前へ

次へ

目次

索引

ネットワーク代理登録ファイル NETPROXY.DAT と NET$PROXY.DAT にエントリを追加し，運用時データベースを更新するよう DECnet にシグナル通知します。追加した内容は，同一クラスタ内に存在し代理データベースを共用するノードすべてに対し，直ちに有効となります。

形式

ADD/PROXY ノード::遠隔ユーザ　ローカル・ユーザ[,...]

パラメータ

ノード

DECnet ノード名を指定します。アスタリスク (*) を使用すると，すべてのノード上の指定遠隔ユーザに対し， ローカル・ユーザとして定義したアカウントが対応づけられます。

遠隔ユーザ

遠隔ノード上のユーザのユーザ名を指定します。アスタリスクを使用すると，指定ノード上のすべてのユーザに対し，ローカル・ユーザが対応づけられます。

OpenVMS 以外のシステムで DECnet を実現している場合は，遠隔ノード上のユーザの UIC を指定します。 UIC のグループ・フィールドとメンバ・フィールドには，ワイルドカード文字のアスタリスク (*) を使用できます。

ローカル・ユーザ

ローカル・ノード上の 1 〜 16 名のユーザのユーザ名を指定します。アスタリスクを使用すると，遠隔ユーザ名と同じ ローカル・ユーザ名が使用されます。

位置修飾子

/DEFAULT

指定したユーザ名を省略時の代理アカウントとします。遠隔ユーザは，ネットワーク運用におけるアクセス制御文字列に代理アカウント名を指定することにより，省略時の代理アカウントではない登録アカウントに代理アクセス権を要求できます。

説明

ADD/PROXY コマンドは，ネットワーク代理登録ファイル NETPROXY.DAT と NET$PROXY.DAT にエントリを追加し，運用時データベースを更新するよう DECnet にシグナル通知します。追加した内容は，同一クラスタ内に存在し代理データベースを共用するノードすべてに対し，直ちに有効となります。

遠隔ユーザ・アクセスは，1 個の省略時の代理アカウントと 15 個までのローカル・アカウントに設定できます。省略時の代理アカウント以外の代理アカウントにアクセスするには，アクセスしたいアカウント名をアクセス制御文字列に指定します。省略時の代理アカウントを変更するには， MODIFY/PROXY コマンドを使用します。

代理ログインを使用すれば，パスワードをコマンド行に指定せずに済むとともに，パスワードが洩れる恐れもなくなります。ただし，遠隔ユーザにアクセス権を与える作業は，慎重に行う必要があります。ローカル・システムにログインしている間，遠隔ユーザは SET HOST 以外のすべての DCL コマンドを実行できるからです。遠隔ユーザは，ローカル・ユーザの省略時の特権を利用でき，結果的にローカル・ユーザのファイルの所有者として DCL コマンドを実行できます。

セキュリティ上の問題を防止するため，ローカル・ノードの代理アカウントの特権は，遠隔ノード上の通常のアカウントより特権より低く設定してください。_N などの拡張子を追加すれば，遠隔ユーザに属するアカウントであることを識別できるうえ，ローカル・ノード上の同一名のアカウントと区別できます。次のコマンド例は，代理アカウント JONES_N をローカル・ノードに作成し，ユーザ JONES が遠隔ノード SAMPLE からアカウントにアクセスできるようにしています。

UAF> ADD/PROXY SAMPLE::JONES JONES_N/DEFAULT %UAF-I-NAFADDMSG, record successfully added to NETPROXY.DAT

代理アカウント作成の詳細については，『OpenVMS Guide to System Security』を参照してください。

例

#1
UAF> ADD/PROXY SAMPLE::WALTER ROBIN/DEFAULT %UAF-I-NAFADDMSG, record successfully added to NETPROXY.DAT

遠隔ノード SAMPLE 上のユーザ WALTER に対し，ローカル・ノード AXEL 上のユーザ ROBIN のアカウントへの代理アクセス権を与えることを指定しています。代理ログインにより，ノード AXEL にアクセスした WALTER には，ユーザ ROBIN の省略時の特権が与えられます。

#2
UAF> ADD/PROXY MISHA::* MARCO/DEFAULT, OSCAR %UAF-I-NAFADDMSG, record successfully added to NETPROXY.DAT

省略時の設定では，遠隔ノード MISHA 上のすべてのユーザが，ローカル・ノードの MARCO アカウントを使用して遠隔ファイル・アクセスなどの DECnet タスクを行えることを指定しています。遠隔ユーザは，アクセス制御文字列にユーザ名 OSCAR を指定することにより，代理アカウント OSCAR にもアクセスできます。

#3
UAF> ADD/PROXY MISHA::MARCO */DEFAULT %UAF-I-NAFADDMSG, record successfully added to NETPROXY.DAT

遠隔ノード MISHA 上のユーザ MARCO が遠隔ファイルにアクセスするために使用できるのは，ローカル・ノードの MARCO アカウントだけであることを指定しています。

#4
UAF> ADD/PROXY TAO::MARTIN MARTIN/D,SALES_READER %UAF-I-NAFADDMSG, proxy from TAO:.TWA.RAN::MARTIN to MARTIN added %UAF-I-NAFADDMSG, proxy from TAO:.TWA.RAN::MARTIN to SALES_READER added

遠隔ノード TAO 上のユーザ MARTIN に DECnet-Plus を実行するシステム上のローカル・アカウント MARTIN (省略時) および SALES_READER への代理アクセス権を与えています。

既存の UAF レコードをコピーして新しい SYSUAF レコードを作成します。

形式

COPY 旧ユーザ名　新ユーザ名

パラメータ

旧ユーザ名

新レコードのテンプレートとする既存ユーザ・レコードの名前。

新ユーザ名

新ユーザ・レコードの名前。ユーザ名は，1 〜 12 文字の英数字です。

修飾子

ADD コマンド修飾子はすべて， COPY コマンドにも適用されます。

説明

COPY コマンドは，既存の SYSUAF レコードと重複する SYSUAF レコードを作成します。このコマンドでは，/PASSWORD 修飾子が必要です。この修飾子以外に修飾子を指定しない場合，作成したレコードの各フィールドは，コピー元のレコードの各フィールドと同じとなります。

たとえば次のように，Joseph Robin のレコードと同じレコードを Thomas Sparrow という新しいユーザのレコードとして追加できます。

UAF> COPY ROBIN SPARROW /PASSWORD=SP0152

UIC，ディレクトリ名，パスワード，所有者が Joseph Robin とは異なるレコードを Thomas Sparrow のレコードとして追加するには，次のコマンドを指定します。

UAF> COPY ROBIN SPARROW /UIC=[200,13]/DIRECTORY=[SPARROW] - _/PASSWORD=THOMAS/OWNER="THOMAS SPARROW"

COPYコマンドを使用すれば，各種のユーザ・グループの具体的なニーズを満たすテンプレート・レコードを作成することもできます。たとえば，プログラマ，管理者，データ入力担当者が同一システム上で作業している場合，PROGRAMMER，ADMINISTRATOR，DATA_ENTRY といったレコードを，それぞれのグループの必要に応じて作成できます。ユーザのアカウントを新たに追加する場合，該当するテンプレート・レコードをコピーし，ユーザ名，パスワード，UIC，ディレクトリ，所有者を指定します。

アカウント作成時に /PASSWORD 修飾子を省略すると，次のエラー・メッセージが表示されます。

%UAF-W-DEFPWD, copied or renamed records must receive new password

アカウントのパスワードを指定するには，MODIFY コマンドを/PASSWORD 修飾子を付けて使用します。

例

#1
UAF> COPY ROBIN SPARROW /PASSWORD=SP0152 %UAF-I-COPMSG, user record copied %UAF-E-RDBADDERRU, unable to add SPARROW value: [000014,00006] to RIGHTSLIST.DAT -SYSTEM-F-DUPIDENT, duplicate identifier

パスワード以外は Joseph Robin と同じである Thomas Sparrow のレコードを追加するコマンド例です。UIC 値は同じであるため， RIGHTSLIST.DAT に識別子は追加されません。 "duplicate identifier" エラー・メッセージが出力されます。

#2
UAF> COPY ROBIN SPARROW /UIC=[200,13]/DIRECTORY=[SPARROW] - _/PASSWORD=THOMAS/OWNER="THOMAS SPARROW" %UAF-I-COPMSG, user record copied %UAF-I-RDBADDMSGU, identifier SPARROW value: [000200,000013] added to RIGHTSLIST.DAT

UIC，ディレクトリ名，パスワード，所有者以外は Joseph Robin と同じである Thomas Sparrow のレコードを追加するコマンド例です。新しいユーザを特定のユーザ・グループに追加する場合にも，この例を応用すれば，テンプレート・レコードをコピーできます。

ネットワーク代理登録ファイルを作成し，初期化します。 1 次ネットワーク代理登録ファイルは NET$PROXY.DAT です。 NETPROXY.DAT ファイルは互換性を維持するために管理されます。

注意 NETPROXY.DAT ファイルは，DECnet Phase IV および多くのレイヤード・プロダクトで使用されるので，削除しないでください。

形式

CREATE/PROXY

パラメータ

なし

修飾子

なし

説明

NETPROXY.DAT は，レコードなしで作成され，次の保護が設定されます。

(S:RWED,O:RWED,G,W)

NET$PROXY.DAT はレコードなしで作成され，次の保護が設定されます。

(S:RWED,O:RWED,G,W)

NETPROXY.DAT または NET$PROXY.DAT がすでに存在する場合，次のエラー・メッセージが出力されます。

%UAF-W-NAFAEX, NETPROXY.DAT already exists

新しいファイルを作成する場合，旧ファイルを削除または名前を変更しなければなりません。

例

UAF> CREATE/PROXY UAF>

ネットワーク代理登録ファイルを作成し，初期化するコマンド例です。

権利データベース RIGHTSLIST.DAT を作成し初期化します。

形式

CREATE/RIGHTS

パラメータ

なし

修飾子

なし

説明

RIGHTSLIST.DAT がレコードなしで作成され，次の保護が設定されます。

(S:RWED,O:RWED,G:R,W:)

ファイルが作成されるのは，ファイルがまだ存在していないときだけです。

例

UAF> CREATE/RIGHTS %UAF-E-RDBCREERR, unable to create RIGHTSLIST.DAT -RMS-E-FEX, file already exists, not superseded

新しい権利データベースを作成し初期化するコマンド例です。もっとも，RIGHTSLISTL.DAT は，インストール時に自動的に作成されます。したがって，新しく作成する場合は，既存のデータベースを削除または名前を変更しなければなりません。権利データベース管理の詳細については，『OpenVMS Guide to System Security』を参照してください。

SYSUAF の DEFAULT レコードを変更します。

形式

DEFAULT

パラメータ

なし

修飾子

ADD コマンドの修飾子を参照してください。

説明

新しいユーザに設定された修飾子が Compaq の標準の値と異なっている場合は， DEFAULT レコードを変更します。次の修飾子はよく変更される省略時のレコード内のフィールドと対応します。

修飾子	変更の理由
/CLI	コマンド・インタプリタが MCR である場合。
/DEVICE	ほとんどのユーザの省略時の装置が同じである場合。
/LGICMD	特定のログイン・コマンド・ファイルを使用して，ログイン時の諸作業を自動化したい場合。 まず，ログイン名 SYS$SYLOGIN が定義されているかどうかを，システムがチェックします。定義されていれば，ログイン名が変換され (大半の場合 SYLOGIN.COM )，指定のコマンド・ファイルが実行されます。このコマンド・ファイルが他のログイン・コマンド・ファイルを呼び出すこともあります。 作業完了後，システムはもう一度チェックを行います。 UAF に格納されているユーザの LGICMD フィールドにコマンド・ファイルが指定されている場合，そのファイルが実行されます。 LGICMD がブランクであり，コマンド・インタプリタが DCL である場合，ユーザの LOGIN.COM ファイルが自動的に実行されます。この場合，すべてのユーザのログイン・コマンド・ファイルが LOGIN.COM でなければなりません。 コマンドとインタプリタが MCR である場合，ユーザの LOGIN.CMD ファイルが自動的に実行されます。 したがって，ログイン・プロトコルでは，システム全体で共通のログイン・コマンドとファイルの後に，ユーザ固有のログイン・コマンド・ファイルが続きます。
/PRIVILEGES	Compaq 提供の特権以外の特権をユーザに許可する場合。
クォータ修飾子	省略時のクォータが不十分であるか適切でない場合。

例

UAF> DEFAULT /DEVICE=SYS$USER/LGICMD=SYS$MANAGER:SECURELGN - _UAF> /PRIVILEGES=(TMPMBX,GRPNAM,GROUP) %UAF-I-MDFYMSG, user record(s) updated

DEFAULT レコードを変更して，省略時の装置，省略時のログイン・コマンド・ファイル，省略時の特権を変えるコマンド例です。

AUTHORIZE を終了し，DCL コマンド・レベルに戻ります。Ctrl/Z を押しても，コマンド・レベルに戻れます。

形式

EXIT

パラメータ

なし

修飾子

なし

指定した識別子をユーザに割り当て，識別子の保持者としてユーザを権利データベースに記録します。

形式

GRANT/IDENTIFIER 識別子名　ユーザ指定

パラメータ

識別子名

識別子名を指定します。識別子名は，1 〜 31 文字の英数字です。アンダスコアとドル記号も使用できます。数字だけの識別子は認められません。必ず，英字を 1 文字以上使用してください。

ユーザ指定

システム上のユーザを一意で識別する UIC 識別子を指定します。この識別子は，[GROUP1,JONES] のように英数形式です。

修飾子

/ATTRIBUTES=(キーワード[,...])

識別子と対応づける属性を指定します。有効なキーワードは，次のとおりです。

DYNAMIC	DCL の SET RIGHTS_LIST コマンドを使用することにより，識別子の保持者は，プロセス権利リストに格納されている識別子を削除し復元できる。
HOLDER_HIDDEN	識別子自体を保有している場合を除き，識別子を保有するユーザのリストを検索することを禁止する。
NAME_HIDDEN	識別子の保有者がバイナリからASCIIへ，またはASCIIからバイナリへ識別子を変換することを許可するが，登録されていないユーザが識別子を変換することは禁止する。
NOACCESS	識別子のアクセス権を空白にし，削除する。ユーザにNo Access属性を持つ識別子が与えられている場合には，その識別子は，オブジェクトへのユーザのアクセス権にまったく影響しない。この属性はResourceまたは Subsystem属性を持つ識別子をさらに修飾する属性である。
RESOURCE	識別子の保持者は，ディスク空間を識別子に対して請求できる。ファイル・オブジェクト専用。
SUBSYSTEM	識別子の保有者が，サブシステムACEをサブシステム内のアプリケーション・イメージに割り当てることによって，保護されたサブシステムを作成し，管理することを許可する。ファイル・オブジェクト専用。

識別子から属性を削除するには，NO 接頭辞を付けます。たとえば Resource 属性を削除するには， /ATTRIBUTES=NORESOURCE と指定します。

例

UAF> GRANT/IDENTIFIER INVENTORY [300,015] %UAF-I-GRANTMSG, identifier INVENTORY granted to CRAMER

識別子 INVENTORY を [300,015] の UIC を持つ Cramer という名前のユーザに設定するコマンド例です。ユーザ Cramer が，識別子と割り当てられた資源の保持者となります。次のコマンドでも，結果は同じです。

UAF> GRANT/IDENTIFIER INVENTORY CRAMER

前へ

次へ

目次

索引