pwtokey コマンド

目的

パスワードを、ローカライズされた認証、ローカライズされない認証、および秘密鍵に変換します。

構文

pwtokey [-e ] [ -d DebugLevel ] [ -p Protocol ] [ -u KeyUsage ] [ -s ] Password [ EngineID | HostName | IPAddress ]

説明

AIX® は pwtokey と呼ばれる機能を提供し、これによってパスワードを、ローカライズされた認証、ローカライズされない認証、および秘密鍵に変換できるようにします。 pwtokey プロシージャーは、パスワードおよびエージェントの ID を入力とし、認証鍵と秘密鍵を生成します。 pwtokey 機能が使用するプロシージャーは、 clsnmp コマンドが使用するアルゴリズムと同じなので、 SNMP エージェントを構成する人は、特定のパスワードとエージェントが実行される IP アドレスを指定すれば、該当の認証鍵と秘密鍵を生成してユーザー用の snmpd.conf ファイルに入れることができます。

IP アドレスまたはホスト名を指定する場合、SNMP エージェントは AIX エージェントでなければなりません。 engineID は、エージェントの IP アドレスと AIX を表すエンタープライズ ID を使用する、ベンダー特有の公式を使用して作成されます。

フラグ

項目	説明
-d DebugLevel	このフラグは、デバッグ情報の望ましいレベルを指定します。デバッグ・トレースは、オンまたはオフのいずれかであり、値 1 は、デバッグ・トレースをコマンド実行者の画面 (sysout) に生成し、値 0 はデバッグ・トレースを生成しないことを指定します。デフォルトでは、デバッグ・トレースはオフ (0) です。
-e	このフラグは、鍵を定義するエージェントを、 IP アドレスまたはホスト名ではなく、engineID で識別することを示します。
-p Protocol	このフラグは、鍵を生成すべきプロトコルを指定します。有効な値は以下のとおりです。 HMAC-MD5 HMAC-MD5 認証プロトコルで使用する鍵を生成する。 HMAC-SHA HMAC-SHA 認証プロトコルで使用する鍵を生成する。 all HMAC-MD5 および HMAC-SHA の両方の鍵を生成する。デフォルトでは、HMAC-MD5 プロトコルの鍵が生成されます。
-s	このフラグは、読みやすくするために、スペースを追加して出力データを表示することを指定します。デフォルトでは、データはスペースのないフォーマットで表示されますが、その理由は、鍵を構成ファイルまたはコマンド・ラインにカット・アンド・ペースト操作できるようにするためです。
-u KeyUsage	このフラグは、鍵に用途を示します。有効な値は以下のとおりです。 auth 認証鍵。 priv 秘密鍵。 all 認証鍵および秘密鍵の両方。注: 認証鍵と秘密鍵には、違いはありません。ただし、秘密鍵の長さは、その鍵をローカライズするかどうかにより異なります。

パラメーター

項目	説明
EngineID	鍵を使用する SNMP エージェントの engineID を指定します。 engineID は、SNMP エージェントの初期設定時に snmpd.boots ファイルから決められます。 engineID は 1 から 32 のオクテット (2 から 64 の 16 進数) の文字列でなければなりません。デフォルトでは、エージェント ID は engineID ではありません。
HostName	SNMP 要求で鍵を使用する SNMP エージェントを指定します。
IPAddress	SNMP 要求時に鍵を使用する SNMP エージェントの IPv4 または IPv6 アドレスを指定します。
Password	鍵の生成に使用するテキスト文字列を指定します。パスワードの長さは 8 から 255 文字の範囲でなければなりません。通常、パスワードには任意の印刷可能な文字を使用できますが、 AIX シェルはある種の文字について、これを pwtokey コマンドに渡さずに、解釈します。 AIX シェルによる文字の解釈を避けるには、パスワードを単一引用符で囲んでください。注: このパスワードは、コミュニティー・ベースのセキュリティー (SNMPv1 および SNMPv2c) で使用されるコミュニティー名 (または "password") には関係しません。このパスワードは、まったく異なるセキュリティー機構である、ユーザー・ベースのセキュリティー用の鍵を生成するためにのみ使用されます。

セキュリティー

RBAC ユーザーおよび Trusted AIX ユーザーへの注意: このコマンドは特権操作を実行できます。特権命令を実行できるのは特権ユーザーのみです。権限および特権について詳しくは、「セキュリティー」の『特権コマンド・データベース』を参照してください。このコマンドに関連した特権および権限のリストについては、lssecattr コマンドまたは getcmdattr サブコマンドの項を参照してください。

例

この例はpwtokey コマンドを単純に呼び出しています。
```
pwtokey testpassword 9.67.113.79
```
このコマンドの出力は以下のようなものです。
```
Display of 16 byte HMAC-MD5 authKey: 
 775b109f79a6b71f94cca5d22451cc0e

Display of 16 byte HMAC-MD5 localized authKey: 
 de25243d5c2765f0ce273e4bcf941701
```
この例が示すように、pwtokey は 2 つの鍵を生成し、その 1 つはローカライズされ (指定されたエージェントでのみ使用できるように調整される)、もう 1 つはローカライズされません。通常、ローカライズされた鍵が SNMP エージェントの構成で使用されます。ローカライズされない鍵は、clsnmp コマンドの構成で使用されます。
次の例では、pwtokey を呼び出して、認証鍵と秘密鍵、両方に使用する HMAC-SHA 鍵を要求しています。
```
pwtokey -p HMAC-SHA -u all testpassword 9.67.113.79
```
このコマンドの出力は以下のようなものです。
```
Display of 20 byte HMAC-SHA authKey: 
 b267809aee4b8ef450a7872d6e348713f04b9c50 

Display of 20 byte HMAC-SHA localized authKey: 
 e5438092d1098a43e27e507e50d32c0edaa39b7c 

Display of 20 byte HMAC-SHA privKey: 
 b267809aee4b8ef450a7872d6e348713f04b9c50 

Display of 16 byte HMAC-SHA localized privKey: 
 e5438092d1098a43e27e507e50d32c0e
```
秘密鍵の出力は認証鍵の出力と同じですが、ローカライズされた秘密鍵は、 DES で要求された 16 バイトに切り捨てられている点が異なります。
注: 暗号化を使用する場合は、認証とプライバシーに異なるパスワードを使用する方がより安全です。
以下の例では、pwtokey コマンドが IPv6 アドレスを使用していることを示しています。
```
pwtokey testpassword 2000:1:1:1:209:6bff:feae:6d67
```
このコマンドの出力は以下のようなものです。
```
Display of 16 byte HMAC-MD5 authKey:
 775b109f79a6b71f94cca5d22451cc0e

Display of 16 byte HMAC-MD5 localized authKey:
 2a30fe53690fa6b62dba3f9ea30e11fb
```
この例が示すように、pwtokey コマンドは 2 つの鍵を生成します。その 1 つはローカライズされ (指定されたエージェントでのみ使用できるように調整される)、もう 1 つはローカライズされません。通常、ローカライズされた鍵が SNMP エージェントの構成で使用されます。ローカライズされない鍵は、 clsnmp コマンドの構成で使用されます。 SNMP 要求時に鍵を使用する SNMP エージェントは IPv6 アドレスです。