Compaq OpenVMS
システム管理者マニュアル

前へ 次へ 目次 索引

7.4.2.2 SYSTEST および SYSTEST_CLIG アカウントの作成 (Alpha のみ)

次に,SYSTEST および SYSTEST_CLIG アカウントの作成に使用する CREATE_SPECIAL_ACCOUNTS.COM コマンド・プロシージャとの一般的な対話例を示します。 


$ @CREATE_SPECIAL_ACCOUNTS.COM 
 
    This procedure creates accounts. 
 
    Passwords may be needed for the following accounts: 
 
        SYSTEST, Field Service 
 
    Passwords must be a minimum of 8 characters in length.  All passwords 
    will be checked and verified.  Any passwords that can be guessed easily 
    will not be accepted. 
 
 
* Do you want to create an account for SYSTEST (Y/N): Y 
* Enter password for SYSTEST: 
* Re-enter for verification: 
 
* Do you want to create an account for SYSTEST_CLIG (Y/N): Y 
 
    The SYSTEST_CLIG account will be disabled.  You must reenable 
    it (/FLAGS=NODISUSER) before running UETP but do not assign a password. 
 
* Do you want to create an account for FIELD_SERVICE (Y/N): N 
 
$

SYSTEST_CLIG アカウントの使用開始 (Alpha のみ)

CREATE_SPECIAL_ACCOUNTS.COM を使用して SYSTEST_CLIG アカウントを作成しても,このアカウントは使用停止になっています。使用可能にするには,次のように/FLAGS=NODISUSER コマンドを使用してください。 


UAF> MODIFY SYSTEST_CLIG/FLAGS=NODISUSER

SYSTEST_CLIG アカウントの使用停止 (Alpha のみ)

SYSTEST_CLIG アカウントを再び使用停止にするには,/FLAGS=DISUSER コマンドを使用してください。 


UAF> MODIFY SYSTEST_CLIG/FLAGS=DISUSER

7.4.3 システム提供アカウントの保守 (VAX のみ)

VAX システムをインストールしたら直ちに UAF で次の変更を行ってください。

  1. FIELD および SYSTEST アカウントを使用停止にする。めったに使用しないアカウントも使用停止にする。
    アカウントを使用停止にするには, AUTHORIZE コマンドを次の形式で使用する。 


    MODIFY   ユーザ名/FLAGS=DISUSER


    例: 


    $ RUN SYS$SYSTEM:AUTHORIZE
UAF> MODIFY WOLF/FLAGS=DISUSER


    ログイン・フラグ DISUSER は,アカウントを使用停止にして誰もそのアカウントにログインできないようする。
    必要時にアカウントを使用可能にするには,AUTHORIZE を実行し,コマンドを次の形式で入力する。 


    MODIFY   ユーザ名 /FLAGS=NODISUSER

  2. DEFAULT アカウントのフィールドを変更する(省略可能)。
    例: 


    UAF> MODIFY DEFAULT/DEVICE=DISK$USER/WSQUO=750


    この例では,省略時の装置名はユーザ・アカウントで一般的に使用される名前に設定されている。ワーキング・セット値もシステムの大半のユーザに合った値に設定されている。

7.4.4 SYSTEM アカウントの使用法

SYSTEM アカウントはバックアップの実行や保守アップデートのインストールなどのシステム機能だけで使用してください。 SYSTEM アカウントは省略時の設定ですべての特権を持っていますから,このアカウント使用するときは十分注意してください。たとえば,BYPASS 特権を持っているので,その保護設定内容に関らずどのファイルでも削除できます。ファイル名やアスタリスクを間違って入力してしまうと,必要なファイルを破壊してしまう可能性があります。日常のシステム管理作業には SYSTEM アカウントよりも特権の少ないアカウントを使用してください。

日常のシステム管理作業に SYSTEM アカウントを使用しない場合でも, SYSTEM アカウントからメールを受信できるように設定できます。これには,SYSTEM アカウントにログインして MAIL を起動し, SET FORWARD コマンドを次の形式で使用して,メールを別のアカウントに転送します。 


SET FORWARD   ノード名::ユーザ名

例を示します。 


$ MAIL
MAIL> SET FORWARD WINSTON::WOLF
MAIL> EXIT

重要
SYSTARTUP_VMS.COM がバッチ・ジョブを登録しているときは,ユーザ名 SYSTEM で DISUSER を使用しないでください。この場合は,バッチを除くすべてのアクセスを使用停止にしてください。

さらに,特権を持ったシステム・アカウントをすべて使用停止にしないように注意してください。不注意ですべてのシステム・アカウントを使用停止にした場合は,従来のブート作業中にシステム・パラメータ UAFALTERNATE を設定すると復旧できます。緊急スタートアップ・プロシージャについては, 第 4 章 を参照してください。

7.4.5 AUTHORIZE ユーティリティによる UAF レコードの保守

UAF アカウントを作成したり,各アカウント・レコードの フィールドに値を設定または保守するときは,AUTHORIZE ユーティリティを使用します。次のことを設定できます。

作業方法

  1. 省略時の値を SYSUAF.DAT ファイルを含んでいるディレクトリに設定する。通常は SYS$SYSTEM。

  2. AUTHORIZE ユーティリティを実行して,特定のユーザ・レコードに対するアクセス権を取得する。

  3. SHOW コマンドを入力して,ユーザ・レコードを表示する (SHOW コマンドについては,例を参照)。

  4. ADD や MODIFY などの AUTHORIZE コマンドを使用して,UAF レコードのフィールドを作成または変更する。

UAF レコードの資源制御フィールドと特権フィールドに設定可能な特権,制限,およびクォータについては, 第 7.11 節 を参照してください。 



$ RUN SYS$SYSTEM:AUTHORIZE
UAF> SHOW WELCH

次の例は,制約付きユーザ・アカウントに対する代表的なユーザ・レコードの例です。白抜きの番号付きの項目については,例の後に説明があります。 


 
Username: WELCH                            Owner:  ROB WELCH   (1)
Account:  INVOICE                          UIC:    [21,51] ([INV,WELCH]) 
CLI:      DCL                              Tables: DCLTABLES   (2)
Default:  USER3:[WELCH] 
LGICMD: 
Login Flags:  Diswelcome Disnewmail                            (3)
Primary days:    Mon Tue Wed Thu Fri 
Secondary days:                     Sat Sun 
Primary   000000000011111111112222  Secondary 000000000011111111112222 
Day Hours 012345678901234567890123  Day Hours 012345678901234567890123 
Network:  ------ No access -------            ----- Full access ------ 
Batch:    #########--------#######            ---------#########------ 
Local:    #########--------#######            ---------#########------ 
Dialup:   ----- Full access ------            ------ No access ------- 
Remote:   ----- Full access ------            ------ No access ------- 
Expiration:            (none)    Pwdminimum:  6   Login Fails:     0 
 
Pwdlifetime:            30       Pwdchange:   15-APR-2000 13:58 
 
Last Login:            (none) (interactive),            (none) (non-interactive) 
Maxjobs:         0  Fillm:        20  Bytlm:         8192      (4)
Maxacctjobs:     0  Shrfillm:      0  Pbytlm:           0 
Maxdetach:       0  BIOlm:        10  JTquota:       1024 
Prclm:           2  DIOlm:        10  WSdef:          150 
Prio:            4  ASTlm:        10  WSquo:          256 
Queprio:         4  TQElm:        10  WSextent:       512 
CPU:        (none)  Enqlm:       100  Pgflquo:      10240 
Authorized Privileges: 
  TMPMBX NETMBX (5)
Default Privileges: 
  TMPMBX NETMBX 
Identifier (6)                    Value              Attributes (7)
  PROJECT_X                        %X8001001E         RESOURCE NODYNAMIC 
  DOCU_PROC                        %X80010044         NORESOURCE NODYNAMIC

  1. ユーザ識別フィールド: システムが会計情報とユーザ識別の目的に使用する情報を保持する。

  2. 省略時のフィールド: 次の省略時の値を保持する。

  3. ログイン特性フィールド: 次のログイン制約を課す。

  4. 資源制御フィールド: システム資源使用を制御する。

  5. 特権フィールド: 制約付きで機密保護を要するシステム機能の使用を許可する特権を指定する。

  6. 識別フィールド: ユーザが保持し,かつライト・データベース・ファイルに記録されている ACL 識別子の一覧。

  7. 属性フィールド: ライト・データベースに識別子を登録したり,ユーザに識別子を与えたりするときに指定する特性の一覧。

7.5 ユーザ・アカウントの追加にあたっての準備

この節では,ユーザ・アカウントを追加する前に行っておく必要のある事項について説明します。

7.5.1 アカウント・タイプの選択

ユーザ・アカウントをどのように設定するかは,個々のユーザの必要に応じて異なります。 表 7-5 に,アカウントのタイプと特性をまとめます。

表 7-5 アカウント・タイプ
アカウント・タイプ 特性
会話型 システム・ソフトウェアに対するアクセス権を持つアカウント。プログラム開発やテキスト編集などの一般的な作業は,このアカウントで行う。通常,そうしたアカウントは個人アカウントと見なされる。
制約付きアクセス システムに対するログインの制限を受け,場合によっては,ユーザ・ソフトウェアの一部しか使用することができないアカウント。このアカウントでは,システム・ログイン・コマンド・プロシージャ (SYLOGIN.COM) や プロセス・ログイン・コマンド・プロシージャ (UAF の /LGICMD 修飾子で指定) ばかりでなく,そこから呼び出されるコマンド・プロシージャの実行も保証される。書き込みアクセス制限付きアカウント・コマンド・プロシージャについては,『OpenVMS Guide to System Security』を参照。アクセス制限付きアカウントには次の 2 つのタイプがある。

制約付き MAIL などのネットワーク・オブジェクトやネットワーク代理アカウント,さらにはスマート・カードなどのユーザ認証システムの実現に使用する。
機能別 機能別に制限を課すアカウント。たとえば,システムに対するアクセスを,在庫システムなどの特定の機能を実行する人にしか許可しないときに使用する。在庫管理の担当者はシステムにアクセスすることができるが,他のサブシステムや基本ソフトウェアへのアクセスは拒否される。この種のアカウントのその他の用途としては,管理者不在時のバッチ処理の実行や,管理者が個人的に保管しておきたい情報を伴うアプリケーション・プログラムの実行などがある。

7.5.2 その他の作業

ユーザ・アカウントを追加するときは,次の手順で行います。

  1. ユーザ名とパスワードを決定する。

  2. UIC (利用者識別コード) を決定する。

  3. アカウントのファイルを置く場所 (装置とディレクトリ) を決定する。

  4. ディスク・クォータが設定されている場合は,SYSMAN ユーティリティを使用して,UIC に対するディスク・クォータ・エントリを追加する。この追加は,AUTHORIZE ユーティリティでユーザのアカウントを作成した後でしか行えない。

  5. 次の形式の DCL コマンドを使って適当なボリュームに省略時のディレクトリを作成する。 


    CREATE/DIRECTORY   ディレクトリ指定 /OWNER_UIC= 利用者識別コード

  6. アカウントの機密保護条件,すなわち,ファイル保護,特権,およびアクセス制御レベルを決定する。

  7. ログイン・プロシージャおよびログアウト・プロシージャを作成する。

以降の項で,これらの作業について詳しく説明します。ユーザ・アカウントを追加するにあたっての準備作業を終えたら, 第 7.6 節 で紹介する方法のいずれかを使ってユーザ・アカウントを追加します。

7.5.2.1 ユーザ名とパスワードの決定

ユーザ名やパスワードを決定するときには,アカウントの性質を考えた命名規則に従ってください。たとえば,アカウントを使用する人の名前を使用するなどです。

機能別アカウントの場合には,アカウントの機能が分かる名前を使用します。したがって,Robert Jones に対する会話型あるいは制約付きアカウントの場合,JONES という名前を付けます。また,在庫システムのような機能別アカウントの場合は, INV103289 という名前を付けます。このようなアカウント名を使用すると,ある程度は機能は分かりますが推測は簡単ではありません。なお,ユーザ名はシステムで一意になるように命名してください。

会話型アカウントの場合,そのアカウントを使用するユーザにパスワードを設定させるのが最適です。最初は簡単なパスワードを設定しておいて,そのユーザが初めてログインしたときに,必ず,パスワードを変更させるようにします。アカウントを使用するユーザだけがパスワードを知っているようにします。パスワードを設定するときには,必ず 8 文字以上の分かりにくいパスワードを指定し,さらに,頻繁に変更するようにユーザに指示してください。あるいは, /FLAGS=GENPWD と /GENERATE_PASSWORD 修飾子で作成されたパスワードを使用させるようにしてください。

AUTHORIZE の ADD や MODIFY コマンドに /PWDMINIMUM と /PWDLIFETIME 修飾子を指定すれば,定期的にパスワードを変更するように設定できます。次に,こうした修飾子とその働きをまとめます。

修飾子 働き
/PWDMINIMUM パスワードの最低の長さを文字数で指定する。省略時は 6 文字。
/PWDLIFETIME パスワードの有効期間をデルタ時間値を指定する。当日の 1 週間前にシステムはユーザに警告メッセージを出す。当日,パスワードが変更されていない場合は,パスワードを失効させる。
/GENERATE_PASSWORD パスワード・ジェネレータを起動して,ユーザ・パスワードを生成する。
/FLAGS=GENPWD ユーザがパスワードを変更するときに,自動パスワード・ジェネレータを使用する。機密保護が求められるデータに対しては,パスワード・ジェネレータの使用を検討すること。

機能別アカウントの場合,アカウントが使用するデータの機密性の程度によって,パスワード・タイプが決まります。たとえば,給与支払いのようなアプリケーションの場合,分かりにくいパスワードを指定してください。一方,提案のようなアカウントの場合,パスワードはそれほど重要ではありません。この場合,パスワードを設定しなくてもいいでしょう。パスワードを設定していなければ,ユーザにパスワードの入力を求めるプロンプトは表示されません。

機能別アカウントのパスワードの変更を,ユーザに許可しないでください。したがって,機能別アカウントを作成するときは,/FLAG=LOCKPWD を使用します。アカウントの利用者の担当が変わるなど,機密保持に不安がある場合は,パスワードを変更してください。ユーザ・パスワードを変更する場合は,UAF> プロンプトに対して MODIFY ユーザ名 /PASSWORD= 新規パスワード コマンドを使用します。

AUTHORIZE ユーティリティについての詳細は,『Compaq OpenVMS システム管理ユーティリティ・リファレンス・マニュアル』を参照してください。

7.5.2.2 UIC (利用者識別コード) の割り当て

各アカウントには,UIC (User Identification Code : 利用者識別コード) を割り当てます。 UIC には,英数字からなるものと数字だけからなるものの 2 つの形式があります。

英数字からなる UIC は,メンバ名とグループ名 (オプション) から構成され,コンマで区切られ,大括弧で囲まれています。たとえば, [DOCO,PRICE] のようになります。これらの識別子を数字で表すこともできます。この場合,メンバとグループの識別子を 8 進数で表現します。たとえば,[11,200] のようになります。

アカウントの所有者が共同で作業していたり,頻繁に同じファイルにアクセスしたり,また同じ論理名を数多く共用したりする場合は,同じグループ番号をアカウントに割り当てます。利用者識別コードについての詳細は『OpenVMS Guide to System Security』を参照してください。

注意
UIC グループの 1 と 300 〜 377 まではコンパック用に確保されています。

前へ 次へ 目次 索引