します。
IPAddress	鍵を使用する宛先ホストでエージェントの IPv4 または IPv6 アドレスを指定します。
NewPassword	新しい鍵の生成に使用されるパスワードを指定します。パスワードの長さは 8 から 255 文字の間にする必要があります。
OldPassword	元の鍵の生成に使用されたパスワードを指定します。パスワードの長さは 8 から 255 文字の間にする必要があります。

セキュリティー

RBAC ユーザーおよび Trusted AIX® ユーザーへの注意: このコマンドは特権操作を実行できます。特権命令を実行できるのは特権ユーザーのみです。権限および特権について詳しくは、「セキュリティー」の『特権コマンド・データベース』を参照してください。このコマンドに関連した特権および権限のリストについては、lssecattr コマンドまたは getcmdattr サブコマンドの項を参照してください。

例

pwchange コマンドは、選択したプロトコルと鍵の用途により、異なる出力を生成します。通常 Keychange 値は、変更される鍵の 2 倍の長さです。

以下のコマンドは pwchange の使用法を示しています。
```
pwchange oldpassword newpassword 9.67.113.79
```
このコマンドの出力は以下のようなものです。
```
Dump of 32 byte HMAC-MD5 authKey keyChange value: 
  3eca6ff34b59010d262845210a401656 
  78dd9646e31e9f890480a233dbe1114d
```
設定する値は、clsnmp コマンドを使用して、 16 進値として渡す必要があります (すべてを 1 行に指定)。
```
 clsnmp set usmUserAuthKeyChange.12.0.0.0.2.0.0.0.0.9.67.113.79.2.117.49 
 ¥'3eca6ff34b59010d262845210a40165678dd9646e31e9f890480a233dbe1114d¥'h 
```
注: AIX が 16 進値を正しく解釈できるようにするため、上の例では単一引用符の前に円記号 (¥) が必要です。
usmUserTable の索引は、EngineID とユーザー名の ASCII 表現からなります。この例の場合は、長さが 2 文字で 117.49 に変換されます。
注: pwchange は、鍵および keyChange 値の生成にランダム・コンポーネントを採用しています。したがって、同じ入力を使用する複数のコマンドは同じ結果にはなりません。
以下のコマンドは、IPv6 アドレス指定の pwchange の使用法を示しています。
```
pwchange oldpassword newpassword 2000:1:1:1:209:6bff:feae:6d67
```
このコマンドの出力は以下のようなものです。
```
Dump of 32 byte HMAC-MD5 authKey keyChange value:
  0000774adc53ba4b0427dc2f65568435
  721847d1b5cb597daa85d003033afba3
```
設定する値は、clsnmp コマンドを使用して、 16 進値として渡す必要があります (すべてを 1 行に指定)。
```
clsnmp set usmUserAuthKeyChange.21.128.0.0.2.2.32.0.0.1.0.1.0.1.2.9.107.255.254.174.
109.103.6.105.112.118.54.117.49  ¥'36133c694155026620637761f835ef616de294f37f758c74ff1544ca3de279b8¥'h
```
注: AIX が 16 進値を正しく解釈できるようにするため、上の例では単一引用符の前に円記号 (¥) が必要です。
usmUserTable の索引は、EngineID とユーザー名の ASCII 表現からなります。このケースでは、EngineID は 21 オクテット 128.0.0.2.2.32.0.0.1.0.1.0.1.2.9.107.255.254.174.109.103 です。また、ユーザー名の ASCII 表記は、このケースでは 6 文字の長さであり、105.112.118.54.117.49 に変換されます。
注: pwchange コマンドは、キーおよび keyChange 値の生成にランダム・コンポーネントを採用しています。したがって、同じ入力を使用する複数のコマンドは同じ結果にはなりません。