raddbm コマンド
目的
RADIUS ユーザー認証情報のローカル・データベース内の項目を変更します。
構文
raddbm [ -a Command ] [ -d Database_filename ] [ -e EAP_type ] [ -i Config_filename ] [ -l Load_filename] [ -n ] [ -p ] [ -t pwd_expire_wks ] [ -u User_ID ] [ -w ]
説明
raddbm コマンドは、ユーザー認証情報のローカル・データベースを作成および変更するために使用します。 RADIUS サーバーは、このデータベースをユーザー認証用の情報ソースとして使用するように構成できます。
このローカル・データベースはファイルに保管されます。ファイル内のデータは、高速検索を可能にするために二分木フォーマットになっています。 データベース・ファイル名は RADIUS /etc/radius/radiusd.conf 構成ファイルに指定し、デフォルト値は dbdata.bin です。このファイル名を変更するには、SMIT を使用して radiusd.conf を編集します。
項目 | 説明 |
---|---|
USERID | ユーザーの ID を指定します。 |
PASSWORD | ユーザーのパスワードを指定します。 |
PASSWORD_EXPIRATION | パスワードの満了時間を週数で指定します。 |
EAP_TYPE | 認証に使用できる EAP タイプを指定します。 |
データベース・ファイルのパスワードは、単純なパスワード漏えいを防止するためにクリア・テキストでは保管されませんが、パスワードを隠すために使用されるアルゴリズムは暗号的にセキュアであるとはみなされていません。 ファイル dbdata.bin は、所有者およびグループとして root: セキュリティーによって保護されます。
- ユーザーをデータベースに追加する。
ユーザーを追加するためのコマンド形式は次のとおりです。ユーザーのパスワードは標準入力からプロンプトが出されます。
raddbm -a ADD -u User_ID -e EAP_type -t pwd_expire_wks
-e および -t フラグはオプションです。-e フラグに値が入力されない場合、EAP_TYPE としてデフォルト値の
none
が使用されます。これは、このユーザーに関しては EAP パケットが無視されるということです。 -t フラグに値が入力されない場合、PASSWORD_EXPIRATION としてデフォルト値の0
が使用されます。これは、パスワードの有効期限が一切検査されないということです。 -p フラグはオプショナルです。これは、raddbm コマンドが 常に、新規ユーザーの追加時に新規パスワードの入力を求めるプロンプトを出すためです。 - データベース内のユーザーを変更する。ローカル・データベース内のユーザーの情報を変更するには、次のように入力します。-e、-p、および -t フラグはオプションですが、少なくとも 1 つは指定する必要があります。 -p フラグを使用する場合、raddbm コマンドによってパスワードの入力を求めるプロンプトが出されます。
raddbm -a CHANGE -u User_ID -p -e EAP_type -t pwd_expire_wks
- ユーザーをデータベースから削除する。
データベースからユーザーのエントリーを削除するには、次のように入力します。
raddbm -a DELETE -u User_ID
- データベースのユーザーをリストする。データベース内のユーザーのエントリーをリストするには、次のように入力します。
raddbm -a LIST raddbm -a LIST -u User_ID raddbm -a LIST -u User_ID -w
-w および -u フラグはオプションです。-w フラグを指定すると、ユーザーのエントリーのすべてのフィールドが表示されます (ただし、パスワードはセキュリティー上の理由で表示されません)。
-u フラグを指定すると、ユーザーの情報がコロンで区切られたフォーマットで表示されます。 -u フラグを指定しない場合は、データベース内のすべてのエントリーが列フォーマットで表示されます。
- 新しいデータベースを作成する。
RADIUS サーバーは、空のデータベースを /etc/radius/dbdata.bin に入れて提供します。ユーザーが新しいデータベースを作成する場合、作成時に必ず 1 人以上のユーザーを追加する必要があります。 このコマンドの形式は次のとおりです。
raddbm -a ADD -u User_ID -e EAP_type -t pwd_expire_wks -n
ユーザーのパスワードは標準入力からプロンプトが出されます。
-e および -t フラグはオプションです。これらのデフォルトは、それぞれ
EAP_type=NONE
およびパスワードの有効期限検査なしです。 - ユーザーのリストをデータベースにロードする。ユーザーのリストは、-l フラグを使用するとデータベースに直接ロードできます。データベースにレコードを持つユーザーごとに、次の形式でファイルを 1 つずつ作成する必要があります。
この二重引用符は必要です。"userid" "password"
これで、-l フラグを使用して次の方法でこのファイルを使用できます。
ユーザー・パスワードをプレーン・テキスト・フォーマットでファイルに保管するのは、できる限り避けてください。 このオプションは、主にテストの目的で提供されています。raddbm -l filename
フラグ
項目 | 説明 |
---|---|
? | ヘルプ画面を表示します。 |
-a Command | 実行するアクションを指定します。値は ADD 、LIST、DELETE、または CHANGE です。 |
-d Database_filename | データベース・ファイル名を指定します。radiusd.conf RADIUS 構成ファイルに指定されたデフォルトのデータベース・ファイルをオーバーライドするときに使用します。 |
-e EAP_type | ユーザーが認証用に使用できる EAP タイプを指定します。 現在、EAP-TLS、MD5-challenge、または none だけを使用できます。デフォルトは、none です。 |
-i Config_filename | RADIUS 構成ファイル名を指定します。デフォルトの /etc/radius/radiusd.conf 構成ファイルをオーバーライドするときに使用します。 |
-l Load_filename | ロードするユーザー名とパスワードのファイルのファイル名を指定します。 |
-n | 新しいデータベース・ファイルを作成します。ADD コマンド・オプションを指定する場合にのみ有効です。このオプションを使用する場合、データベース内の前の情報がすべて失われます。 |
-p | ユーザーのパスワードを変更することを示します。 セキュリティー上の理由により、パスワードは、コマンド・ラインからの読み取りではなく、標準入力からプロンプトが出されます。 |
-t pwd_expire_wks | ユーザーのパスワードが有効である週数を指定します。
このフラグは、ADD と CHANGE コマンドを指定する場合に有効です。
デフォルトは、パスワードの有効期限がないことを示す 0 です。有効な値は 0 から 52 です。 |
-u User_ID | ユーザーの ID を指定します。有効なユーザー ID の長さは 253 文字未満で、英字、数字、および一部の特殊文字を使用できます。 ブランクは含められません。ユーザー ID の重複は認められません。 |
-w | ユーザー情報の詳細なリストを生成します。 |
終了状況
このコマンドには次の終了値があります。
項目 | 説明 |
---|---|
0 | コマンドは正常に実行されました。 |
>0 | エラーが発生しました。 |
セキュリティー
このコマンドは、root ユーザーまたはセキュリティー・グループのメンバーのみが実行できます。
例
- 新しいローカル RADIUS データベースを作成するには、必ず 1 人以上のユーザーを追加する必要があります。
データベースを作成する場合は、次のように入力します。
raddbm -a ADD -u user01 -n
注: -n オプションは既存のデータベースを上書きし、前の内容をすべて破棄します。 作成されるデータベース・ファイルには、/etc/radius/radiusd.conf RADIUS 構成ファイルに指定されたデフォルト名が付けられます。 - データベースにユーザーを追加するには、次のように入力します。
デフォルト値の EAP_TYPE = "none" と PASSWORD_EXPIRATION = "0" が使用されます。raddbm -a ADD -u user01
- データベースからユーザーを削除するには、次のように入力します。
raddbm -a DELETE -u user01
- ユーザーのパスワードを変更するには、次のように入力します。
このコマンドによって、新しいパスワードの入力を求めるプロンプトが出されます。raddbm -a CHANGE -u user01 -p
- デフォルト・データベースのすべてのエントリーを含む詳細なリストを表示するには、次のように入力します。
パスワードは表示されません。raddbm -a LIST -w
- 特定のユーザーのデータベース・エントリーを表示するには、次のように入力します。
raddbm -a LIST -u user01 -w
- ファイルからユーザーのリストを追加するには、最初に 1 行に 1 つずつエントリーを含むユーザーとパスワードのファイルを作成します。形式は次のとおりです。
この後、次のように入力します。"userid" "password"
raddbm -l Load_filename
制約事項
raddbm コマンドを実行する前に、必ず RADIUS デーモンを停止してください。 このデーモンを停止するには、radiusctl stop コマンドを使用します。データベースの変更後は、radiusctl start コマンドを使用してこのデーモンを再始動してください。
実装上の固有な条件
このコマンドは radius.base ファイルセットに含まれます。
位置
/usr/radius/bin/raddbm
標準入力
セキュリティー上の理由により、ユーザーをデータベースに追加する場合、ユーザーのパスワードはコマンド・ラインからではなく標準入力から読み取られます。
標準エラー
raddbm コマンドの呼び出しが失敗すると、標準エラーに通知メッセージが書き込まれます。
ファイル
項目 | 説明 |
---|---|
/usr/radius/bin/raddbm | raddbm コマンドの位置。 |
/etc/radius/raddbm.bin | radiusd.conf ファイルに指定されたデフォルトのデータベース・ファイル。 |
/etc/radius/radiusd.conf | デフォルトのデータベース・ファイル名を含む、RADIUS 構成値を指定します。 |