[ 前のページ ]
[ 次のページ ]
[ 目次 ]
[ 索引 ]
[ DOC Home ]
本章では,OpenVMSオペレーティング・システムと会話するのに必要な, 次の基本的な情報について説明します。
詳細情報については,次のものを参照してください。
OpenVMSオペレーティング・システムへのログイン方法,またはOpenVMSオペレーティング・ システムからのログアウト方法は,システムの設定によって異なります。 本章は,OpenVMSオペレーティング・システムへのログインとオペレーティング・ システムからのログアウトについての概論です。 個々のシステムに固有な手順については,システム管理者に問い合わせてください。
システムにログインするには,ユーザ名とパスワードの2種類の情報が必要です。 通常,アカウントを設定して,ユーザにユーザ名とパスワードを与えるのはシステム管理者です( 第2.2.1 項を参照)。
以下にシステムにログインする手順を示します。
手順 | タスク |
---|---|
1 | ターミナルが電源に接続され,電源が投入されていることを確認する。 |
2 | Returnキーを押して,ログインしたいことをシステムに知らせる。次のように,
ユーザ名を求めるプロンプトが表示される。なお,システムが応答するまで,Return
キーを数回押さなければならないこともある。
システムがユーザ名を入力するプロンプトが表示される。 Username: |
3 | ユーザ名を入力してからReturn
を押す。なお,ユーザ名の入力は約30秒以内に終える必要がある。
30秒以上経過すると,「タイムアウト」となり,ログイン操作を最初からやり直さなくてはならない。
スクリーンに入力したユーザ名が表示される。 Username: CASEY <Return> 続いて,パスワードを要求するプロンプトが表示される。 Password: |
4 | パスワードを入力し, Returnを押す。パスワードは画面に表示されない。このことを"エコーなし" と呼ぶことがある。 |
5 | システム管理者がアカウントをどのように設定したかに応じて, 第2パスワードを入力しなければならないことがあり,また,自動的に生成されたパスワードを使用しなければならないことがある( 第2.2.4項を参照)。 |
ログインが成功すると,画面の左端にドル記号($)が表示されます。ドル記号は, デフォルトのDCL プロンプトです。これは,システムが使用可能な状態であることを示します。
次に,ログインの成功例を示します。
<Return> Username: CASEY <Return> Password: <Return> Welcome to OpenVMS on node MARS Last interactive login on Friday, 11-DEC-1996 08:41 Last non-interactive login on Thursday, 10-DEC-1996 11:05 $
ユーザ名やパスワードの入力を間違えたり,パスワードの期限が満了していると,
User authorization failure
というメッセージが表示されて,
ログインできません。入力を間違えた場合には,Return
を押して,もう一度入力してください。パスワードの期限が満了している場合には,
パスワードを変更しなければなりません。このため,Set
Password:プロンプトが自動的に表示されます。この場合のパスワードの変更についての説明は
第2.6節を参照してください。
ログインに関して他に問題がある場合には,使用しているアカウントの設定者にご相談ください。
安全なパスワードを選択するには,次のガイドラインに従ってください。
システム管理者やセキュリティ管理者は,たとえば10文字未満のパスワードや, パスワードの反復を禁止するなど,それ以外に制約を設定することもできます。
次の表は,安全なパスワードと危険性の高いパスワード(他人が簡単に推測できるパスワード) の例を示しています。
安全なパスワード | 危険なパスワード |
---|---|
意味のないつづり:
eojfuvcue joxtyois |
個人的な関わりの強い言葉:
恋人の名前 ペットの名前 住んでいる町の名前 自分の自動車の名前 |
混合文字列:
$924spa zu_$rags |
仕事に関連する用語:
特殊プロジェクト名 作業グループ名 |
通常,自分のアカウントがシステムですでに作成されているかどうかを調べれば, ユーザ・パスワードが必要かどうかがわかります。ユーザ・パスワードが有効な場合には, システム管理者は通常,最初のログインのために特定のパスワードを割り当てます。 このパスワードはシステムの利用者登録ファイル(UAF) に登録されており,アカウントの使用方法に関するその他の情報もあわせて登録されています。
他の人が簡単に推測できるようなパスワードは望ましくありません。アカウントを作成する人に, 推測しにくいパスワードを指定するように依頼してください。 パスワードの作成にまったく関与できない場合には,自分の名前と同じパスワードが指定されてしまう可能性があります。 その場合には, ログインした後,ただちにパスワードを変更してください(パスワードとして自分の名前や姓を使用するのはきわめて一般的であるため, セキュリティの観点からは望ましくありません) 。
アカウントを作成するときに,パスワードの最小長と,自分で新しいパスワードを選択できるのか, それともシステムから一方的にパスワードが与えられるのかも知っていなければなりません。
アカウントが作成された後,そのアカウントにただちにログインし,パスワードを変更してください。 アカウントの作成後,初めてログインするまでに時間が経過した場合には, 他のユーザがアカウントにログインして, システムに損害を与える可能性があります。同様に,パスワードを変更しなかったり, パスワードを変更できない場合には,システムを安全に維持できません。 システムがどのような損害を受けるかは,他にどのようなセキュリティ手段がとられているかに大きく左右されます。
システムはパスワードを受け付けることができるかどうかについて,次のことを調べます。
システム辞書に登録されているパスワード,以前に使用したことのあるパスワード,UAF に指定されているパスワードの最小長未満のパスワードは指定できません。
OpenVMSオペレーティング・システムでは,複数のパスワード・タイプが認識されます。
ほとんどのアウウントで必要。ユーザ名を入力した後,パスワードを要求するプロンプトが表示される。 アカウントで1次パスワードと2次パスワトードの両方が必要な場合には,2 つのパスワードを入力しなければならない。
特定のターミルへのアクセスを制御し,セキュリティ管理者が設定する。 システム・パスワードは通常,ダイアルアップ回線やパブリック・ ターミナル・ラインなど,システムの不当な使用の対象となるターミナルへのアクセスを制御するのに必要である。
1次パスワードと2次パスワードの両方を必要とするアカウントで最初に入力しなければならないパスワード。
1次パスワードと2次パスワードの両方が必要なアカウントで2番目に入力しなければならないパスワード。2 次パスワードは,ユーザ・アカウントで補足的なセキュリティ・ レベルを提供する。通常,1次ユーザは2 次パスワードを知らない。したがって,スーパーバイサなどが2次パスワードを指定しなければならない。 アプリケーションによっては, アカウントの使用中もスーパーバイザがそのまま残ることがある。したがって,2 次パスワードはログインやログイン後の処理を制御する上で便利である。
2次パスワードを使用すると,時間がかかり,不便である。したがって, 最大のセキュリティ要件を必要とするシステムでのみ使用する。 二重パスワードを使用した方がよいアカウントの例としては,通常のアクセス制御を迂回して, データベースを緊急に修復するアカウントがある。
使用できる1つ以上のターミナルにログインするために,システム・パスワードを指定しなければならないかどうかは, セキュリティ管理者が決定します。 現在のシステム・パスワード,パスワードの変更頻度,変更した場合の新しいシステム・ パスワードの入手方法については,システム管理者にご質問ください。
システム・パスワードを指定するには,次の操作を実行します。
手順 | タスク |
---|---|
1 | ターミナルが認識文字を応答するまで,Returnキーを押す。
認識文字は通常,ベルである。
<Return> <bell> |
2 | システム・パスワードを入力し,Return
を押す。
<Return> この例に示すように,プロンプトは表示されず,入力した文字も表示されない。 正しいシステム・パスワードを指定しなかった場合でも,そのことは通知されない( したがって,そのターミナルでシステム・パスワードが必要であることがわからない場合, 最初はシステムが誤動作しているかのように見える) 。システムから応答がない場合には,誤ったパスワードを入力したものと解釈し, 正しいパスワードを再入力する。 |
3 | 正しいシステム・パスワードを入力すると,
システム・アナウンスメント・メッセージが表示され(設定されている場合)
,その後にUsername:プロンプトが表示される。次の例を参照。
MAPLE - A member of the Forest Cluster Unauthorized Access is Prohibited Username: |
2次パスワードを使用しなければならないかどうかは,アカウントの作成時にセキュリティ管理者が設定します。 アカウントで1次パスワードと2次パスワードが必要な場合には, ログイン時に2つのパスワードを指定しなければなりません。 セキュリティ管理者がUAFに指定したパスワードの最小長は, 両方のパスワードに適用されます。
1つのパスワードでログインできる場合と同様に,システムはログイン全体に対して特定の時間を割り当てます。 その時間内に2次パスワードを入力しなかった場合には, ログインは時間切れになります。
次の例は,1次パスワードと2次パスワードを必要とするログインを示しています。
WILLOW - A member of the Forest Cluster Welcome to OpenVMS on node WILLOW Username: RWOODS Password: <Return> Password: <Return> Last interactive login on Friday, 11-DEC-1996 10:22 $
OpenVMSシステムでは,4種類のユーザ・アカウントを使用できます。
コンピュータに直接接続されているターミナルからログインする場合には, 次の例にしめすように,OpenVMSシステムは情報システム・メッセージを表示します。
WILLOW - A member of the Forest Cluster 【1】 Unlawful Access is Prohibited Username: RWOODS Password: You have the following disconnected process: 【2】 Terminal Process name Image name VTA52: RWOODS (none) Connect to above listed process [YES]: NO Welcome to OpenVMS on node WILLOW 【3】 Last interactive login on Wednesday, 11-DEC-1996 10:20 【4】 Last non-interactive login on Monday, 30-NOV-1996 17:39 【5】 2 failures since last successful login 【6】 You have 1 new mail message. 【7】 $
以下は,例についての説明です。
システムは次の条件が満足される場合にのみ,ジョブ切断メッセージを表示する。
一般に,この機能が使用可能であっても,システム・セキュリティに問題はないため, セキュリティ管理者は切断されたジョブにユーザが再接続できるように設定する。 ただし,ターミナルでこの設定を変更し,システムで仮想ターミナルの使用を禁止すれば, この機能を禁止できる(仮想ターミナルの設定と再接続についての説明は, 『OpenVMSシステム管理者マニュアル』を参照)。
セキュリティ管理者は,ノード名とオペレーティング・システム識別情報を含むウェルカム・ メッセージとアナウンスメント・メッセージを表示しないように設定できます。 ログイン・プロシージャはオペレーティング・ システムに応じて異なっているため,この情報が表示されなければ,ログインが困難になります。
最終ログイン成功メッセージと失敗メッセージは省略可能です。セキュリティ管理者はこれらをまとめて有効にしたり, 無効にすることができます。 中レベルまたは高いレベルのセキュリティが必要とされるシステムでは, これらのメッセージを表示すれば,不法な侵入(ブレークイン)を示すことができます。 さらに,システムがログインを監視していることを示すことができるため, これらのメッセージは不当なユーザによるアクセスを抑制する効果があります。
ログインするたびに,システムは最後に成功したログインとログイン失敗の回数を再設定します。 アカウントに会話方式でアクセスするときに,ログイン時に誤ったパスワードを指定しなければ, 最後に成功した非会話型ログイン・ メッセージとログイン失敗メッセージは表示されません。
ログインは会話型と非会話型に分類できます。会話型ログインの場合には, ユーザ名とパスワードを入力します。非会話型ログインでは,システムがユーザの識別と認証を実行します。 ユーザ名とパスワードを要求するプロンプトは表示されません。
会話型ログインと非会話型ログインの他に,OpenVMSオペレーティング・ システムではさまざまなログイン・クラスも認識されます。システムにログインする方法によって, どのログイン・クラスに属しているかが決定されます。 ログイン・クラス,および曜日と時刻によって,システム管理者はシステムへのアクセスを制御します。
会話型ログインには,次のログイン・クラスがあります。
中央のプロセッサに直接接続されているターミナル,または中央プロセッサと直接通信するターミナル・ サーバからログインします。
モデムと電話回線を使用してコンピュータ・システムとの接続を確立するターミナルにログインします。 システムで使用しているターミナルに応じて, 最初に追加操作を実行しなければならないことがあります。 必要な操作については,各システムのセキュリティ管理者にご質問ください。
DCLのSET HOSTコマンドを入力して,ネットワークを介してノードにログインします。 たとえば,HUBBUBというリモート・ノードにアクセスするには, 次のコマンドを入力します。
$ SET HOST HUBBUB
HUBBUBノードのアカウントにアクセスできる場合には,ローカル・ノードからそのアカウントにログインできます。HUBBUB ノードの機能にアクセスすることはできますが, 物理的にはローカル・ノードに接続された状態です。
リモート・セッションについての詳しい説明は,第2.11.2項を参照してください。
非会話型ログインには,ネットワーク・ログインとバッチ・ログインがあります。
ディレクトリの内容を表示したり,別のノードにあるディレクトリに格納されたファイルをコピーするなど, リモート・ノードでネットワーク・ タスクを開始するときは,システムはネットワーク・ログインを実行します。 この場合,現在のシステムとリモート・システムの両方が同じネットワーク内のノードでなければなりません。 ファイル・ システムにターゲット・ノードを指定し,アクセス制御文字列も指定します。 この文字列には,リモート・ノードのユーザ名とパスワードが含まれます。
たとえば,PARISというリモート・ノードにアカウントを持つGREGというユーザが次のコマンドを入力すると, ネットワーク・ログインが実行されます。
$ DIRECTORY PARIS"GREG 8G4FR93A"::WORK2:[PUBLIC]*.*;*
このコマンドはWORK2ディスクのパブリック・ディレクトリ内のすべてのファイルのリストを表示します。 また,パスワードが8G4FR93Aであることもわかります。 同じタスクをもっと安全に実行するには,PARIS ノードで代理アカウントを使用します。代理ログインの例については, 第19.5.3項を参照してください。
キューに登録したバッチ・ジョブを実行する場合には,バッチ・ログインが実行されます。 ジョブを構築するための許可は,ジョブをキューに登録するときに決定されます。 システムがジョブを実行するための準備をするときに, ジョブ・コントローラはアカウントにログインする非会話型プロセスを生成します。 ジョブがログインする場合には, パスワードは必要ありません。
ログインはさまざまな理由で失敗します。たとえば,パスワードの1つが変更されたり, アカウントの有効期限が満了した場合や,ネットワークを介して, またはモデムからログインしようとしたときに,その操作が登録されていないこともあります。 次の表は,ログインの失敗の一般的な理由を示しています。
失敗の症状: | 理由: |
---|---|
ターミナルから応答がない | ターミナルに欠陥があるか, システム・パスワードを必要とするターミナルであるか,またはターミナルに電源が投入されていない。 |
ターミナルから応答がない | システムがダウンしている。 |
システム・パスワードを入力したが, ターミナルから応答がない。 | システム・パスワートが変更された。 |
システム・ メッセージ: | |
"User authorization failure" | ユーザ名またはパスワードを入力ミスした。
アカウントまたはパスワードの有効期限が満了した。 |
"Not authorized to log in from this source" | 特定のログイン・クラス(ローカル,ダイアルアップ, リモート,会話型,バッチ,ネットワーク)が禁止されている。 |
"Not authorized to log in at this time" | この曜日またはこの時刻にログインが許可されていない。 |
"User authorization failure" (かつ,認識されるユーザ障害が発生していない) | ユーザ名を使用してターミナルからシステムへの不法侵入が試みられたため, システムはそのユーザ名によるそのターミナルへのすべてのログインを一時的に禁止した。 |
この後の項では,ログインの失敗の理由について詳しく説明します。
使用するターミナルでシステム・パスワードが必要なときに,そのことを知らないと, ログインできません。システム・パスワードを入力するまで, ログインはすべて失敗します。
システム・パスワードがわかっている場合には,第2.2.5項で説明した操作を実行してください。 その操作を実行してもログインできない場合には,システム・ パスワードが変更されている可能性があります。システム・パスワードを知らず, そのことが問題であると考えられる場合には,別のターミナルにログインするか, または新しいシステム・パスワードを要求してください。
UAFレコードで禁止されているクラスのログインを試みても,ログインは成功しません。 たとえば,セキュリティ管理者がネットワークを介したログインを制限している場合には, ネットワーク・ログインを試みると,このソースからログインする権限がないことを示すメッセージが出力されます。
セキュリティ管理者は,ローカル,リモート,ダイアルアップ,バッチ, ネットワークの各クラスでのログインを制限している可能性があります。
勤務時間に関する制限によりログインできないこともあります。システム管理者またはセキュリティ管理者は, 時刻や曜日をもとにシステムへのアクセスを制御することがあります。 このような制限はログイン・クラスに影響します。 セキュリティ管理者は,同じ作業時間制限をすべてのログイン・ クラスに適用したり,ログイン・クラスによって異なる制限を設定することもあります。
該当するログイン・クラスに対して禁止されている時刻にログインしようとしてもログインできません。 この場合,この時刻にログインする権限がないことがユーザに通知されます。
勤務時間制限がバッチ・ジョブに適用される場合には,許可されている作業時間以外に実行する予定のジョブは, キューに登録しても実行されません。 また,次の作業時間にこのようなジョブをシステムが自動的にキューに再登録することもありません。 同様に,何らかのジョブを開始して,許可されている時間外にそのジョブを実行しようとしても, ジョブ・コントローラは, 割り当てられた勤務時間が終了すると,未完了のジョブを強制終了します。 このようなジョブの終了方法は,すべてのジョブに適用されます。
セキュリティ管理者は,ダイアルアップ・ログインで,接続が自動的に切断されるまでの間に, ユーザがパスワードを入力できる回数を制限できます。
ログインが失敗しても,指定された回数に到達していない場合には, Returnキーを押してもう一度ログインを試みてください。ログインが成功するまで, または制限回数に到達するまで,この操作を繰り返すことができます。 接続が切断された場合には,アクセス・ラインを再ダイアルして, もう一度試みてください。
ダイアルアップ・ログインの回数を制限するのは,権限のないユーザがパスワードを知ろうとしても, エラーが発生してあきらめざるを得なくするためです。 ダイアルアップ回線では,権限がなくても匿名での操作が可能です。 もちろん,各ダイアルアップ回線ごとにログインの試行回数を制限しても, この種のシステム侵入の試みがまったくなくなるわけではありません。 この回数制限は,何回もダイアルしてログインしようとする不法アクセス者からシステムを保護することを目的にしています。
同じターミナルで同じユーザ名によってログインしようとしても,何回も失敗すると, システムは侵入の試みが進行中であるかのように応答します。 つまり,誰かがこのユーザ名を使用してシステムに対して非合法なアクセスを試みていると判断します。
セキュリティ管理者は,自分の裁量で侵入回避手段をシステムのすべてのユーザに対して有効に設定できます。 セキュリティ管理者は,所定の時間内に何回のパスワード試行を許可するかを制御します。 侵入回避手段が一度起動されると, 指定された時間内は,正しいパスワードを使用しても, ターミナルにログインできません。再度ログインを試みるまでにどのくらい待たなくてはならないか, あるいは別のターミナルを使用してログインを試みた方がよいのかは, セキュリティ管理者に質問してください。
侵入回避手段によってログインが防止されているだけで,個人的にログインが失敗したわけではないと考えられる場合には, ただちにシステム管理者に連絡してください。 同時に,もう一度ログインを試みて,最後のログイン以降のログイン失敗回数を示すメッセージを確認し, 侵入の試みについての推測が正しいかどうかを調べてください。 通常はログイン・メッセージが表示されないシステムの場合, セキュリティ管理者はAuthorizeユーティリティ(AUTHORIZE) を使用して,UAFレコードの中のデータを調べます。 誰かが別のターミナルでログインを試みているかどうかは,プロンプトがどのように表示されるかによってわかります。
定期的にパスワードを変更すれば,システム・セキュリティを向上できます。 パスワードを変更するには,DCLのSET PASSWORDコマンドを使用します。
システム管理者は,ユーザが自分で自分のパスワードを選択できるように設定でき, また,パスワードを変更するときに自動的なパスワード・ジェネレータを使用するように要求することもできます。 ユーザが自分でパスワードを選択できる場合には, パスワードが長さやその他の制限に従っていなければなりません( 第2.2.3項を参照) 。
一定期間内にパスワードを変更できる回数は制限されていません。
たとえば,選択したパスワードが短すぎる場合には,システムは次のメッセージを表示します。
$ SET PASSWORD Old password: New password: %SET-F-INVPWDLEN, password length must be between 12 and 32 characters; password not changed
システム管理者が自動的なパスワード・ジェネレータの使用を要求していない場合には,SET PASSWORD コマンドは新しいパスワードの入力を要求するプロンプトを表示します。 その後,次に示すように,確認のためにもう一度新しいパスワードを入力するように要求するプロンプトが表示されます。
$ SET PASSWORD <Return> New password: <Return> Verification: <Return>
新しいパスワードとして同じパスワードを2回入力しなかった場合には, パスワードは変更されません。同じパスワードを2回入力した場合には, 画面に何も表示されません。このコマンドはパスワードを変更し,DCLプロンプトに戻ります。
セキュリティ管理者がパスワード・ジェネレータの使用を要求していない場合でも, パスワード・ジェネレータを使用すれば,システムのセキュリティを向上するのに役立ちます。
セキュリティ管理者がシステムで自動的に生成されるパスワードを使用しなければならないと判断した場合には, DCL のSET PASSWORDコマンドを入力したときに, パスワードのリストが表示されます(システムで自動的に生成されたパスワートを使用するように設定されていない場合には,SET PASSWORDコマンドに/GENERATE修飾子を指定することにより,自動的に生成されたパスワードを使用できます) 。覚えやすいように普通の言語によく似た文字シーケンスになっていますが, 外部の人間がパスワードを推測するのは困難です。 システムで生成されるパスワードは長さが一定でないため, さらに推測が困難になっています。
次の例では,文字がランダムに並んだパスワードのリストが自動的に生成されています。 ユーザのパスワードの最小長はUAFレコードで8文字に設定されています。
$ SET PASSWORD Old password: <Return> 【1】 reankuna rean-ku-na 【2】 cigtawdpau cig-tawd-pau adehecun a-de-he-cun ceebatorai cee-ba-to-rai arhoajabad ar-hoa-ja-bad Choose a password from this list, or press Return to get a new list 【3】 New password: <Return> 【4】 Verification: <Return> 【5】 $ 【6】
以下は,例についての説明です。
OpenVMS VAXシステムでは,各パスワードの右側に,同じ単語を音節に区切った表現が表示される( この例を参照)。
生成されたパスワードの使用に当たっては,次の2つの欠点があります。
このようにしてもパスワードを保護できなかったことが後で判明した場合には, ただちにパスワードを変更してください。各システムの方針に従って, あるいはアカウントのセキュリティが侵された時間の長さからユーザが必要であると判断すれば, 自分のアカウントを通じてシステムのセキュリティ侵害が起こりそうであることを, システム管理者に知らせてください。
2次パスワードを変更するには,DCLのSET PASSWORD/SECONDARYコマンドを使用します。 古い2次パスワードと新しい2次パスワードを指定するように要求するプロンプトが表示されます。 これは1次パスワードを変更するときと同じ操作です。2 次パスワードを削除するには,新しいパスワードと確認パスワードを要求するプロンブトが表示されたときに,Return キーを押します。
1次パスワードと2次パスワードは別々に変更できますが,どちらのパスワードも有効期限が同じであるため, 同じ頻度で変更してください。
現在のパスワードの有効期限が満了していなくても,ユーザ名とともに/NEW_PASSWORD 修飾子を指定すれば,システムにログインするときにパスワードを変更できます。 ユーザ名の後に/NEW_PASSWORD修飾子を入力した場合には, ログインの直後に新しいパスワードを設定するように要求するプロンプトが表示されます。
次の例は,ログイン時にパスワードを変更する方法を示しています。
WILLOW - A member of the Forest Cluster Username: RWOODS/NEW_PASSWORD Password: Welcome to OpenVMS on node WILLOW Last interactive login on Tuesday, 7-NOV-1996 10:20 Last non-interactive login on Monday, 6-NOV-1996 14:20 Your password has expired; you must set a new password to log in New password: Verification:
システム管理者は,パスワードまたはアカウント自体が特定の日時に自動的に満了するように, アカウントを設定できます。パスワード満了期限が設定されていると, ユーザは定期的にはパスワードを変更しなければならないため, システムのセキュリティが向上します。アカウント満了期限は, アカウントを必要な間だけ使用可能にしたいときに便利です。
パスワードの満了期限を設定すると,満了日の5日前に警告メッセージが表示され, その後もログインするたびに警告メッセージが表示されます。 このメッセージは新規メール・メッセージのすぐ下に表示され,注意を促すためにベルも鳴ります。 メッセージには,パスワードが満了することが次のように表示されます。
WARNING -- Your password expires on Thursday 11-DEC-1996 15:00
満了前にパスワードを変更しなかった場合には,ログイン時に次のメッセージが表示されます。
Your password has expired; you must set a new password to log in New password:
新しいパスワードを要求するプロンプトが表示されますが,自動パスワード生成機能が有効に設定されている場合には, リストから新しいパスワードを選択するように要求されます。 ここでCtrl/Yを押すと,ログインを強制終了できます。 次にログインしようとしたときに,パスワードを変更するように要求するプロンプトが再度表示されます。
アカウントで2次パスワードを使用している場合には(第2.2.4項を参照),2 次パスワードは1 次パスワードと同時に満了します。そのとき,2つのパスワードをどちらも変更するように要求するプロンプトが表示されます。1 次パスワードを変更し,2 次パスワードを変更する前に,Ctrl/Yを押した場合には,ログインは失敗します。 その場合,システム・パスワードの変更は記録されません。
システム管理者がユーザに対して,ログイン時に満了したパスワードを変更するように強制していない場合には, パスワードの満了時にログインすると, 最終警告メッセージが表示されます。次の例を参照してください。
WARNING -- Your password has expired; update immediately with SET PASSWORD!
この時点で,パスワードを変更しないか,ユーザ・パスワードを変更する前にシステムで障害が発生すると, 二度とログインできなくなります。その場合には, 再度アクセスする方法についてシステム管理者にご相談ください。
一定期間だけ特定の目的でアカウントが必要な場合には,アカウントの作成者がアカウントの有効期限を指定できます。 たとえば,大学で使用する学生のアカウントは,1 学期ごとに権限を与えるのが通常です。
満了したアカウントは自動的にログインを拒否します。アカウントが満了する前に警告メッセージは表示されません。 したがって,アカウントの有効期限を前もって知っておくことが重要です。 アカウントの満了期限はUAF レコードに格納されており,SYSPRV特権またはそれと同等の権限を持つユーザ( 通常はシステム管理者またはセキュリティ管理者)がOpenVMS Authorizeユーティリティ(AUTHORIZE)を使用しなければ,アクセスしたり, 表示したりできません。
アカウントが満了した後,次にログインしようとすると,登録障害メッセージが表示されます。 満了期限の延長が必要な場合には,各システムで定義されている手順に従ってください。
正しいパスワートの使用に関して,非合法なシステム・アクセスを追跡してみると, パスワードの所有者が誤ってパスワードを公開してしまっていることがよくあります。 パスワードは誰にも教えないことが何より重要です。
次のようにすれば,パスワードを保護できます。
実際のパスワードと組み合わせて表示される文字列を見れば,ファイルからパスワードを簡単に検索できる。 たとえば,アクセス制御文字列でユーザ名とパスワードの後には, 必ず二重引用符と2つのコロン("::) が続く。したがって,システムに侵入しようとする人は,保護の不十分なファイルからこの文字列を検索することにより, パスワードを知ることができる。 また,テキスト・ファイルで"password"という単語を使用することにより, パスワードが知られてしまう可能性もある。 次の例を参照。
My password is GOBBLEDYGOOK.
未登録のユーザは,アカウントのあるすべてのシステムで同じパスワードを試みる可能性がある。 最初にパスワードを公表したアカウントには重要な情報がほとんどない場合でも, 別のアカウントでさらに詳しい情報や特権を得れば, 最終的にはきわめて大きなセキュリティ侵害になる恐れがある。
パスワード・グラバ・プログラムは,何も表示されていないビデオ画面, クラッシュ後にシステムが初期化されたかのように表示されている画面, または実際にはログアウトしていないのに,ログアウトしたかのように示す画面を表示する特殊なプログラムである。 ユーザがログインしようとすると, このプログラムは通常のログイン・シーケンスを介して実行されるため, ユーザはいつものようにユーザ名とパスワードを入力できる。 ただし,パスワード・グラバ・プログラムは, ユーザ名とパスワードを受け取って,それを不法アクセスしようとするユーザに渡した後, ログインが失敗したことを示す画面を表示する。 このため,ユーザはパスワードを誤って入力したと考え,パスワードが他人に知られたとは気づかない。
このような事態が発生しないようにするために,セキュリティ管理者は, ログインする前にBreakキーを押すように要求することがある。 セキュリティ管理者がターミナルの安全ターミナル・サーバ 機能を有効に設定している場合には,Breakキーを押すことにより, この機能が起動される。安全サーバ機能が動作している場合には,OpenVMS ログイン・プログラムだけがログインを受け取ることができる。
システムに障害が発生したと考えられる場合でも,実際には誰か別の人がパスワード盗用プログラムをロードしている可能性がある。 正しいログアウト・ メッセージがターミナルに表示された場合でも,通常のログアウト・ プロセスを反映していない可能性がある。
コマンドを入力すると,次に示す1つ以上の方法で応答があります。
省略時の値とは,ユーザが指定しなかったときに,オペレーティング・システムが提供する値のことです。 たとえば,PRINTコマンドの修飾子としてコピー部数を指定しないと, 省略時の値1が使用されます。オペレーティング・ システムは,コマンド修飾子やパラメータなど,いくつかのエリアに省略時の値を提供しています。 個々のコマンドでオペレーティング・ システムが使用する省略時の値については,『OpenVMS DCL Dictionary』の各コマンドの説明を参照してください。
コマンドには,実行内容についての情報をシステム・メッセージに表示するものもあります。 たとえば,PRINTコマンドを使用すると,印刷ジョブに割り当てられたジョブ識別番号と, そのジョブが登録されている印刷キューの名前が表示されます。
$ PRINT MYFILE.LIS <Return> Job MYFILE (queue SCALE_PRINT, entry 210) started on SYS$PRINT
すべてのコマンドが情報メッセージを表示するわけではありません。通常, コマンドが正しく実行された場合にはドル記号のプロンプトに戻ります。 コマンドが正しく実行されなかった場合には,常に1つ以上のエラー・ メッセージが表示されます。
コマンドを間違って入力すると,次の例に示すように,エラー・メッセージと, 正しいコマンド文字列を求めるプロンプトが表示されます。
$ CAPY <Return> %DCL-W-IVVERB, unrecognized command verb - check validity and spelling \CAPY\ $
コードDCL-W-IVVERBは3つの部分からなり,次の情報が含まれます。
DCL-W-IVVERBの各部の意味:
DCL | エラーを戻したOpenVMS機能や構成要素名。 この例では,メッセージは省略時のコマンド・インタプリタ DCLから出されたもの。 |
W | 警告を示す重大度。重大度には,この他にS (成功), I (情報),E (エラー),F (回復不可能なエラーまたは重大エラー)がある。 |
IVVERB | メッセージのタイプ。 メッセージは,『OpenVMS System Messages and Recovery Procedures Reference Manual』のニーモニックIVVERB ,またはHelp Messageユーティリティ(MSGHLP)(第2.10.3項を参照)を使用することによって識別できる。 |
要求した機能を実行できない場合も,コマンド実行時にエラー・メッセージが表示されます。 たとえば,PRINTコマンドは正しく入力したけれども, 指定したファイルが存在しない場合,次のようなエラー・メッセージが表示されます。
$ PRINT NOFILE.DAT <Return> %PRINT-E-OPENIN, error opening CLASS1:[MAYMON]NOFILE.DAT; as input -RMS-E-FNF, file not found $
最初のメッセージはPRINTコマンドから出されたもので,指定されたファイルをオープンできないという意味です。2 番目のメッセージは最初のメッセージの理由で, 「ファイルがみつからない」という意味です。 RMSは,OpenVMSファイル処理機能であるレコード管理サービスのことです。 通常,ファイル処理に関連するエラー・メッセージはOpenVMS のRMSのメッセージです。
プロセスが期待どおりに進んでいないように思われるときには,Ctrl/Tを押します。Ctrl/T は,現在のプロセスについての統計情報を1行に表示します。 統計情報には,ノード名,ユーザ名,現在の時刻,現在のプロセス, 中央処理装置(CPU)の使用率,ページ・フォルト数,入出力処理レベル,CPU 特有のページ番号にリストするメモリの使用率があります。
会話形式のターミナル・セッション中にCtrl/Tを押すと,現在実行中のコマンド, コマンド・プロシージャ,またはイメージに割り込んで統計情報を表示します。Ctrl/T は画面上の文字出力を中断しますが,プロシージャや編集セッションには影響を及ぼしません。 たとえば,ノードGREENのユーザMCCARTHY がEVEエディタを使用しているときに Ctrl/Tを押すと,次のような行がEVE のメッセージ・ウィンドウに表示されます。
GREEN::MCCARTHY 13:45:02 EVE CPU=00:00:03.33 PF=778 IO=295 MEM=315
画面を再表示する場合には,Ctrl/Wを押します。
省略時の設定では,Ctrl/Tは無効です。システムの実行中にCtrl/Tを押しても, 統計情報が表示されない場合には,DCLのSET CONTROL=Tコマンドを使用してCtrl/T を有効に設定できます。DCLレベル(ドル記号($)プロンプトが表示されるレベル) でこのコマンドを入力し,Ctrl/Tを再度押してください。SET NOCONTROL=T などのコマンドやプログラムを使用して無効に設定しない限り, プロセスが終了するまで,Ctrl/Tは有効です。Ctrl/Tを押すことによって画面に情報を表示するには, ターミナルをBROADCASTモードに設定しなければなりません。 ターミナルをBROADCASTモードに設定するには,DCL プロンプトに対してDCLのSET TERMINAL/BROADCASTコマンドを入力します。
オペレーティング・システムにログインすると,HELPコマンドを使用して, システムやコマンドについての情報を得ることができます。第2.10.3項に示すように,HELP/MESSAGE コマンドを入力しても, システム・メッセージについてのヘルプを得られます。
次に,OpenVMSコマンドとユーティリティについてのヘルプを得る手順を示します。
手順 | タスク |
---|---|
1 | DCLプロンプトに対してHELPを入力してからReturn
を押す。
トピックのリストが表示された後,Topic?プロンプトが表示される。 |
2 | いずれかのトピックについての情報が必要な場合には, プロンプトの後にトピック名を入力してからReturn を押す。 |
3 | いずれかのサブトピックについての情報が必要な場合には,プロンプトの後にサブトピック名を入力してからReturn
を押す。
指定したサブトピックについての情報が表示される。 |
4 | SHOW USERSトピックとサブトピックのリストを再表示するには,SHOW USERS Subtopic? プロンプトに対して疑問符(?) を入力する。リストされたすべてのサブトピックを読みたいときには, アスタリスク(*)を入力する。 |
5 | 別のトピックについての情報が必要な場合には, Returnを押す。Topic?プロンプトが表示される。 |
6 | HELPを終了する場合には,DCLプロンプトに戻るまで Return を(何回か)押す。 |
次の例は,SHOW USERSコマンドについてのヘルプを見るためのコマンドを示しています。
$ HELP HELP . . (HELP message text and subtopics) . Topic? SHOW USERS <Return> SHOW USERS Displays the user name and node name (in a VAXcluster environment) of interactive, subprocess, and batch users on the system. Format SHOW USERS [username] Additional information available: PARAMETER QUALIFIER /BATCH /CLUSTER /FULL /INTERACTIVE /NETWORK /NODE /OUTPUT /SUBPROCESS Examples SHOW USERS Subtopic? EXAMPLES SHOW USERS Examples . . (SHOW USERS Examples message text and subtopics, if any) . SHOW USERS Subtopic? <Return> SHOW Subtopic? <Return> Topic? <Return> $
情報が必要なコマンドがわかっている場合には,HELPの後にコマンド名を入力します。 たとえば,SHOW USERSコマンドについてのヘルプが必要な場合は, 次のコマンドを入力します。
$ HELP SHOW USERS <Return>
どのコマンドやシステム・トピックを指定するかわからない場合には, HELPコマンドのパラメータとしてHINTSと入力します。HINTSテキストには, どんなタスクをするときには,どのコマンドを使用するか,またはどのようなシステム情報が必要かが説明されています。
『OpenVMS DCL Dictionary』にHELP コマンドについての詳しい説明があります。
システム・メッセージについてのオンライン・ヘルプを利用する場合には,Help Message ユーティリティ(MSGHLP)を使用します。最後のコマンドがどのように実行されたかを知りたいときには, 次のように入力します。
$ HELP/MESSAGE
メッセージ識別子やメッセージ・テキストの中の単語を指定すれば,特定のメッセージについての情報も表示できます。 たとえば,次のように入力します。
$ HELP/MESSAGE BADACP
メッセージ状態コードを入力すれば,メッセージとその説明も表示できます。
$ HELP/MESSAGE/STATUS=%X00038090 <Return>
メッセージ状態コードがわからない場合には,SHOW SYMBOLコマンドと$STATUS グローバル・シンボルを入力することにより表示できます。次の例を参照してください。
$ SHOW SYMBOL $STATUS $STATUS == "%X00038090"
Help Messageユーティリティを使用すると,メッセージ・データベースをユーザ独自のメッセージで更新したり, 既存のメッセージ説明にコメントを追加したりできます。 メッセージ・データベースからメッセージの一部分を取り出して, 自分に合わせてカスタマイズしたメッセージ・ドキュメントを作成したり印刷したりすることもできます。Help Message 機能の使用方法についての詳細は,『OpenVMS System Messages: Companion Guide for Help Message Users』を参照してください。
システムを使用し終わったら,必ずログアウトしてください。 これは,登録されていないユーザがアカウントやシステムにアクセスできないようにするためです。 また,ログアウトすると,必要がなくなった資源を他のユーザが使用できるようになるので, システム資源も無駄になりません。
ログアウトするには,DCLプロンプトに対してLOGOUTコマンドを入力します。
$ LOGOUT <Return>
システムは次のようなメッセージを表示し,ログアウトしたことの確認メッセージを表示します。
$ LOGOUT <Return> HARRIS logged out at 11-DEC-1996 12:42:48.12
システムからログアウトできるのは,DCLプロンプト($)が出ているときだけです。 プログラムをコンパイルしていたり実行しているとき,テキスト・ エディタ(EDTやEVEなど)を使用しているとき,ユーティリティ(Mail など)を実行しているときには LOGOUTコマンドは入力できません。まず, プログラム,エディタ,ユーティリティを終了し,システムがDCLプロンプトを出してはじめて, ログアウトできます。
どのくらいターミナルを操作したか(経過時間),どのくらいコンピュータを使用したか(CPU 使用時間)などのアカウント情報を知るには,DCLプロンプトに対してLOGOUT/FULL を入力します。
$ LOGOUT/FULL <Return>
次のような情報が表示されます。
SIMPSON logged out at 11-DEC-1996 12:42:48.12 Accounting information: Buffered I/O count: 8005 Peak working set size: 212 Direct I/O count: 504 Peak virtual size: 770 Page faults: 1476 Mounted volumes: 0 Charged CPU time:0 00:00:50.01 Elapsed time:0 02:27:43.06
リモート・セッションは次の2種類の方法で終了できます。
リモート・セッションを終了すると,"%REM-S-END, control returned to node NODENAME::"というメッセージが表示され,リモート・ノード接続を確立したシステムのプロセスに戻ります。
リモート・システムとのネットワーク接続が失われた場合には,DECnetは通信を再確立するときにデータを再送します。DECnet が前もって決められた時間切れの時間内に通信を再確立できない場合には, リモート・システムとの接続は終了し,"Path lost to partner" というメッセージが表示されます。
セッションからログアウトすると,システム資源を節約でき,ファイルを保護できます。 ターミナルをオンライン状態のままにしておくと,内部的な侵入の最大の原因になります。 ターミナルをオンラインにしたまま,オフィスを開放しておくことは, 自分のパスワートや特権を人に教えてしまうのと同じであり, 自分のファイルやグループの他のメンバのファイルが保護されなくなります。 このような場合,アカウントを介してアクセス可能なファイルはすべて, 誰もが簡単に転送できます。また,ユーザのファイルや, そのユーザが書き込みアクセス権を持つ他のファイルを,内部の人間が悪意で削除したり, ファイル名を変更することもできます。特殊な特権がある場合, 特にFilesカテゴリやAllカテゴリの特権がある場合には, 悪意のあるユーザが大きな損害を与える可能性もあります。
たとえ短時間でもオフィスを離れるときは,ログアウトしてください。リモート・ ログインを実行した場合には,それぞれのノードからログアウトしなければなりません。
ユーザ名,ノード名,オペレーティング・システムのバージョン番号を誰にも知られないようにするために, ターミナルをログアウトするたびに, 画面を消去してください。リモート・ログインの後にログアウトする場合には, 元のノードの名前(ローカル・ノード)もわかってしまいます。ネットワークを介してリモート・ ノードの複数のアカウントにアクセスする場合には, ログアウト・コマンドの最後のシーケンスを見れば,(もっとも遠くにあるノード以外の) すべてのノードと,それぞれのノードでアクセス可能なユーザ名がわかります。 プロンプトやログアウト・メッセージからオペレーティング・ システムを認識できる場合には,オペレーティング・ システムのバージョン番号もわかってしまいます。
システムによっては,次のようにして,ログアウト・メッセージの他には何も画面に残さないようにすることが必要です。
また,1次パラメータを残しておく場合には,Set-Upキーを押した後, 80/132列のマークがついたキー(9キー)を2回押すこともできる。
画面を消去すると,カーソルは画面の一番上のDCLプロンプトの横に表示されます。 プロンプトに対してDCLのLOGOUTコマンドを入力します。このようにすれば, ログアウト後に表示される情報は,ログアウト・コマンドとログアウト完了メッセージだけです。 次の例を参照してください。
$ LOGOUT RDOGWOOD logged out at 11-DEC-1996 19:39:01.43
ハードコピー・ターミナルからログアウトした後,セキュリティ情報が漏れる可能性のあるすべてのハードコピー出力を抹消するか, ファイルに保存するか, 破棄してください。セキュリティ管理者が適切な方法を指示するはずです。 多くのサイトでは,シュレッダや施錠したごみ箱を使用しています。 保管する予定の出力の取り扱いには注意してください。
ログアウトする前にシステムで障害が発生した場合でも,ハードコピー出力は破棄してください。 また,システムが初期化されるときに席を離れる場合には, ターミナルの電源を切ってください。
セキュリティ管理者は,ログアウトするときにダイアルアップ回線への接続を切断するようにユーザに指示することがあります。 ラインをすぐに使用する予定がない場合には,LOGOUT コマントに/HANGUP修飾子を指定してください。/HANGUP 修飾子を指定すると,ログアウトした後,ダイアルアップ回線への接続が自動的に切断されます。
ダイアルアップ回線への接続を切断しておく理由は次のとおりです。
[ 前のページ ]
[ 次のページ ]
[ 目次 ]
[ 索引 ]
[ DOC Home ]