OpenVMS
システム管理者マニュアル


前へ 次へ 目次 索引


ISO 9660 形式媒体保護の指定方法

OpenVMS の ISO 9660 形式の場合,ボリュームとボリューム・セットの保護が含まれていません。媒体がマウントされた装置に対して指定した保護が, ISO 9660 ボリュームやボリューム・セットのアクセス制御を決定します。

省略時の設定では,装置保護は ISO 9660 ファイルとディレクトリに割り当てられます。ボリュームをマウントするときに,各ファイルに付随する拡張属性レコード (XAR) の中の UIC と PERMISSION 保護フィールドを使って,他のファイル保護を指定することもできます。

次のようにして,保護フィールドを指定します。

XAR と DSI オプションについての詳細は,『OpenVMS Record Management Utilities Reference Manual』を参照してください。

9.4.1.2 ディスク・ボリュームのマウント後の保護の変更

ボリューム機密保護プロファイルを変更するためには, SET SECURITY/CLASS=VOLUME コマンドに /PROTECTION,/OWNER,または /ACL 修飾子を指定して実行します。

UIC ベース保護の変更方法

UIC ベース保護をボリュームのマウント後に変更するには, SECURITY/CLASS=VOLUME/PROTECTION コマンドを使用します。次の例を参照してください。


$ SET SECURITY/CLASS=VOLUME/PROTECTION=(S:RWCD,O:RWCD,G:RC,W:RC) DUA0:

この例中の保護セットは,システムの所有者にすべてのタイプのアクセスを許可しています。グループとワールドのアクセス・タイプでは,ファイルの読み込みとプログラムの実行しか行うことができません。保護コード (S,O,G,W) で指定されていないカテゴリは変更されません。

ACL ベース保護の変更方法

ボリュームをマウントした後で ACL ベースの保護を変更するには, SET SECURITY/CLASS=VOLUME/ACL コマンドを使用してください。 ACL を変更するには,次のようにします。


$ SET SECURITY/CLASS=VOLUME/ACL=(IDENTIFIER=DOC,ACCESS=READ+WRITE+EXECUTE) -
_$ $1$DSA7:

この例では, $1$DSA7: ボリュームの DOC 識別子のユーザに,読み込み,書き込み,実行アクセス権を与えます。

9.4.1.3 UIC と ACL ベース保護の表示方法

SHOW SECURITY/CLASS=VOLUME コマンドを使用すると,保護を表示することができます。


$ SHOW SECURITY/CLASS=VOLUME $1$DSA27: 

上記のコマンドを実行すると,次のように表示されます。


$1$DSA27: object of class VOLUME 
     Owner: [1,1] 
     Protection: (System: RWCD, Owner: RWCD, Group: RWCD, World: RWCD) 
     Access Control List: 
          (IDENTIFIER=[ABC,SADAMS],ACCESS=READ+WRITE+CREATE+DELETE) 

VOLUME クラス・オブジェクト $1$DSA27 の名前とプロファイルが表示されています。このプロファイルには,保護されたオブジェクトの所有者 UIC,保護コード,アクセス制御リスト (ACL) が入っています。

9.4.2 テープ・ボリュームの保護

磁気テープは,ボリューム・レベルでしか保護されません。磁気テープに保護を確立するのは,テープ・ボリュームを初期化するときです。この後,MOUNT ユーティリティはユーザが確立した保護を使用します。

テープ・ボリュームの保護には 2 種類あります。

保護のレベル 説明
ISO 規格のガイドライン ISO 規格 (保護の最初のレベル) は,磁気テープ上に書き込まれた最初のボリューム・ラベルのアクセス制御フィールドにコード化される。この保護スキームでは,OpenVMS システムと非 OpenVMS オペレーティング・システムの間に交換が存在する環境でテープ・ボリュームを保護することが可能。
システム・ソフトウェアがサポートする UIC ベース保護スキーム この 2 番目の保護は,磁気テープに書き込まれた第 2 ボリューム・ラベルにコード化される。 OpenVMS システムだけが,このスキームをチェックできる。非 OpenVMS システムの交換では無視される。

標準ラベル付きテープ保護

OpenVMS テープ・ファイル・システムは,ISO 規格のアクセス制御保護に基づきます。 この保護によって,インストール・ルーチンがボリューム・ヘッダ・ラベルのアクセス制御フィールドを解釈することができます。インストール・ルーチンについての詳細は,『OpenVMS System Services Reference Manual』の $MTACCESS システム・サービスを参照してください。

省略時の保護のアクセス・タイプ

テープ・ボリュームを初期化する時に保護コードを指定しないと,ユーザは, 表 9-12 に示す読み込みおよび書き込みアクセス権を持ちます。

表 9-12 テープ・ボリューム保護のアクセス・タイプ
アクセス・タイプ 与えられる権利
読み込み ボリューム上のファイルの検査,印刷,コピーの権利。
書き込み ボリューム上のファイルの追加,書き込みの権利。

テープ・ボリュームの機密保護プロファイルは,磁気テープ上のANSIボリューム 1 と 2 のラベルに格納されます。ボリューム 2 には,システム固有の情報が入ります。この情報が作成されるのを上書きするには, INITIALIZEコマンドに/INTERCHANGE 修飾子を指定するか, $INIT_VOL システム・サービスで INIT$_INTERCHANGE 項目コードを指定します。

フォーリン・ボリューム保護

オペレーティング・システムは,フォーリン・テープ・ボリュームもサポートします (フォーリン・ボリュームは,標準ボリューム・ラベルがないか,/FOREIGN でマウントされたテープ・ボリュームです)。テープ・ボリュームが /FOREIGN 修飾子でマウントされると,指定した保護コードに関係なく,システム中のユーザと所有者には,常にすべてのアクセス権 (読み込み,書き込み,論理,物理) が与えられます。

9.4.2.1 テープ・ボリュームでの /PROTECTION 修飾子の使用

テープ・ボリュームを初期化するときに /PROTECTION 修飾子を使用すると,保護コードはシステム固有のボリューム・ラベルに書き込まれます。

/PROTECTION 修飾子を使用すると,システムは読み込み (R),書き込み (W) のアクセス制限だけを適用します (実行 (E) と削除 (D) アクセスは適用されません)。指定した保護コードに関係なく,システムと所有者には,読み込み (R) と書き込み (W) のアクセス権が与えられます。

9.4.2.2 交換環境におけるテープ・ボリュームの保護

OpenVMS と他のオペレーティング・システム間で相互交換されるテープ・ボリュームを保護することができます。

磁気テープの保護に関するガイドラインを次に示します。

9.4.3 ボリューム・アクセスの監査

ボリューム・オブジェクト・クラスの監査が可能になります。次の例外を除き,システムはディスク・ボリューム・アクセスの監査をします。

9.5 ボリュームのマウント

ボリュームと,それが物理的にセットされている装置の関係は,ディスクまたはテープ・ボリュームをマウントすることによって確立されます。ボリュームがマウントされると,システムはその存在を認識するため,ユーザは初めてボリュームにアクセスすることができます。これ以降は,マウント操作を自分で行うものと仮定して説明を行います。

ファイル構造化とフォーリン・ボリューム

通常,ボリュームをマウントするとき,システムは各ボリュームに対して,ファイルの読み込み,書き込み,作成 (または実行) ,削除を許可するフォーマットをかけます。このようにマウントされたボリュームは,OpenVMS オペレーティング・システムのフォーマットを持ちます。

ボリュームをマウントするときに /FOREIGN 修飾子を指定すると,システムはその媒体にフォーマットをかけないので,マウントされたボリューム上のファイルにアクセスできません。 OpenVMS 以外のオペレーティング・システムのフォーマットか私用フォーマットを持つボリュームをマウントする場合には, /FOREIGN 修飾子を使用します。

フォーリン・ボリュームはファイル構造化されていないので,次のようにしてアクセスしなければなりません。

たとえば,ディスク全体を復元するときなど, BACKUP ユーティリティでボリュームをマウントするときに /FOREIGN 修飾子を使用することもあります。詳細は『Compaq OpenVMS システム管理ユーティリティ・リファレンス・マニュアル』を参照してください。

作業方法

ボリュームをマウントする手順は次のとおりです。

  1. すべてのディスクを物理的にマウントして,オンライン状態にする。

  2. 次のフォーマットで MOUNT コマンドを入力する (MOUNT ユーティリティを起動する)。


    MOUNT   装置名   ボリューム・ラベル   論理名 
    

    装置名 ボリュームをマウントする装置の物理装置名または論理名を指定する。
    ボリューム・ラベル マウントするボリュームのボリューム・ラベルを指定する。
    論理名 装置に対応付ける論理名を定義する。


    起動された MOUNT ユーティリティは次のことを行う。

    1. 装置の割り当て

    2. 装置が正しくロードされているかどうかのチェック

    3. ボリューム識別子の読み込みと検証

MOUNT コマンドでの修飾子の使用方法

次に示すように,MOUNT コマンドに修飾子を指定しなければならない場合もあります。

ディスクとテープのマウントで使用可能な修飾子については,この後の 表 9-13表 9-14 にまとめてあります。

この節では,次の作業について説明します。

作業 参照箇所
ディスクのマウントで使用可能な MOUNT コマンドの修飾子 第 9.5.1 項
テープのマウントで使用可能な MOUNT コマンドの修飾子 第 9.5.2 項
ユーザのマウント支援 第 9.5.3 項
保護されたサブシステムを持つボリュームのマウント 第 9.5.4 項
既存のボリュームをODS 形式から他の形式への変換 第 9.5.5 項
ディスク・ボリューム特性の変更 第 9.5.6 項

9.5.1 ディスクのマウントで使用可能な MOUNT コマンドの修飾子

表 9-13 は,MOUNT コマンドでディスクをマウントするときに使用可能な修飾子の一部をまとめたものです。すべての修飾子については,『Compaq OpenVMS システム管理ユーティリティ・リファレンス・マニュアル』を参照してください。

表 9-13 ディスクのマウントで使用可能な MOUNT コマンドの修飾子
修飾子 説明
/ACCESSED= n OPER 特権が必要。ボリューム上で同時に使用されるディレクトリの概数を指定する (この修飾子は ODS-2 では意味がない)。たとえば,大容量 500 メガバイト (MB) のディスク上では 40 という値を指定できるが,小容量のディスクでは次のように指定する。
$ MOUNT/ACCESSED=2 DUA3:

/ASSIST マウント操作時,マウント要求が失敗すれば,オペレータまたはユーザの介入を許す。 /ASSIST 修飾子は,システム・スタートアップ時を除き省略時の値である。この機能は,マウント要求が満たされるまでオペレータに繰り返し警告するので便利である。

オペレータ支援付きマウントを無効にするには,次のようなコマンドを入力する。

$ MOUNT/SYSTEM/NOASSIST DUA1: SALES_98

/BIND= ボリューム・セット名 1 つまたは複数のディスク・ボリュームのボリューム・セットを作成する。あるいは, 1 つまたは複数のボリュームを既存のボリューム・セットに追加する。次の例を参照。
$ MOUNT/SYSTEM/BIND=CLIENTS DUA0:,DUA1: EUROPE,ASIA

詳細は 第 9.6.1.2 項 を参照。

/CACHE= キーワード システム生成時確立されたキャッシュ制限を無効にするか上書きするかを制御する。次に例を示す。
$ MOUNT/CACHE=(EXTENT=60,FILE_ID=60,QUOTA=20) -

_$ DMA0: FILES WORK
%MOUNT-I-MOUNTED, FILES mounted on _NODE$DMA0:

このコマンドは,FILES というラベルの付いた RK07 装置をマウントし,論理名 WORK を割り当てる。 /CACHE 修飾子は,拡張キャッシュ 60 エントリ,ファイル識別キャッシュ 60 エントリ,クォータ・キャッシュ 20 エントリを有効にする。

/CLUSTER SYSNAM 特権が必要。ローカル・ノードへのボリュームのマウントが成功した後,または,ローカル・ノードにすでに /SYSTEM 修飾子付きでボリュームがマウントされている場合,そのボリュームは,既存の OpenVMS Cluster 環境内の他のすべてのノードにマウントされることを指定する (つまり,このボリュームはクラスタ全体にマウントされる)。次に例を示す。
$ MOUNT/SYSTEM/CLUSTER DUA1: SALES_95

/COMMENT= "文字列"
装置名
マウント操作がオペレータ支援を要求したとき,オペレータ要求に追加情報を入れることを指定する。次に例を示す。
$ MOUNT/SYSTEM DYA1: SALES_95/COMMENT="Vol. in Rack 2."

/EXTENSION= n OPER 特権が必要。個々のコマンドまたはプログラムの要求で指定されない場合の,ディスク・ファイルがボリューム上で拡張されるブロック数を指定する。 クラスタ・サイズは,初期ディスク・ブロック割り当てを設定する。 /EXTENSION 修飾子は,ファイルの拡張の度合いを決定する。たとえば,クラスタ・サイズが 1 ディスク・ブロックの小さなディスクでは,拡張サイズ 2 ディスク・ブロックを選択する。
$ MOUNT/EXTENSION=2 DUA3:

/FOREIGN ボリュームが,オペレーティング・システムで使用される標準のフォーマットでないことを示す。 Files--11 や ISO 9660 以外のファイル構造のディスク・ボリュームをマウントするときにこの修飾子を使用する (たとえばDISK を論理名として使用する場合)。
$ MOUNT/FOREIGN DISK

/MEDIA_FORMAT=CDROM 媒体が ISO 9660 (またはハイ・シエラ) フォーマットであると仮定してボリュームをマウントする。
/[NO]MOUNT_VERIFICATION ディスク上のマウント検証機能を有効または無効にする。省略時の設定では,マウント検証機能は有効である。装置がオフラインである場合や書き込みロックされている場合,マウント検証は,オペレータにエラーの状態を通知し,エラー状態の前後のボリューム識別子が同一であるかチェックする。

マウント検証を無効にする例を次に示す。

$ MOUNT/SYSTEM/NOMOUNT_VERIFICATION DUA1: ACCOUNTS_DUE

/OVERRIDE=
キーワード
MOUNT コマンドが実行する 1 つまたは複数の保護チェックを無効にする。
/PROTECTION=
キーワード
ボリュームに割り当てる保護コードを指定する。キーワードは次のいずれかである。

  • 保護コード: ユーザ保護指定用構文規則に従った保護コードを指定する (つまり,システム/所有者/グループ/ワールド)。

  • XAR: 拡張レコード属性 (XAR) アクセス制御の強制を有効にする (ISO 9660 のみ)。

  • DSI: デジタル・システム識別子 (DSI) を含む,XAR 用 XAR 所有者許可とグループ許可を有効にする (ISO 9660 のみ)。

詳細は 第 9.4.1 項 を参照。

/SHARE 他のユーザがボリュームにアクセスできることを指定する。 ただし,公用ボリュームは /SYSTEM 修飾子でマウントする必要がある。 2 人のユーザが共に MOUNT/SHARE を使用すれば,同時に私用ボリュームにアクセスできる。次に例を示す。
$ MOUNT/SHARE DLA0: COST_ACCOUNT

/SYSTEM 修飾子を指定してマウントされているディスクに対して MOUNT/SHARE コマンドを使用すると,そのディスクをシステム全体からディスマウントしても,ディスク可用性のロックは保持される。システム・ディスクでは通常このようにしないが,システム・ディスクや非システム・ディスクで使用される汎用コマンド・プロシージャを起動すると,こうなることもある。

あるユーザが DISMOUNT.EXE プログラムをオープンして,別のユーザがそのシステム・ディスクに対して MOUNT/SHARE コマンドを実行した場合,後でディスマウントしようとすると,ディスマウントできないという警告メッセージが出ることがある。警告メッセージが出ないようにするには, DISMOUNT.EXE イメージをインストールする。

/SUBSYSTEM サブシステム ACE の処理を有効にする (MOUNT/SUBSYSTEM コマンドには SECURITY 特権が必要)。省略時の設定では,ユーザがブートに使用したディスクは /SUBSYSTEM が有効になり,他のディスクはそうならない。次のコマンドは,MOUNT コマンドに /SUBSYSTEM 修飾子を指定して, DUA0: 装置上のサブシステム ACE の処理を有効にしている (DOC はボリュームラベル,WORK8 はボリュームのオプション論理名) 。
$ MOUNT/SUBSYSTEM/SYSTEM DUA0: DOC WORK8

/SYSTEM SYSNAM 特権が必要。ボリュームを公用にする。つまり,システム上のすべてのユーザが, UIC ベースのボリューム保護によってそのボリュームへのアクセスを許可されていれば,そのボリュームを使用できるようになる。 次のコマンドは,WORK というラベルの付いたボリュームをマウントし,システム全体で使用できるようにする。
$ MOUNT/SYSTEM DUA1: WORK

/UCS_SEQUENCE=
(エスケープ・シーケンス)
コード化グラフィック文字セットを選択するためのエスケープ・シーケンスを指定する。 ISO 9660 のボリュームを補助ボリューム記述子 (SVD) のいずれかにマウントする時の要件。
/UNDEFINED_FAT レコード・フォーマットが指定されていない ISO 9660 媒体上のレコードに使用される省略時のファイル属性を確立する。
/WINDOWS= n OPER 特権が必要。ファイル・ウィンドウに割り当てられるマッピング・ポインタを指定する。 省略時のウィンドウ数は INITIALIZE コマンドで設定される。次の例では,適当なポインタ数を指定している。
$ MOUNT/WINDOWS=4 DUA3:


前へ 次へ 目次 索引