[ 前のページ ]
[ 次のページ ]
[ 目次 ]
[ 索引 ]
[ DOC Home ]
登録ユーティリティ(AUTHORIZE)は,システムへのアクセスを制御し,資源をユーザに割り当てるためのシステム管理ツールです。AUTHORIZE は, 次に示すファイルの新しいレコードを作成したり,既存のレコードを変更したりします。
AUTHORIZEを使用すれば,SYSUAFレコード内の各種フィールド に値を割り当てることができます。割り当てた値は,ユーザとユーザの環境を識別し, システム資源の使用を制御します。
省略時のネットワーク代理登録ファイルはNET$PROXY.DATです。しかし, 互換性を維持するためNETPROXY.DATファイルも使用できます。
Alphaシステムでは,ネットワーク代理登録ファイルはNETPROXY.DATです。
バージョンが混在するクラスタにおいて,システムがOpenVMS Alphaまたはバージョン6.1 以前のOpenVMS VAXを実行している場合,すべての代理登録をOpenVMS VAX 6.1 システム上で変更する必要があります。
これらのファイルは,システム登録情報を格納するファイルです。省略時の設定では, これらのファイルはシステム(UICは[SYSTEM])が所有し,次の保護を付けて作成されます。
SYSUAF.DAT S:RWED, O:RWED, G, W NETPROXY.DAT S:RWED, O:RWED, G, W NET$PROXY.DAT S, O, G, W RIGHTSLIST.DAT S:RWED, O:RWED, G, W:
AUTHORIZEを使用するには,これらの3種類のファイルすべてに対する書き込みアクセス権が必要です。 つまり,アカウントの利用者識別コード(UIC) が[SYSTEM]であるか,またはSYSPRV特権を持っていなければなりません。
ユーザが保有しているライト識別子を表示するには,RIGHTSLIST.DATファイルへの読み込みアクセス権( または十分な特権)が必要です。
MAILやSETなど一部のイメージは,システム利用者登録ファイル(UAF) へのアクセス権を必要とし, 通常はSYSPRV特権を付けてインストールされます。 したがって,SYSUAF.DATには,必ずシステム・アクセス権を設定してください。
VMSシステムをインストールするとき,ソフトウェア・ディストリビューション・ キットの中のSYS$SYSTEMのシステム・ユーザ登録ファイルには, 次のレコードが用意されています。
VAXシステムの場合:
Alphaシステムの場合:
SYSUAF.DATを破損したり誤って削除したりした場合,次のようにSYS$SYSTEM ディレクトリのテンプレート・ファイルSYSUAF.TEMPLATE で修復できます。
$ SET DEFAULT SYS$SYSTEM $ COPY SYSUAF.TEMPLATE SYSUAF.DAT
SYSUAF.TEMPLATEファイルは,システムをインストールしたときと同じレコードを格納しています。
非常時に備え,システム・ファイルSYSUAFのバックアップとして, SYSUAF.DATのコピーをとることができます。今後のログインに対処できるよう, 次のようにSYSUAF.DATの個人用バージョンを適切なディレクトリに格納してください。
$ COPY MYSYSUAF.DAT SYS$COMMON:[SYSEXE]:SYSUAF.DAT- _$ /PROTECTION=(S:RWED,O:RWED,G,W)
AUTHORIZEユーティリティは,システムへのアクセスを制御し,資源をユーザに割り当てるためのシステム管理ツールです。
RUN SYS$SYSTEM:AUTHORIZE
AUTHORIZEを終了するには,UAF>プロンプトにEXITコマンドを入力するか, またはCtrl/Zを押します。
SYSUAF.DATファイルを移動するときは,必ず論理名SYSUAFが既存ファイルを指すように定義してください。SYSUAF.DAT ファイルが見つからない場合,AUTHORIZE は,次のエラー・メッセージを表示します。
%UAF-E-NAOFIL, unable to open SYSUAF.DAT -RMS-E-FNF, file not found Do you want to create a new file?
ここでYESと応えると,SYSTEMレコードとDEFAULTレコードを格納するSYSUAF ファイルが新たに作成されます。この2つのレコードは,システムをインストールしたときの値に初期化されます。
この項では,AUTHORIZEのコマンドについて,例を挙げて説明します。他と識別できるのであれば, 略語をコマンド,キーワード,修飾子として使用してもかまいません。 ユーザ名,ノード名,UICの指定では,アスタリスク(*) とパーセント記号(%)をワイルドカードとして使用できます。
AUTHORIZEのコマンドは,次の4種類に分類されます。
修飾子を指定することにより,SYSUAFレコードの個々のフィールドを処理できます。 ユーザ,ユーザの作業環境,システム資源の使用の制御を指定できます。
次の表は,AUTHORIZEのコマンドの種類別一覧です。
コマンド | 説明 |
---|---|
SYSUAFによるシステム資源とユーザ・アカウントの管理 | |
ADD | ユーザ・ レコードをSYSUAFに追加し,対応する識別子を権利データベースに追加する。 |
COPY | 既存のレコードと重複するSYSUAF レコードを新たに作成する。 |
DEFAULT | 省略時のSYSUAFレコードを設定する。 |
LIST | 選択したUAFレコードのレポートをSYSUAF.LIS ファイルに書き込む。 |
MODIFY | SYSUAFユーザ・レコードの値を変更する。 指定しなかった修飾子は変更されない。 |
REMOVE | SYSUAFユーザ・レコードを削除し,対応する権利データベース内の識別子を削除する。DEFAULT とSYSTEMのレコードは削除できない。 |
RENAME | SYSUAFレコードのユーザ名を変更する。特性は変更されない。指定されている場合は, 対応する識別子も変更する。 |
SHOW | 選択したSYSUAFレコードのレポートを表示する。 |
NETPROXY.DATまたはNET$PROXY.DAT によるネットワーク代理アクセスの管理 | |
ADD/PROXY | 指定したユーザの代理アクセスを追加する。 |
CREATE/PROXY | ネットワーク代理登録ファイルを作成する。 |
LIST/PROXY | すべての代理アカウントと, それらのアカウントへの代理アクセス権を持つすべての遠隔ユーザとを格納するリスト・ ファイルを作成する。 |
MODIFY/PROXY | 指定したユーザの代理アクセス権を変更する。 |
REMOVE/PROXY | 指定したユーザの代理アクセス権を削除する。 |
SHOW/PROXY | 指定したユーザに許可されている代理アクセス権を表示する。 |
RIGHTSLIST.DATによる識別子の管理 | |
ADD/IDENTIFIER | 識別子名を権利データベースに追加する。 |
CREATE/RIGHTS | 新しい権利データベース・ファイルを作成する。 |
GRANT/IDENTIFIER | 識別子名をUIC識別子に設定する。 |
LIST/IDENTIFIER | 識別子の名前と値のリスト・ファイルを作成する。 |
LIST/RIGHTS | 指定したユーザが保持しているすべての識別子のリスト・ ファイルを作成する。 |
MODIFY/IDENTIFIER | 権利データベースの識別子を変更する。 |
REMOVE /IDENTIFIER | 権利データベースから識別子を削除する。 |
RENAME/IDENTIFIER | 権利データベースの識別子の名前を変更する。 |
REVOKE/IDENTIFIER | UIC識別子の識別子名を取り消す。 |
SHOW/IDENTIFIER | 識別子の名前と値を, 現在の出力装置に表示する。 |
SHOW/RIGHTS | 指定したユーザが保持しているすべての識別子の名前を, 現在の出力装置に表示する。 |
一般コマンド | |
EXIT | ユーザをDCLコマンド・レベルに戻す。 |
HELP | AUTHORIZE コマンドに関するHELPテキストを表示する。 |
MODIFY/SYSTEM_PASSWORD | システム・パスワードを設定する。DCL のSET PASSWORD/SYSTEMコマンドと同じ。 |
ユーザ・レコードをSYSUAFに追加し,対応する識別子を権利データベースに追加します。
ADD 新ユーザ名
89560312のような,数字だけのユーザ名は避けてください。数字だけの識別子は許可されていないので, 数字だけのユーザ名には識別子が対応しません。
/[NO]ACCESS=([PRIMARY], [n-m], [n], [,...],[SECONDARY], [n-m], [n], [,...])
時間を0〜23の整数で指定します。時間(n)と時間帯(n-m)のどちらで指定してもかまいません。 終わりの時刻が始まりの時刻より早い場合, 始まりの時刻から,翌日の終わりの時刻までが範囲となります。キーワードPRIMARY の後の時間は,一次曜日の時間を指定します。キーワードSECONDARY の後の時間は,二次曜日の時間を指定します。ここで,終わりの時刻についてはその時間台に拡張されることに注意してください。 つまり, 許可されているアクセス時間が9の場合には,午前9時59分までアクセスできることを意味します。
省略時の設定では,ユーザには,すべてのアクセス権が毎日与えられます。 一次曜日と二次曜日の省略時の値の変更方法については,『OpenVMS DCLディクショナリ』に記述されたDCL のSET DAYコマンドを参照してください。
/ACCESS修飾子に指定する要素は,すべて省略可能です。時間を指定しなければ, アクセスは終日許可されます。アクセス時間を指定することにより, 他の時間でのアクセスを防止できます。修飾子にNOを追加すると,指定時間帯におけるシステムへのユーザ・ アクセスが禁止されます。次の表を参照ください。
/ACCESS | 制約なしアクセスを許可する |
/NOACCESS=SECONDARY | 一次曜日のアクセスだけを許可する |
/ACCESS=(9-17) | 毎日,9:00 a.m.〜5:59 p.m.までアクセスを許可する |
/NOACCESS=(PRIMARY, 9-17, SECONDARY, 18-8) | 一次曜日の9:00 a.m.〜5:59 p.m.までアクセスを禁止するが, 二次曜日ではこの時間帯のアクセスを許可する |
タイプ別にアクセス権を指定する方法については,/BATCH,/DIALUP, /INTERACTIVE,/LOCAL,/NETWORK,/REMOTEの修飾子の項を参照してください。
キーワード | 機能 |
---|---|
BOTH | 一次パスワードと二次パスワードのアルゴリズムを設定する。 |
CURRENT | アカウント状態に基づき, 一次と二次のいずれかまたは両方のアルゴリズム, またはパスワードなしを設定する。省略時の値。 |
PRIMARY | 一次パスワード専用のアルゴリズムを設定する。 |
SECONDARY | 二次パスワード専用のアルゴリズムを設定する。 |
次の表はパスワード暗号化アルゴリズムを示しています。
タイプ | 定義 |
---|---|
VMS | 現在システムで稼動しているオペレーティング・ システム・バージョンが使用しているアルゴリズム。 |
CUSTOMER | カスタマ・アルゴリズムを示す。128 〜255の数値。 |
次の例では,Sontagというユーザの一次パスワードの暗号化にVMSアルゴリズムを選択しています。
UAF> MODIFY SONTAG/ALGORITHM=PRIMARY=VMS
カスタマ・アルゴリズムを選択する場合は,次のように,アルゴリズムに割り当てられている値を指定してください。
UAF> MODIFY SONTAG/ALGORITHM=CURRENT=CUSTOMER=128
装置名に論理名を指定する場合(たとえば,DUA1:の代わりにDISK1:) ,実行モードでDCLのDEFINE/SYSTEM/EXECコマンドを使用して, 論理名のエントリをLNM$SYSTEM_TABLEに定義してください。
AUDIT | 特定のユーザに対するセキュリティ強制監査を許可または禁止する。 省略時のVMSシステムは,特定のユーザの処理を監査しない(NOAUDIT) 。 |
AUTOLOGIN | アカウントにログインしたとき,自動ログイン・ メカニズムをユーザに強制する。このフラグを設定すると, ユーザの名前とパスワードの入力が必要なターミナルからのログインは禁止される。 省略時の設定では,ユーザ名とパスワードが必要である(NOAUTOLOGIN) 。 |
CAPTIVE |
/CLIや/LGICMDなど,ログイン時の省略時の値をユーザが変更できないようにする。
また,ユーザが,/LGICMDに指定されたキャプティブ・ログイン・
コマンド・プロシージャをエスケープしてDCLコマンド・レベルにアクセスすることも防止する。
キャプティブ・コマンド・プロシージャのガイドラインについては,
『OpenVMS
Guide to System Security』を参照してください。
CAPTIVEフラグは,Ctrl/Yによる割り込みが初期状態で無効である環境も定義する。 ただし,DCLのSET CONTROL=Yコマンドにより,Ctrl /Yによる割り込みを有効にすることもできる。省略時のアカウントは, キャプティブではない(NOCAPTIVE)。 |
DEFCLI | ログイン時に/CLI修飾子を使用できないようにする。 つまり,省略時のコマンド・インタプリタをユーザに強制する。 MCRコマンドは使用できる。省略時の設定では,ユーザはCLIを選択できる(NODEFCLI) 。 |
DISCTLY | 初期状態からSET CONTROL_Y を実行するまでCtrl/Yによる割り込みが無効となる環境を定義する。 対象としては,SYLOGIN.COMまたはSYLOGIN.COMが呼び出すプロシージャが考えられる。SET CONTROL_Y ( 特権は不要)が実行されれば, ユーザはCtrl/Yを入力してDCLプロンプト($)を出力させることができる。DISCTLY の目的がログイン・コマンド・ファイルの実行を強制することにある場合,SYLOGIN.COM はDCLのSET CONTROL_Yコマンドを起動してCtrl/Y による割り込みを有効にしてから終了するようにする。省略時の設定では,Ctrl/Y は許可される(NODISCTLY)。 |
DISFORCE_PWD_CHANGE | 満了したパスワードをユーザがログイン時に変更しなければならないという条件を削除する。
省略時の設定では,満了したパスワードを使用できるのは1度だけであり(NODISFORCE_PWD_CHANGE)
,ログインした後に,パスワードを変更しなければならない。
新しいパスワードを指定しなかったユーザは,システムから拒否される。
この機能を使用するには,/PWDLIFETIME修飾子でパスワードの満了日を設定する。 |
DISIMAGE | RUN コマンド,MCRコマンド,フォーリン・コマンドをユーザが使用できないようにする。 省略時の設定では,ユーザはRUNコマンド,MCRコマンド, フォーリン・コマンドを使用できる(NODISIMAGE)。 |
DISMAIL | ユーザへのメール送信を禁止する。 省略時の設定では,メール送信は許可される(NODISMAIL)。 |
DISNEWMAIL | ログイン時のニュー・メール通知を禁止する。 省略時の設定では,VMSはニュー・メールを通知する(NODISNEWMAIL) 。 |
DISPWDDIC | 新しいパスワードを自動的にシステム辞書と突き合わせチェックしないようにする。 省略時の設定では,パスワードは自動的にチェックされる(NODISWDDIC) 。 |
DISPWDHIS | 新しいパスワードを自動的に旧パスワードのリストと突き合わせチェックしないようにする。 省略時の設定では,新しいパスワードはチェックされる(NODISWDHIS) 。 |
DISRECONNECT | ターミナル接続に割り込みが発生したとき, 既存プロセスに自動的に再接続しないようにする。省略時の設定では, 自動再接続は許可される(NODISRECONNECT)。 |
DISREPORT | 最後のログイン時間,ログイン障害などのセキュリティ関係の表示を禁止する。 省略時の設定では, ログイン情報は表示される(NODISREPORT)。 |
DISUSER | ユーザがログインできないよう,アカウントを禁止する。 たとえば,DEFAULTアカウントが禁止される。省略時の設定では, アカウントは許可される(NODISUSER)。 |
DISWELCOME | ローカル・ログイン時に表示されるウェルカム・ メッセージを禁止する。このメッセージは通常,使用しているVMS オペレーティング・システムのバージョン番号とユーザがログインしたノードの名前を示す。 省略時の設定では,システム・ログイン・ メッセージは表示される(NODISWELCOME)。 |
EXTAUTH | ユーザがSYSUAFユーザ名とパスワードによってではなく, 外部ユーザ名とパスワードによって認証されると解釈する( この場合でも,システムはユーザのログイン制限とクォータを確認するためと, ユーザのプロセス・プロファイルを作成するために,SYSUAF レコードを使用する)。 |
GENPWD | システムが作成したパスワードをユーザに強制する。省略時の設定では, ユーザはパスワードを選択できる(NOGENPWD)。 |
LOCKPWD | アカウントのパスワードをユーザが変更できないようにする。 省略時の設定では,ユーザはパスワードを変更できる(NOLOCKPWD) 。 |
PWD_EXPIRED | パスワードに満了マークを付ける。このフラグが設定されていると, ユーザはログインできない。LOGINOUT.EXEイメージがこのフラグを設定するのは,DISFORCE_PWD_CHANGE フラグが設定された状態でユーザがログインし, かつユーザのパスワードが満了した場合である。システム管理者は, このフラグをクリアできる。省略時の設定では,パスワードはログイン後満了しない(NOPWD_EXPIRED) 。 |
PWD2_EXPIRED | 二次パスワードに満了マークを付ける。このフラグが設定されていると, ユーザはログインできない。LOGINOUT.EXEイメージがこのフラグを設定するのは,DISFORCE_PWD_CHANGE フラグが設定された状態でユーザがログインし, かつユーザのパスワードが満了した場合である。 システム管理者は,このフラグをクリアできる。省略時の設定では, パスワードはログイン後満了しない(NOPWD2_EXPIRED)。 |
RESTRICTED | たとえば,/DISKや/LGICMD を使用して,ログイン時にユーザが省略時の値を変更することを禁止しする。 さらに,/CLI修飾子を使用して,CLIをユーザが指定することも禁止する。 このフラグは,Ctrl/Yによる割り込みが初期状態で無効である環境を定義する。 ただし,コマンド・プロシージャでDCLのSET CONTROL_Y コマンドを使用すれば,Ctrl/Yによる割り込みを有効にできる。このフラグは通常,CLI に対するアクセスを無制限にアプリケーション・ユーザに与えないようにするために使用する。 省略時の設定では,ユーザは省略時の値を変更できる(NORESTRICTED) 。 |
BOTH | 一次パスワードと二次パスワードを作成する。 |
CURRENT | DEFAULT アカウントが実行することを行う。一次と二次のいずれかまたは両方の作成, あるいはパスワードを作成しない。省略時のキーワード。 |
PRIMARY | 一次パスワードだけを作成する。 |
SECONDARY | 二次パスワードだけを作成する。 |
パスワードを変更した場合,新しいパスワードは自動的に満了します。 /NOPWDEXPIREDを指定しないかぎり,有効であるのは1回だけです。 /FLAGS=DISFORCE_PWD_CHANGEを指定しないかぎり,ユーザはログイン時にパスワードを変更しなければなりません。
/GENERATE_PASSWORDと/PASSWORDの修飾子は,互いに排他的です。
パスワードを変更した場合,新しいパスワードは自動的に満了します。 /NOPWDEXPIREDを指定しないかぎり,有効であるのは1回だけです。 /FLAGS=DISFORCE_PWD_CHANGEを指定しないかぎり,ユーザはログイン時にパスワードを変更しなければなりません。
/GENERATE_PASSWORDと/PASSWORDの修飾子は,互いに排他的です。
省略時の設定では,ADDコマンドは,パスワードにUSERを割り当てます。 COPYコマンドやRENAMEコマンドでUAFレコードを作成するときは,パスワードを指定しなければなりません。 passwordという単語を実際のパスワードとして使用することは避けてください。
ライブラリの圧縮を解除するときは,PGFLQUOTAをライブラリの2倍のサイズに設定するようにしてください。
省略時の設定では,一次曜日は月曜から金曜までであり,二次曜日は土曜と日曜です。 リストで曜日を省略すると,省略時の値が使用されます。たとえば月曜を省略すると, 月曜は一次曜日として定義されます。
一次曜日と二次曜日の定義は,/ACCESS,/INTERACTIVE,/BATCHなどの修飾子で使用します。
パスワードが満了しないようにするには,時間にNONEを指定します。省略時の設定では, パスワードは90日で満了します。
各ユーザに,一意のUICを指定してください。省略時のUIC値は,[200,200] です。
値はWSMAX以下でなければなりません。このクォータ値は,PQL_ MWSDEFAULTの値がこの値より小さい場合,その値の代わりに使用されます。
値はWSQUOTAに等しいか,またはそれより大きい整数です。省略時の値は,VAX システムでは1024ページであり,Alphaシステムでは16384ページレットです。 値はWSMAX以下でなければなりません。このクォータ値は, PQL_MWSEXTENTがこの値より小さい場合,その値の代わりに使用されます。
値はWSMAX以下でなければならず,64Kページ以下でなければなりません。 このクォータ値は,PQL_MWSQUOTAがこの値より小さい場合,その値の代わりに使用されます。
AlphaシステムのDEFAULTアカウントは,次のとおりです。
Username: DEFAULT Owner: Account: UIC: [200,200] ([FIELD,USERP]) CLI: DCL Tables: DCLTABLES Default: SYS$SYSDEVICE:[USER] LGICMD: LOGIN Flags: DisUser Primary days: Mon Tue Wed Thu Fri Secondary days: Sat Sun No access restrictions Expiration: (none) Pwdminimum: 6 Login Fails: 0 Pwdlifetime: 90 00:00 Pwdchange: (pre-expired) Last Login: (none) (interactive), (none) (non-interactive) Maxjobs: 0 Fillm: 100 Bytlm: 64000 Maxacctjobs: 0 Shrfillm: 0 Pbytlm: 0 Maxdetach: 0 BIOlm: 150 JTquota: 4096 Prclm: 8 DIOlm: 150 WSdef: 2000 Prio: 4 ASTlm: 250 WSquo: 4000 Queprio: 0 TQElm: 10 WSextent: 16384 CPU: (none) Enqlm: 2000 Pgflquo: 50000 Authorized Privileges: TMPMBX NETMBX Default Privileges: TMPMBX NETMBX
VAXシステムのDEFAULTアカウントは,次のとおりです。
Username: DEFAULT Owner: Account: UIC: [200,200] ([DEFAULT]) CLI: DCL Tables: DCLTABLES Default: SYS$SYSDEVICE:[USER] LGICMD: LOGIN Flags: DisUser Primary days: Mon Tue Wed Thu Fri Secondary days: Sat Sun No access restrictions Expiration: (none) Pwdminimum: 6 Login Fails: 0 Pwdlifetime: 90 00:00 Pwdchange: (pre-expired) Last Login: (none) (interactive) (none) (non-interactive) Maxjobs: 0 Fillm: 300 Bytlm: 32768 Maxacctjobs: 0 Shrfillm: 0 Pbytlm: 0 Maxdetach: 0 BIOlm: 40 JTquota: 4096 Prclm: 2 DIOlm: 40 WSdef: 256 Prio: 4 ASTlm: 40 WSquo: 512 Queprio: 0 TQElm: 10 WSextent: 1024 CPU: (none) Enqlm: 200 Pgflquo: 32768 Authorized Privileges: TMPMBX NETMBX Default Privileges: TMPMBX NETMBX
新しいアカウントを追加するとき,値を変更するフィールド値を指定します。 通常,制限値,優先順位,特権,コマンド・インタプリタの省略時の値を変更する必要はありません。 つまり,入力する値は,パスワード, UIC,ディレクトリ,所有者,アカウント,装置だけです。
UAFにレコードを追加する場合,そのレコードに対応するユーザのディレクトリを作成してください。 装置名,ディレクトリ名,UICをUAFレコードに指定します。 次のDCLコマンドは,ユーザROBINのディレクトリを作成しています。
$ CREATE/DIRECTORY SYS$USER:[ROBIN] /OWNER_UIC=[ROBIN]
UAF> ADD ROBIN /PASSWORD=SP0152/UIC=[014,006] - _/DEVICE=SYS$USER/DIRECTORY=[ROBIN]/OWNER="JOSEPH ROBIN" /ACCOUNT=INV %UAF-I-ADDMSG, user record successfully added %UAF-I-RDBADDMSGU, identifier ROBIN value: [000014,000006] added to RIGHTSLIST.DAT %UAF-I-RDBADDMSGU, identifier INV value: [000014,177777] added to RIGHTSLIST.DATADDコマンドと修飾子の例です。このコマンドを実行した結果作成されるレコードについては,SHOW コマンドの項で説明します。
UAF> ADD WELCH /PASSWORD=SP0158/UIC=[014,051] - _/DEVICE=SYS$USER/DIRECTORY=[WELCH]/OWNER="ROB WELCH"/FLAGS=DISUSER - _/ACCOUNT=INV/LGICMD=SECUREIN %UAF-I-ADDMSG, user record successfully added %UAF-I-RDBADDMSGU, identifier WELCH value: [000014,000051] added to RIGHTSLIST.DAT UAF> MODIFY WELCH/FLAGS=(RESTRICTED,DISNEWMAIL,DISWELCOME,NODISUSER,EXTAUTH)- _/NODIALUP=SECONDARY/NONETWORK=PRIMARY/CLITABLES=DCLTABLES - _/NOACCESS=(PRIMARY, 9-16, SECONDARY, 18-8) %UAF-I-MDFYMSG, user records updated制約付きアカウントのレコードを追加するコマンド例です。いくつかの修飾子が必要となるため,ADD コマンドとMODIFYコマンドを併用しています。 この結果,入力ミスを防止できます。
ADDコマンド行にDISUSERフラグを設定すると,すべてのアカウント・ パラメータが設定されるまで,ユーザはログインできなくなります。 MODIFYコマンド行では,アカウントにアクセスできるように,DISUSER フラグは無効に設定されます(NODISUSERを指定することにより)。 EXTAUTHフラグを設定すると,システムはユーザがSYSUAFユーザ名とパスワードによってではなく, 外部ユーザ名とパスワードによって認証されるものと解釈します。
これらのコマンドを実行した結果作成されるレコードと制約については,SHOW コマンドの項で説明します。
識別子だけを権利データベースに追加します。ユーザ・アカウントは追加しません。
ADD/IDENTIFIER [識別子名]
DYNAMIC | DCLのSET RIGHTS_LISTコマンドを使用することにより, 識別子の保持者は,プロセス権利リストに格納されている識別子を削除し復元できる。 |
HOLDER_ HIDDEN | 識別子自体を保有している場合を除き,識別子を保有するユーザのリストを検索することを禁止する。 |
NAME_HIDDEN | 識別子の保有者がバイナリからASCII へ,またはASCIIからバイナリへ識別子を変換することを許可するが, 登録されていないユーザが識別子を変換することは禁止する。 |
NOACCESS | 識別子のアクセス権を空白にし, 削除する。ユーザにNo Access属性を持つ識別子が与えられている場合には, その識別子は,オブジェクトへのユーザのアクセス権にまったく影響しない。 この属性はResourceまたはSubsystem属性を持つ識別子をさらに修飾する属性である。 |
RESOURCE | 識別子の保持者は,ディスク空間を識別子に対して請求できる。 ファイル・オブジェクト専用。 |
SUBSYSTEM | 識別子の保有者が,サブシステムACE をサブシステム内のアプリケーション・イメージに割り当てることによって, 保護されたサブシステムを作成し,管理することを許可する。 ファイル・オブジェクト専用。 |
省略時の設定では,新しい識別子に割り当てられている属性はありません。
IDENTIFIER:n | 65,536〜268,435,455の整数値。%X
で始まる16進値や%0で始まる8進値も指定できる。
システムは,このタイプの識別子を16進値で表示する。一般識別子とUIC 識別子を区別するため,ユーザが指定した値には%X80000000が追加される。 |
UIC:ユーザ識別子 | UIC
標準形式のUIC値は,[360,031]のように大括弧で囲み,メンバ名とオプションのグループ名で構成される。
数字のUICでは,グループ番号は1〜37776の8進値,メンバ番号は0〜177776 の8進値とする。先行する0は,省略できる。 どの形式のUICを使用する場合も,システムはUICを32ビットの数値に変換する。 英数字形式のUICは使用できない。 |
システム管理者は通常,システム・ユーザを表すUIC値として識別子を追加します。 システムは,整数形式で識別子をシステム資源に適用します。
UAF> ADD/IDENTIFIER/VALUE=UIC:[300,011] INVENTORY %UAF-I-RDBADDMSGU, identifier INVENTORY value: [000300,000011] added to RIGHTSLIST.DATINVENTORYという名前の識別子を権利データベースに追加するコマンド例です。 省略時の設定では,識別子は資源としてマークされません。
UAF> ADD/IDENTIFIER/ATTRIBUTES=(RESOURCE) - _/VALUE=IDENTIFIER:%X80011 PAYROLL %UAF-I-RDBADDMSGU, identifier PAYROLL value: %X80080011 added to RIGHTSLIST.DAT識別子PAYROLLを追加し,資源としてマークするコマンドです。整数値の識別子をUIC 値の識別子と区別するため,指定したコードに%X80000000が追加されています。
ネットワーク代理登録ファイルNETPROXY.DATとNET$PROXY.DATにエントリを追加し, 運用時データベースを更新するようDECnetにシグナル通知します。 追加した内容は,同一クラスタ内に存在し代理データベースを共用するノードすべてに対し, 直ちに有効となります。
ADD/PROXY ノード::遠隔ユーザ ローカル・ユーザ[,...]
OpenVMS以外のシステムでDECnetを実現している場合は,遠隔ノード上のユーザのUIC を指定します。UICのグループ・フィールドとメンバ・フィールドには, ワイルドカード文字のアスタリスク(*)を使用できます。
遠隔ユーザ・アクセスは,1個の省略時の代理アカウントと15個までのローカル・ アカウントに設定できます。省略時の代理アカウント以外の代理アカウントにアクセスするには, アクセスしたいアカウント名をアクセス制御文字列に指定します。 省略時の代理アカウントを変更するには, MODIFY/PROXYコマンドを使用します。
代理ログインを使用すれば,パスワードをコマンド行に指定せずに済むとともに, パスワードが洩れる恐れもなくなります。ただし,遠隔ユーザにアクセス権を与える作業は, 慎重に行う必要があります。ローカル・システムにログインしている間, 遠隔ユーザはSET HOST以外のすべてのDCLコマンドを実行できるからです。 遠隔ユーザは,ローカル・ユーザの省略時の特権を利用でき, 結果的にローカル・ユーザのファイルの所有者としてDCL コマンドを実行できます。
セキュリティ上の問題を防止するため,ローカル・ノードの代理アカウントの特権は, 遠隔ノード上の通常のアカウントより特権より低く設定してください。_N などの拡張子を追加すれば,遠隔ユーザに属するアカウントであることを識別できるうえ, ローカル・ノード上の同一名のアカウントと区別できます。 次のコマンド例は,代理アカウントJONES_Nをローカル・ ノードに作成し,ユーザJONESが遠隔ノードSAMPLEからアカウントにアクセスできるようにしています。
UAF> ADD/PROXY SAMPLE::JONES JONES_N/DEFAULT %UAF-I-NAFADDMSG, record successfully added to NETPROXY.DAT
代理アカウント作成の詳細については,『OpenVMS Guide to System Security』を参照してください。
UAF> ADD/PROXY SAMPLE::WALTER ROBIN/DEFAULT %UAF-I-NAFADDMSG, record successfully added to NETPROXY.DAT遠隔ノードSAMPLE上のユーザWALTERに対し,ローカル・ノードAXEL上のユーザROBIN のアカウントへの代理アクセス権を与えることを指定しています。 代理ログインにより,ノードAXELにアクセスしたWALTERには,ユーザROBIN の省略時の特権が与えられます。
UAF> ADD/PROXY MISHA::* MARCO/DEFAULT, OSCAR %UAF-I-NAFADDMSG, record successfully added to NETPROXY.DAT省略時の設定では,遠隔ノードMISHA上のすべてのユーザが,ローカル・ ノードのMARCOアカウントを使用して遠隔ファイル・アクセスなどのDECnet タスクを行えることを指定しています。遠隔ユーザは,アクセス制御文字列にユーザ名OSCAR を指定することにより,代理アカウントOSCARにもアクセスできます。
UAF> ADD/PROXY MISHA::MARCO */DEFAULT %UAF-I-NAFADDMSG, record successfully added to NETPROXY.DAT遠隔ノードMISHA上のユーザMARCOが遠隔ファイルにアクセスするために使用できるのは, ローカル・ノードのMARCOアカウントだけであることを指定しています。
UAF> ADD/PROXY TAO::MARTIN MARTIN/D,SALES_READER %UAF-I-NAFADDMSG, proxy from TAO:.TWA.RAN::MARTIN to MARTIN added %UAF-I-NAFADDMSG, proxy from TAO:.TWA.RAN::MARTIN to SALES_READER added遠隔ノードTAO上のユーザMARTINにDECnet-Plusを実行するシステム上のローカル・ アカウントMARTIN (省略時)およびSALES_READERへの代理アクセス権を与えています。
既存のUAFレコードをコピーして新しいSYSUAFレコードを作成します。
COPY 旧ユーザ名 新ユーザ名
たとえば次のように,Joseph Robinのレコードと同じレコードをThomas Sparrowという新しいユーザのレコードとして追加できます。
UAF> COPY ROBIN SPARROW /PASSWORD=SP0152
UIC,ディレクトリ名,パスワード,所有者がJoseph Robinとは異なるレコードをThomas Sparrow のレコードとして追加するには,次のコマンドを指定します。
UAF> COPY ROBIN SPARROW /UIC=[200,13]/DIRECTORY=[SPARROW] - _/PASSWORD=THOMAS/OWNER="THOMAS SPARROW"
COPYコマンドを使用すれば,各種のユーザ・グループの具体的なニーズを満たすテンプレート・ レコードを作成することもできます。たとえば,プログラマ, 管理者,データ入力担当者が同一システム上で作業している場合,PROGRAMMER ,ADMINISTRATOR,DATA_ENTRYといったレコードを,それぞれのグループの必要に応じて作成できます。 ユーザのアカウントを新たに追加する場合, 該当するテンプレート・レコードをコピーし,ユーザ名, パスワード,UIC,ディレクトリ,所有者を指定します。
アカウント作成時に/PASSWORD修飾子を省略すると,次のエラー・メッセージが表示されます。
%UAF-W-DEFPWD, copied or renamed records must receive new password
アカウントのパスワードを指定するには,MODIFYコマンドを/PASSWORD修飾子を付けて使用します。
UAF> COPY ROBIN SPARROW /PASSWORD=SP0152 %UAF-I-COPMSG, user record copied %UAF-E-RDBADDERRU, unable to add SPARROW value: [000014,00006] to RIGHTSLIST.DAT -SYSTEM-F-DUPIDENT, duplicate identifierパスワード以外はJoseph Robinと同じであるThomas Sparrowのレコードを追加するコマンド例です。UIC 値は同じであるため,RIGHTSLIST.DATに識別子は追加されません。"duplicate identifier" エラー・メッセージが出力されます。
UAF> COPY ROBIN SPARROW /UIC=[200,13]/DIRECTORY=[SPARROW] - _/PASSWORD=THOMAS/OWNER="THOMAS SPARROW" %UAF-I-COPMSG, user record copied %UAF-I-RDBADDMSGU, identifier SPARROW value: [000200,000013] added to RIGHTSLIST.DATUIC,ディレクトリ名,パスワード,所有者以外はJoseph Robinと同じであるThomas Sparrow のレコードを追加するコマンド例です。新しいユーザを特定のユーザ・ グループに追加する場合にも,この例を応用すれば,テンプレート・ レコードをコピーできます。
ネットワーク代理登録ファイルを作成し,初期化します。1次ネットワーク代理登録ファイルはNET$PROXY.DAT です。NETPROXY.DATファイルは互換性を維持するために管理されます。
CREATE/PROXY
(S:RWED,O:RWED,G,W)
NET$PROXY.DATはレコードなしで作成され,次の保護が設定されます。
(S:RWED,O:RWED,G,W)
NETPROXY.DATまたはNET$PROXY.DATがすでに存在する場合,次のエラー・ メッセージが出力されます。
%UAF-W-NAFAEX, NETPROXY.DAT already exists
新しいファイルを作成する場合,旧ファイルを削除または名前を変更しなければなりません。
UAF> CREATE/PROXY UAF>ネットワーク代理登録ファイルを作成し,初期化するコマンド例です。
権利データベースRIGHTSLIST.DATを作成し初期化します。
CREATE/RIGHTS
(S:RWED,O:RWED,G:R,W:)
ファイルが作成されるのは,ファイルがまだ存在していないときだけです。
UAF> CREATE/RIGHTS %UAF-E-RDBCREERR, unable to create RIGHTSLIST.DAT -RMS-E-FEX, file already exists, not superseded新しい権利データベースを作成し初期化するコマンド例です。もっとも,RIGHTSLISTL.DAT は,インストール時に自動的に作成されます。したがって, 新しく作成する場合は,既存のデータベースを削除または名前を変更しなければなりません。 権利データベース管理の詳細については, 『OpenVMS Guide to System Security』を参照してください。
SYSUAFのDEFAULTレコードを変更します。
DEFAULT
修飾子 | 変更の理由 |
---|---|
/CLI | コマンド・インタプリタがMCRである場合。 |
/DEVICE | ほとんどのユーザの省略時の装置が同じである場合。 |
/LGICMD | 特定のログイン・コマンド・ファイルを使用して,
ログイン時の諸作業を自動化したい場合。
したがって,ログイン・プロトコルでは,システム全体で共通のログイン・ コマンドとファイルの後に,ユーザ固有のログイン・コマンド・ファイルが続きます。 |
/PRIVILEGES | Compaq提供の特権以外の特権をユーザに許可する場合。 |
クォータ修飾子 | 省略時のクォータが不十分であるか適切でない場合。 |
UAF> DEFAULT /DEVICE=SYS$USER/LGICMD=SYS$MANAGER:SECURELGN - _UAF> /PRIVILEGES=(TMPMBX,GRPNAM,GROUP) %UAF-I-MDFYMSG, user record(s) updatedDEFAULTレコードを変更して,省略時の装置,省略時のログイン・コマンド・ ファイル,省略時の特権を変えるコマンド例です。
AUTHORIZEを終了し,DCLコマンド・レベルに戻ります。Ctrl/Zを押しても, コマンド・レベルに戻れます。
EXIT
指定した識別子をユーザに割り当て,識別子の保持者としてユーザを権利データベースに記録します。
GRANT/IDENTIFIER 識別子名 ユーザ指定
DYNAMIC | DCLのSET RIGHTS_LISTコマンドを使用することにより, 識別子の保持者は,プロセス権利リストに格納されている識別子を削除し復元できる。 |
HOLDER_ HIDDEN | 識別子自体を保有している場合を除き,識別子を保有するユーザのリストを検索することを禁止する。 |
NAME_HIDDEN | 識別子の保有者がバイナリからASCII へ,またはASCIIからバイナリへ識別子を変換することを許可するが, 登録されていないユーザが識別子を変換することは禁止する。 |
NOACCESS | 識別子のアクセス権を空白にし, 削除する。ユーザにNo Access属性を持つ識別子が与えられている場合には, その識別子は,オブジェクトへのユーザのアクセス権にまったく影響しない。 この属性はResourceまたはSubsystem属性を持つ識別子をさらに修飾する属性である。 |
RESOURCE | 識別子の保持者は,ディスク空間を識別子に対して請求できる。 ファイル・オブジェクト専用。 |
SUBSYSTEM | 識別子の保有者が,サブシステムACE をサブシステム内のアプリケーション・イメージに割り当てることによって, 保護されたサブシステムを作成し,管理することを許可する。ファイル・ オブジェクト専用。 |
識別子から属性を削除するには,NO接頭辞を付けます。たとえばResource 属性を削除するには,/ATTRIBUTES=NORESOURCEと指定します。
UAF> GRANT/IDENTIFIER INVENTORY [300,015] %UAF-I-GRANTMSG, identifier INVENTORY granted to CRAMER識別子INVENTORYを[300,015]のUICを持つCramerという名前のユーザに設定するコマンド例です。 ユーザCramerが,識別子と割り当てられた資源の保持者となります。 次のコマンドでも,結果は同じです。
UAF> GRANT/IDENTIFIER INVENTORY CRAMER
コマンド,パラメータ,修飾子の形式と説明など,AUTHORIZEの使用法に関する情報を表示します。
HELP [キーワード[,...]
修飾子を使用できるコマンドの場合,コマンドのヘルプ情報の後に"Subtopic?" と表示されるので,修飾子名を入力するか,またはReturnキーを押します。Return キーを押した場合,"Topic?"と表示されます。このレベルでヘルプを直接終了するには,Ctrl/Z を押します。
UAF> HELP ADDADDコマンドに関する情報を表示するコマンド例です。
ADD Adds a user record to the SYSUAF and corresponding identifiers to the rights database. Format ADD newusername Additional information available: Parameter Qualifiers /ACCESS /ACCOUNT /ADD_IDENTIFIER /ALGORITHM /ASTLM /BATCH /BIOLM /BYTLM /CLI /CLITABLES /CPUTIME /DEFPRIVILEGES /DEVICE /DIALUP /DIOLM /DIRECTORY /ENQLM /EXPIRATION /FILLM /FLAGS /GENERATE_PASSWORD /INTERACTIVE /JTQUOTA /LGICMD /LOCAL /MAXACCTJOBS /MAXDETACH /MAXJOBS /NETWORK /OWNER /PASSWORD /PBYTLM /PGFLQUOTA /PRCLM /PRIMEDAYS /PRIORITY /PRIVILEGES /PWDEXPIRED /PWDLIFETIME /PWDMINIMUM /REMOTE /SHRFILLM /TQELM /UIC /WSDEFAULT /WSEXTENT /WSQUOTA Examples /IDENTIFIER /PROXY ADD Subtopic?
UAF> HELP MODIFY/WSDEFAULT/WSDEFAULT修飾子に関する情報を表示するコマンド例です。
MODIFY /WSDEFAULT=value Specifies the default working set size. This represents the initial limit to the number of physical pages the process can use. (The user can alter the default quantity up to WSQUOTA with the DCL command SET WORKING_SET.) The minimum value is 50 pages (on VAX systems) and 150 pagelets (on Alpha systems). By default, a user has 150 pages (on VAX systems) and 150 pagelets (on Alpha systems).
選択したUAFレコードのレポートを,現在の省略時のディレクトリ内のSYSUAF.LIS ファイルに書き込みます。
LIST [ユーザ指定]
1つのユーザ名を指定すると,そのユーザだけのレポートが出力されます。LIST コマンドの後にワイルドカード文字のアスタリスクを指定すると, ユーザ名の昇順ですべてのユーザのレポートが出力されます。1つのUIC を指定すると,そのUICを持つすべてのユーザのレポートが出力されます。 複数のユーザが1つのUICを共用している場合は,そのUICを持つすべてのユーザについて表示されます(Compaq は,ユーザごとに一意のUICを設定することをお薦めします) 。UICの指定では,ワイルドカード文字のアスタリスクを使用できます。
次の表は,各種レポートを出力するときにLISTコマンドでUICを指定する方法と,UIC 指定でのワイルドカード文字のアスタリスクの使用方法を示しています。
コマンド | 説明 |
---|---|
LIST [14,6] | グループ14に属するメンバ番号6のユーザの詳細レポートをリストする。 |
LIST [14,*] /BRIEF | グループ14に属するすべてのユーザの簡略レポートを, メンバ番号の昇順でリストする。 |
LIST [*,6] /BRIEF | メンバ番号6のすべてのユーザの簡略レポートをリストする。 |
LIST [*,*] /BRIEF | すべてのユーザの簡略レポートを,UICの昇順でリストする。 |
1つのUICを複数のユーザで共用させている場合があれば,これらのユーザはSYSUAF に追加した順序で出力されます。詳細レポートは,制限値,特権, ログイン・フラグ,コマンド・インタプリタの詳細をリストします。 簡略レポートでは,制限値,ログイン・フラグ,コマンド・インタプリタ, および特権も表示されません。アカウントのパスワードが表示されることは, 決してありません。
簡略レポートと詳細レポートの例については,SHOWコマンドを参照してください。
UAF> LIST ROBIN/FULL %UAF-I-LSTMSG1, writing listing file %UAF-I-LSTMSG2, listing file SYSUAF.LIS completeユーザ・レコードROBINの詳細レポートをリストするコマンドです。
UAF> LIST * %UAF-I-LSTMSG1, writing listing file %UAF-I-LSTMSG2, listing file SYSUAF.LIS completeユーザ名の昇順のすべてのユーザの簡略レポートを出力するコマンドです。 ワイルドカード文字のアスタリスクを省略したときにも,同じ結果となります。
UAF> LIST [300.*] %UAF-I-LSTMSG1, writing listing file %UAF-I-LSTMSG2, listing file SYSUAF.LIS completeグループUICが300のすべてのユーザ・レコードについて,簡略レポートをリストするコマンドです。
識別子の名前,属性,値,保持者をRIGHTSLIST.LISファイルに書き込みます。
LIST/IDENTIFIER [識別子名]
IDENTIFIER:n | 65,536〜268,435,455の整数値。%X
で始まる16進値や%0で始まる8進値も指定できる。
一般識別子とUIC識別子を区別するため,ユーザが指定した値には%X80000000 が追加されます。 |
UIC:ユーザ識別子 | UIC標準形式によるUIC値。 |
RIGHTSLIST.LISファイルの印刷は,DCLのPRINTコマンドで行います。
UAF> LIST/IDENTIFIER INVENTORY %UAF-I-LSTMSG1, writing listing file %UAF-I-RLSTMSG, listing file RIGHTSLIST.LIS complete識別子INVENTORYについて,16進数による値,保持者,属性を含む詳細リストを出力するコマンド例です。
UAF> LIST/IDENTIFIER/USER=ANDERSON %UAF-I-LSTMSG1, writing listing file %UAF-I-RLSTMSG, listing file RIGHTSLIST.LIS completeユーザANDERSONの識別子,値,属性をリストしています。ANDERSONのUIC を次のように指定した場合も,結果は同じです。
UAF> LIST/IDENTIFIER/USER=[300,015]
UAF> LIST/IDENTIFIER/VALUE=UIC:[300,015]
NET$PROXY.DATネットワーク・データベース・ファイルからネットワーク代理データベース・ エントリのリスト・ファイルを作成します。
LIST/PROXY
OpenVMSバージョン6.1を実行していないクラスタ・ノード上で代理データベースが変更されている場合は,/OLD 修飾子を使用して以前のデータベースNETPROXY.DAT の内容のリストを作成することができます。
UAF> LIST/PROXY %UAF-I-LSTMSG1, writing listing file %UAF-I-NETLSTMSG, listing file NETPROXY.LIS completeこの例のコマンドは,NETPROXY.DATネットワーク代理データベースのすべてのエントリのリスト・ ファイルを作成します。
指定した識別子が保持する識別子をリストします。/USERを指定した場合, 指定のユーザが保持するすべての識別子がリストされます。
LIST/RIGHTS [識別子名]
UAF> LIST/RIGHTS PAYROLL %UAF-I-LSTMSG1, writing listing file %UAF-I-RLSTMSG, listing file RIGHTSLIST.LIS completeUIC形式識別子の名前であるPAYROLLが保持する識別子をリストするコマンド例です。
SYSUAFユーザ・レコードの値を変更します。指定しなかった修飾子は,変更されません。
MODIFY ユーザ名 /修飾子[,...]
ADDコマンドの修飾子も参照してください。
ユーザ・レコードを変更しても,他への影響はありません。したがって, クォータ値の変更内容は,現在のプロセスではなく,次に作成されるプロセスに適用されます。
UAF> MODIFY ROBIN /PASSWORD=SP0172 %UAF-I-MDFYMSG, user record(s) updatedユーザROBINのレコード値のうち,パスワードだけを変更するコマンド例です。
UAF> MODIFY ROBIN/FLAGS=RESTRICTED %UAF-I-MDFYMSG, user record(s) updatedログイン・フラグRESTRICTEDを追加することによって,ユーザROBINのUAF レコードを変更するコマンド例です。
権利データベースに格納されている識別子名とその値または属性を変更します。
MODIFY/IDENTIFIER 識別子名
DYNAMIC | DCLのSET RIGHTS_LISTコマンドを使用することにより, 識別子の保持者は,プロセス権利リストに格納されている識別子を削除し復元できる。 |
HOLDER_ HIDDEN | 識別子自体を保有している場合を除き,識別子を保有するユーザのリストを検索することを禁止する。 |
NAME_HIDDEN | 識別子の保有者がバイナリからASCII へ,またはASCIIからバイナリへ識別子を変換することを許可するが, 登録されていないユーザが識別子を変換することは禁止する。 |
NOACCESS | 識別子のアクセス権を空白にし, 削除する。ユーザにNo Access属性を持つ識別子が与えられている場合には, その識別子は,オブジェクトへのユーザのアクセス権にまったく影響しない。 この属性はResourceまたはSubsystem属性を持つ識別子をさらに修飾する属性である。 |
RESOURCE | 識別子の保持者は,ディスク空間を識別子に対して請求できる。 ファイル・オブジェクト専用。 |
SUBSYSTEM | 識別子の保有者が,サブシステムACE をサブシステム内のアプリケーション・イメージに割り当てることによって, 保護されたサブシステムを作成し,管理することを許可する。ファイル・ オブジェクト専用。 |
識別子から属性を削除するには,NO接頭辞を属性キーワードに付けます。 たとえば,資源属性を削除するには,/ATTRIBUTES=NORESOURCEと指定します。
/HOLDERを指定すると,/NAMEと/VALUEの修飾子は無視されます。
IDENTIFIER:n | 65,536〜268,435,455の整数値。%X
で始まる16進値や%0で始まる8進値も指定できる。
一般識別子とUIC識別子を区別するため,ユーザが指定した値には%X80000000 が追加されます。 |
UIC:ユーザ識別子 | UIC標準形式によるUIC値。 |
UAF> MODIFY/IDENTIFIER OLD_ID /NAME=NEW_ID %UAF-I-RDBMDFYMSG, identifier OLD_ID modifiedOLD_ID識別子の名前をNEW_IDに変更するコマンド例です。
UAF> MODIFY/IDENTIFIER/VALUE=UIC:[300,21] ACCOUNTING %UAF-I-RDBMDFYMSG, identifier ACCOUNTING modified識別子ACCOUNTINGの旧UIC値を新しい値に変更するコマンド例です。
UAF> MODIFY/IDENTIFIER/ATTRIBUTES=NORESOURCE- _UAF> /HOLDER=CRAMER ACCOUNTING %UAF-I-RDBMDFYMSG, identifier ACCOUNTING modified属性NORESOURCEを,CRAMERの保持者レコードの識別子ACCOUNTING と割り当てるコマンド例です。識別子ACCOUNTINGは,変更されません。
ネットワーク代理登録ファイル(NETPROXY.DAT)を変更し,別のローカル・ アカウントを遠隔ユーザの省略時の代理アカウントとして指定するか,あるいは遠隔ユーザの省略時の代理アカウントなしを指定します。
このコマンドは,NET$PROXY.DATネットワーク代理登録ファイルのエントリを変更し, 他のシステムとの互換性を維持するために,NETPROXY.DATのエントリを変更します。
MODIFY/PROXY ノード::遠隔ユーザ
OpenVMS以外のシステムでDECnetを実現している場合には,遠隔ノード上のユーザのUIC を指定します。UICのグループ・フィールドとメンバ・フィールドには, ワイルドカード文字のアスタリスクを使用できます。
次の例の最初のコマンドは,遠隔ユーザSTIR::YETTAに対し,PROXY1とPROXY2 のローカル・アカウントへの代理アクセスを許可しています。省略時の代理アカウントは,PROXY1 です。次のコマンドは,省略時の代理アカウントをPROXY2 に変更しています。
UAF> ADD/PROXY STIR::YETTA PROXY1/DEFAULT, PROXY2 . . . UAF> MODIFY/PROXY STIR::YETTA /DEFAULT=PROXY2
次の例は,省略時の代理指定を削除するコマンドです。
UAF> MODIFY/PROXY STIR::YETTA /NODEFAULT
上記のように省略時の代理指定を削除する場合,遠隔ユーザSTIR::YETTA がローカル・システムに代理アクセスできるようにするには,代理アカウント名PROXY1 またはPROXY2を各ネットワーク処理のアクセス制御文字列に指定する必要があります。
ネットワーク代理データベースとDCLコマンドのアクセス制御文字列のどちらにも省略時の代理アカウントを指定しない場合, 省略時のDECnetアカウントを使ってネットワーク処理が行われます。
UAF> MODIFY/PROXY MISHA::MARCO /DEFAULT=JOHNSON %UAF-I-NAFADDMSG, record successfully modified in NETPROXY.DAT遠隔ノードMISHA上のユーザMARCOの省略時の代理アカウントをアカウントJOHNSON に変更するコマンド例です。
システム・パスワードを変更します(SYSTEMユーザ名のパスワードとは違います) 。このコマンドは,DCLのSET PASSWORD/SYSTEMコマンドと同じように操作します。
MODIFY/SYSTEM_PASSWORD= システム・パスワード
UAF> MODIFY/SYSTEM_PASSWORD=ABRACADABRA UAF>システムワイド・パスワードをABRACADABRAに変更しています。
SYSUAFユーザ・レコードとそれに対応する権利データベース内の識別子を削除します。DEFAULT レコードとSYSTEMレコードは,削除できません。
REMOVE ユーザ名
UAF> REMOVE ROBIN %UAF-I-REMMSG, record removed from SYSUAF.DAT %UAF-I-RDBREMMSGU, identifier ROBIN value: [000014,000006] removed from RIGHTSLIST.DATユーザROBINのレコードをSYSUAFから削除し,ROBINのUICをRIGHTSLIST.DAT から削除するコマンド例です。
権利データベースから識別子を削除します。
REMOVE/IDENTIFIER 識別子名
UAF> REMOVE/IDENTIFIER Q1SALES %UAF-I-RDBREMMSGU, identifier Q1SALES value %X80010024 removed from RIGHTSLIST.DAT権利データベースから識別子Q1SALESを削除するコマンド例です。対応する保持者レコードも, すべて削除されます。
指定した遠隔ユーザのネットワーク代理アクセス権を削除します。
REMOVE/PROXY ノード::遠隔ユーザ [ローカル・ユーザ,...]
UAF> REMOVE/PROXY MISHA::MARCO %UAF-I-NAFDONEMSG, record removed from NETPROXY.DATMISHA::MARCOのレコードをネットワーク代理登録ファイルから削除し,ノードMISHA 上のユーザMARCOに与えられていたローカル・ノードへの代理アクセス権をすべて削除するコマンド例です。
SYSUAFレコードのユーザ名を変更します。旧レコードの特性は変更されません。 対応する識別子を指定した場合,その識別子も変更されます。
RENAME 旧ユーザ名 新ユーザ名
BOTH | 一次パスワードと二次パスワードを作成する。 |
CURRENT | DEFAULT アカウントが実行することを行う。一次と二次のいずれかまたは両方の作成, あるいはパスワードを作成しない。省略時のキーワード。 |
PRIMARY | 一次パスワードだけを作成する。 |
SECONDARY | 二次パスワードだけを作成する。 |
パスワードを変更した場合,新しいパスワードは自動的に満了します。 /NOPWDEXPIREDを指定しないかぎり,有効であるのは1回だけです。 /FLAGS=DISFORCE_PWD_CHANGEを指定しないかぎり,ユーザはログイン時にパスワードを変更しなければなりません。
/GENERATE_PASSWORDと/PASSWORDの修飾子は,互いに排他的です。
パスワードを変更した場合,新しいパスワードは自動的に満了します。 /NOPWDEXPIREDを指定しないかぎり,有効であるのは1回だけです。 /FLAGS=DISFORCE_PWD_CHANGEを指定しないかぎり,ユーザはログイン時にパスワードを変更しなければなりません。
/GENERATE_PASSWORDと/PASSWORDの修飾子は,互いに排他的です。
RENAMEコマンドで新しいUAFレコードを作成する場合,パスワードを指定しなければなりません。
パスワードのチェックでは,パスワード以外にユーザ名もチェック対象となるため, 名前が変わったユーザが旧パスワードでログインしようとしても, ログインできません。あるレコードから別のレコードにRENAMEコマンドで転送できるパスワードは, ヌル・パスワードだけです。RENAMEコマンドを実行するときは, 新しいパスワードも指定し,変更内容を対象ユーザに通知することを習慣づけるようにしてください。/PASSWORD 修飾子を省略すると, 旧パスワードを変更しなければならないことを知らせる警告メッセージが表示されます。
対象となるユーザのネットワーク登録レコードは,自動的に新しい名前に変更されます。
UAF> RENAME HAWKES KRAMERDOVE/PASSWORD=MARANNKRA %UAF-I-PRACREN, proxies to HAWKES renamed %UAF-I-RENMSG, user record renamed %UAF-I-RDBMDFYMSG, identifier HAWKES modifiedアカウントHawkesの名前をKramerdoveに変更し,このアカウントのユーザ名の識別子を変更し, このアカウントへのすべての代理ログインの名前を変更するコマンド例です。
UAF> RENAME HAWKES KRAMERDOVE %UAF-I-PRACREN, proxies to HAWKES renamed %UAF-I-RENMSG, user record renamed %UAF-W-DEFPWD, Warning: copied or renamed records must receive new password %UAF-I-RDBMDFYMSG, identifier HAWKES modifiedRENAMEコマンドで新しいパスワードを指定しなかった場合に,システムが出力する警告メッセージ例です。
権利データベースに格納されている識別子の名前を変更します。
RENAME/IDENTIFIER 現在の識別子名 新識別子名
MODIFY/IDENTIFIER/NAME= 新しいID名 ID名
UAF> RENAME/IDENTIFIER Q1SALES Q2SALES %UAF-I-RDBMDFYMSG, identifier Q1SALES modified識別子Q1SALESの名前をQ2SALESに変更するコマンド例です。
ユーザの識別子を取り消します。
REVOKE/IDENTIFIER 識別子名 ユーザ指定
UAF> REVOKE/IDENTIFIER INVENTORY CRAMER %UAF-I-REVOKEMSG, identifier INVENTORY revoked from CRAMERユーザCramerの識別子INVENTORYを取り消すコマンド例です。Cramerは, 識別子とともに,割り当てられた資源すべてを失います。
ライト識別子は数字であるため,取り消す識別子を持つユーザのレコードを変更する必要はありません。
選択したUAFレコードのレポートを,現在のSYS$OUTPUT装置上に表示します。
SHOW ユーザ指定
/BRIEF修飾子を省略すると,詳細レポートが表示されます。
/HIGHLIGHT修飾子は,/PAGE=SAVE修飾子や/SEARCH修飾子とともに使用します。
CLEAR_SCREEN | 次のページを表示する前に画面を消去する。 |
SCROLL | 情報を継続的に表示する。 |
SAVE[=n] | 情報を格納し,表 5-1 に示されたキーを有効にする。省略時には,5 ページを保存する。最大ページ幅は255桁。 |
キーまたはキー・シーケンス | 行われる操作 |
---|---|
↓ | 1行下にスクロールする。 |
← | 1桁左にスクロールする。 |
→ | 1桁右にスクロールする。 |
↑ | 1行上にスクロールする。 |
Find (E1) | 表示された情報から新しい文字列を検索する。 |
Insert Here (E2) | 半画面分右に移動する。 |
Remove (E3) | 半画面分左に移動する。 |
Select (E4) | 80桁表示から132桁表示に切り替える。 |
Prev Screen (E5) | 前のページに戻る。 |
Next Screen (E6) | 次のページを表示する。 |
CTRL/Z | UAF>プロンプトに戻る。 |
Help | AUTHORIZEヘルプ・テキストを表示する。 |
F16 (Do) | 最初のページから最後のページに切り替える。 |
Ctrl/W | 表示を消去する。 |
/NOWRAP修飾子は,行の折り返しを行いません。画面全体を見るには,表 5-1 にリストされた/PAGE=SAVE修飾子と画面制御キーを使用します。
ワイルドカード文字のアスタリスクを使用すれば,次のようにUIC全体または一部を指定することもできます。
コマンド | 説明 |
---|---|
SHOW [14,*] /BRIEF | グループ14に属するすべてのユーザについて, メンバ番号の昇順で簡略レポートを表示する。 |
SHOW [*,6] /BRIEF | メンバ番号6を持つすべてのユーザの簡略レポートを表示する。 |
SHOW [*,*] /BRIEF | UICの昇順ですべてのユーザの簡略レポートを表示する。 |
UAF> SHOW ROBINVAXシステムにおいて,ユーザROBINの詳細レポートを表示するコマンド例です。 これは,ADDコマンドの最初の表示例と同じです。省略時の値は, ほとんどが有効です。
Username: ROBIN Owner: JOSEPH ROBIN Account: VMS UIC: [14,6] ([INV,ROBIN]) CLI: DCL Tables: DCLTABLES Default: SYS$USER:[ROBIN] LGICMD: Login Flags: Primary days: Mon Tue Wed Thu Fri Secondary days: Sat Sun No access restrictions Expiration: (none) Pwdminimum: 6 Login Fails: 0 Pwdlifetime: (none) Pwdchange: 15-JAN-1998 14:08 Last Login: (none) (interactive), (none) (non-interactive) Maxjobs: 0 Fillm: 300 Bytlm: 32768 Maxacctjobs: 0 Shrfillm: 0 Pbytlm: 0 Maxdetach: 0 BIOlm: 40 JTquota: 4096 Prclm: 2 DIOlm: 40 WSdef: 256 Prio: 4 ASTlm: 40 WSquo: 512 Queprio: 0 TQElm: 10 WSextent: 1024 CPU: (none) Enqlm: 200 Pgflquo: 32768 Authorized Privileges: TMPMBX NETMBX Default Privileges: TMPMBX NETMBX Identifier Value Attributes CLASS_CA101 %X80010032 NORESOURCE NODYNAMIC CLASS_PY102 %X80010049 NORESOURCE NODYNAMIC
UAF> SHOW [360,*] /BRIEF360のグループUICを持つすべてのユーザについて,簡略レポートを表示するコマンド例です。
Owner Username UIC Account Privs Pri Default Directory JOHN JAMES JAMES [360,201] USER Normal 4 DOCD$:[JAMES] SUSY JONES JONES [360,203] DOC Devour 4 DOCD$:[JONES] CLIFF BROWN BROWN [360,021] DOC All 4 disuser JOY CARTER CARTER [360,005] DOCSEC Group 4 expired
UAF> SHOW WELCH制約付きユーザWELCHの詳細レポートを表示しています。これは,ADDコマンドの2 番目の表示例と同じです。
Username: WELCH Owner: ROB WELCH Account: INV UIC: [14,51] ([14,51]) CLI: DCL Tables: DCLTABLES Default: SYS$USER:[WELCH] LGICMD: SECUREIN Login Flags: Restricted Diswelcome Disnewmail ExtAuth Primary days: Mon Tue Wed Thu Fri Secondary days: Sat Sun Primary 000000000011111111112222 Secondary 000000000011111111112222 Day Hours 012345678901234567890123 Day Hours 012345678901234567890123 Network: ----- No access ------ ##### Full access ###### Batch: #########--------####### ---------#########------ Local: #########--------####### ---------#########------ Dialup: ##### Full access ###### ----- No access ------ Remote: #########--------####### ---------#########------ Expiration: (none) Pwdminimum: 6 Login Fails: 0 Pwdlifetime: (none) Pwdchange: (pre-expired) Last Login: (none) (interactive), (none) (non-interactive) Maxjobs: 0 Fillm: 300 Bytlm: 32768 Maxacctjobs: 0 Shrfillm: 0 Pbytlm: 0 Maxdetach: 0 BIOlm: 40 JTquota: 4096 Prclm: 2 DIOlm: 40 WSdef: 256 Prio: 4 ASTlm: 40 WSquo: 512 Queprio: 4 TQElm: 10 WSextent: 1024 CPU: (none) Enqlm: 200 Pgflquo: 32768 Authorized Privileges: TMPMBX NETMBX Default Privileges: TMPMBX NETMBX
ユーザWELCHは,メール通知やログイン時のウェルカム・メッセージが送られないCAPTIVE ユーザです。このユーザのログイン・コマンド・ ファイルSECUREIN.COMは,このユーザが行う操作すべてを制御するCAPTIVE コマンド・ファイルと思われます。このコマンド・ファイルは決して終了することはありませんが, 対応するユーザに代わって処理を行い, 適宜ユーザをログアウトさせます。CAPTIVEフラグが設定されていると, ユーザは,Ctrl/Yはじめいかなる方法でも,コマンド・ ファイルの制御から逃れることはできません。さらに,ログインできる時間は, 平日は5:00 p.m.〜8:59 a.m.に,週末は9:00 a.m.〜5:59 p.m.に制限されています。平日はダイアルアップ回線を使用できますが, ネットワークを通じてログインすることはできません。週末は制約がさらに厳しくなり, 発信はまったく行えず,6:00 p.m.〜8:59 a.m.の間,DCLのSET HOSTコマンドを使用できません。
名前,値,属性などの識別子に関する情報を,現在のSYS$OUTPUT装置に表示します。
SHOW/IDENTIFIER [識別子名]
IDENTIFIER:n | 65,536〜268,435,455の整数値。%X
で始まる16進値や%0で始まる8進値も指定できる。
一般識別子とUIC識別子を区別するため,ユーザが指定した値には%X80000000 が追加されます。 |
UIC:ユーザ識別子 | UIC標準形式によるUIC値。 |
SHOWコマンドの画面制御修飾子のリストも参照してください。
UAF> SHOW/IDENTIFIER/FULL INVENTORY次のような表示形式を出力するコマンド例です。
Name Value Attributes INVENTORY %X80010006 NORESOURCE NODYNAMIC Holder Attributes ANDERSON NORESOURCE NODYNAMIC BROWN NORESOURCE NODYNAMIC CRAMER NORESOURCE NODYNAMIC
UAF> SHOW/IDENTIFIER/USER=ANDERSONユーザANDERSONに対応する識別子を次のように表示するコマンドです。
Name Value Attributes ANDERSON [000300,000015] NORESOURCE NODYNAMIC
識別子の他,その値と属性が表示されています。ANDERSONのUICを次のように指定した場合も, 結果は同じです。
UAF> SHOW/IDENTIFIER/USER=[300,015]
UAF> SHOW/IDENTIFIER/VALUE=UIC:[300,015]
指定した遠隔ユーザのすべての登録代理アクセス権を表示します。
SHOW/PROXY ノード::遠隔ユーザ
OpenVMSの最新バージョンを実行していないクラスタ・ノード上で代理データベースが変更されている場合は,/OLD 修飾子を使用して以前のデータベースNETPROXY.DAT の内容のリストを作成することができます。
SHOWコマンドの画面制御修飾子のリストも参照してください。
UAF> SHOW/PROXY SAMPLE::[200,100] Default proxies are flagged with an * SAMPLE::[200,100] MARCO * PROXY2 PROXY3[200,100]のUICを持ちノードSAMPLE上に存在するユーザの登録代理アクセス権をすべて表示するコマンド例です。 省略時の代理アカウントMARCO は,MODIFY/PROXYコマンドでPROXY2またはPROXY3に変更できます。
UAF> SHOW/PROXY *::* Default proxies are flagged with (D) TAO:.TWA.RANCH::MARTINEZ MARTINEZ (D) SALES_READER UAF> show/proxy/old *::* Default proxies are flagged with (D) RANCH::MARTINEZ MARTINEZ (D) SALES_READERこの例では,DECnet-Plusを実行するシステム上でローカルに登録された代理アクセス権に関する情報を表示しています。 最初のコマンドでは, NET$PROXY.DATファイルから情報を表示します。/OLD修飾子を指定することにより, 以前のバージョンで使用されていたNETPROXY.DATファイルから情報を表示します。
指定した識別子が保持する識別子を表示します。/USERを指定した場合は, 指定したユーザが保持するすべての識別子が表示されます。
SHOW/RIGHTS [識別子名]
SHOWコマンドの画面制御修飾子のリストも参照してください。
UAF> SHOW/RIGHTS ANDERSONユーザANDERSONが保持するすべての識別子を表示するコマンド例です。
Name Value Attributes INVENTORY %X80010006 NORESOURCE NODYNAMIC PAYROLL %X80010022 NORESOURCE NODYNAMIC
次のコマンドでも,結果は同じです。
SHOW/RIGHTS/USER=ANDERSON
SHOW/RIGHTS/USER=[300,015]
[ 前のページ ]
[ 次のページ ]
[ 目次 ]
[ 索引 ]
[ DOC Home ]