| Oracle Label Security管理者ガイド 11g リリース1(11.1) E05728-01 |
|
 戻る |
 次へ |
Oracle Label SecurityをOracle Internet Directoryと併用する場合、セキュリティ管理者は特定のコマンドを使用して、ディレクトリに格納されるラベル・セキュリティ属性を作成または変更できます。
|
注意: このリリースから、Oracle Label Securityの管理に、Oracle Enterprise Manager Database ControlまたはGrid Controlで提供されるGUIも使用できるようになりました。 詳細は、Oracle Enterprise Managerのヘルプを参照してください。 |
この付録では、これらのコマンドと必須パラメータについて説明します。 各コマンドでは、ディレクトリ内のエントリが更新、挿入、削除されます。また、これらのコマンドは$ORACLE_HOME/bin/olsadmintoolからコールするolsadmintoolスクリプトを介して実装されます。この付録の内容は、次のとおりです。
表B-1「Oracle Label Securityカテゴリ別のコマンド」は、すべてのコマンドと参照先をカテゴリ別に示しています。 Oracle Internet Directoryを使用せずにOracle Label Securityを単独で使用する場合は、一部のコマンドにより、指定の目的で使用されるPL/SQLプロシージャ(表B-2「olsadmintoolコマンドと参照先」を参照)が置き換えられます。すでにOracle Internet Directoryを追加するOracle Label Securityを使用しているサイトでは、これらのPL/SQLプロシージャの使用を新規コマンドの使用に切り替える必要があります。
表B-2「olsadmintoolコマンドと参照先」には、各コマンドと参照先がアルファベット順に示されています。
表B-2「olsadmintoolコマンドと参照先」に続く「コマンドの説明」では、各コマンドとパラメータについてアルファベット順に例をあげ、個別に説明します。
表B-2「olsadmintoolコマンドと参照先」の後に「olsadmintoolコマンドの関連パラメータ」、「サマリー」、表B-3「サマリー: olsadmintoolコマンドのパラメータ」および表B-4「プロファイルとデフォルトのコマンド・パラメータのサマリー」を示します。これらの表には、コマンドとパラメータの使用方法がまとめられており、パラメータの使用パターンを確認できます。
表B-3「サマリー: olsadmintoolコマンドのパラメータ」には、各パラメータの詳細とそのパラメータを使用するコマンドがアルファベット順に示されています。
「olsadmintoolの使用例」は、このツールの典型的な使用方法と、特定の例の結果を示しています。
表B-1 Oracle Label Securityカテゴリ別のコマンド
| コマンドのカテゴリ | コマンドの用途 | コマンド | 置き換えられるPL/SQL文 |
|---|---|---|---|
|
ポリシー |
|
olsadmintool createpolicy |
SA_SYSDBA.CREATE_POLICY |
|
olsadmintool alterpolicy |
SA_SYSDBA.ALTER_POLICY |
||
|
olsadmintool droppolicy |
SA_SYSDBA.DROP_POLICY |
||
|
|
olsadmintool addpolcreator |
なし、新規 |
|
|
|
olsadmintool droppolcreator |
なし、新規 |
|
|
ポリシー内のレベル |
olsadmintool createlevel |
SA_COMPONENTS.CREATE_LEVEL |
|
|
olsadmintool alterlevel |
SA_COMPONENTS.ALTER_LEVEL |
||
|
olsadmintool droplevel |
SA_COMPONENTS.DROP_LEVEL |
||
|
ポリシー内のグループ |
olsadmintool creategroup |
SA_COMPONENTS.CREATE_GROUP |
|
|
olsadmintool altergroup |
SA_COMPONENTS.ALTER_GROUP |
||
|
(グループの親も対象) |
olsadmintool altergroupparent |
SA_COMPONENTS.ALTER_GROUP_PARENT |
|
|
olsadmintool dropgroup |
SA_COMPONENTS.DROP_GROUP |
||
|
ポリシー内の区分 |
|
olsadmintool createcompartment |
SA_COMPONENTS.CREATE_COMPARTMENT |
|
olsadmintool altercompartment |
SA_COMPONENTS.ALTER_COMPARTMENT |
||
|
olsadmintool dropcompartment |
SA_COMPONENTS.DROP_COMPARTMENT |
||
|
データ・ラベル |
olsadmintool createlabel |
SA_LABEL_ADMIN.CREATE_LABEL |
|
|
olsadmintool alterlabel |
SA_LABEL_ADMIN.ALTER_LABEL |
||
|
olsadmintool droplabel |
SA_LABEL_ADMIN.DROP_LABEL |
||
|
ユーザー |
|
olsadmintool adduser |
なし、新規 |
|
|
olsadmintool dropuser |
SA_USER_ADMIN.DROP_USER_ACCESS |
|
|
プロファイル |
|
olsadmintool createprofile |
複数のメソッドの使用を置換え 脚注1 |
|
|
olsadmintool listprofile |
なし、新規 |
|
|
|
olsadmintool describeprofile |
なし、新規 |
|
|
|
olsadmintool dropprofile |
なし、新規 |
|
|
ポリシー管理者 |
olsadmintool addadmin |
なし、新規 |
|
|
olsadmintool dropadmin |
なし、新規 |
||
|
ポリシーへのアクセス |
olsadmintool addpolaccess |
なし、新規 |
|
|
|
olsadmintool droppolaccess |
なし、新規 |
|
|
監査 |
|
olsadmintool audit |
SA_AUDIT_ADMIN.AUDIT |
|
olsadmintool noaudit |
SA_AUDIT_ADMIN.NOAUDIT |
||
|
ヘルプ |
olsadmintoolのヘルプの表示 |
olsadmintool command --help |
なし、新規 |
脚注1 SA_USER_ADMIN内の複数のメソッドを置換え: SET_LEVELS、SET_USER_PRIVILEGESおよびSET_DEFAULT_LABEL
表B-2 olsadmintoolコマンドと参照先
| コマンドの用途(アルファベット順のリンク) | コマンド |
|---|---|
|
|
olsadmintool adduser |
|
olsadmintool addadmin |
|
|
|
olsadmintool addpolcreator |
|
olsadmintool altercompartment |
|
|
olsadmintool altergroup |
|
|
|
olsadmintool altergroupparent |
|
olsadmintool alterlabel |
|
|
olsadmintool alterlevel |
|
|
olsadmintool alterpolicy |
|
|
|
olsadmintool noaudit |
|
|
olsadmintool createcompartment |
|
olsadmintool creategroup |
|
|
olsadmintool createlabel |
|
|
olsadmintool createlevel |
|
|
|
olsadmintool createprofile |
|
|
olsadmintool createpolicy |
|
|
olsadmintool describeprofile |
|
olsadmintool dropcompartment |
|
|
olsadmintool dropgroup |
|
|
olsadmintool droplabel |
|
|
olsadmintool droplevel |
|
|
olsadmintool droppolicy |
|
|
|
olsadmintool dropprofile |
|
|
olsadmintool dropuser |
|
olsadmintool dropadmin |
|
|
|
olsadmintool droppolcreator |
|
|
olsadmintool <command name> --help |
|
|
olsadmintool listprofile |
|
|
olsadmintool audit |
以降のコマンドの説明では、一部のパラメータはオプションです。オプションのパラメータは、大カッコなどで囲んで示されています。 最も一般的な2つの例が[ -b <admin context> ]および[-p <port> ]です。それぞれ、パラメータがオプションであり、コマンドの管理コンテキストまたはOracle Internet Directoryへの接続に使用するポートを指定することを示します。(デフォルトのポートは389です。)
単一のハイフンで始まるb、h、p、Dおよびwを除き、すべてのパラメータには2つのハイフン(スペースなしの--)を使用する必要があります。2つのハイフンは、使用する名前またはパラメータのフル(通常)バージョンを指定する必要があることを示します。この種の名前またはパラメータにスペースが含まれている場合は、"これは極端に長い名前またはパラメータです。"のように二重引用符で囲む必要があります。
このリストには、各コマンドが読みやすいように複数行で示されていますが、実際のコマンドラインでは長い1行として発行されます。
プロファイルへのユーザーの追加
olsadmintool adduser --polname <policy name> --profname <profilename> --userdn <enterprise user DN> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
adduserコマンドを使用すると、ポリシー内のプロファイルにエンタープライズ・ユーザーを追加できます。 プロファイル名、ポリシー名およびユーザーDNを指定します。脚注1 エンタープライズ・ユーザーは、データベースに接続するための付加的権限を持つ標準的なOracle Internet Directoryユーザーです。プロファイルに追加するユーザーは、エンタープライズ・ユーザーである必要があります。
adduserコマンドの例
olsadmintool adduser --polname tradesecret --profname topsales --userdn "cn=perot" -b "cn=EDS" -h ford -p 1890 -D cn=lbacsys -w lbacsyspwrd
ポリシー管理者の追加
olsadmintool addadmin --polname <policy name> --admindn <admin DN> [ -b <admin context>] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
addadminコマンドの説明
addadminコマンドを使用すると、ポリシーの管理グループにエンタープライズ・ユーザーを追加できます。これにより、追加したエンタープライズ・ユーザーは指定されたポリシーのメタデータを作成、変更または削除できるようになります。ポリシー名と新規管理者のDNを指定します。このグループには、エンタープライズ・ユーザーのみを含める必要があります。
addadminコマンドの例
olsadmintool addadmin --polname defense --admindn "cn=scott,c=us" -h yippee -D cn=lbacsys -w lbacsys
ポリシー作成者の追加
olsadmintool addpolcreator --userdn <user DN> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
addpolcreatorコマンドの説明
addpolcreatorコマンドを使用すると、指定したユーザーにポリシーの作成を許可できます。ユーザーのDNを指定します。
addpolcreatorコマンドの例
olsadmintool addpolcreator --userdn "cn=scott" -h yippee -D cn=lbacsys -w lbacsys
区分の変更
olsadmintool altercompartment --polname <policy name> --shortname <short compartment name> --longname <new long compartment name> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
altercompartmentコマンドの説明
altercompartmentコマンドを使用すると、区分の詳細名を変更できます。ポリシー名、区分の短縮名および新規の詳細名を指定します。
altercompartmentコマンドの例
olsadmintool altercompartment --polname defense --shortname A --longname "Allied Forces" -h yippee -D cn=defense_admin -w welcome1
グループの変更
olsadmintool altergroup --polname <policy name> --shortname <short group name> --longname <"new long group name"> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
altergroupコマンドの説明
altergroupコマンドを使用すると、グループ・コンポーネントまたは親グループの詳細名を変更できます。ポリシー名とグループの短縮名および詳細名を指定します。
altergroupコマンドの例
olsadmintool altergroup --polname defense --shortname US --longname "United States of America" -h yippee -D cn=defense_admin -w welcome1
グループの親の変更
olsadmintool altergroupparent --polname <policy name> --shortname <short group name> [--parentname <new parent group name> ] [--clearparent] --longname <"new long group name"> [--parentname <new short group name> ] [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
altergroupparentコマンドの説明
altergroupparentコマンドを使用すると、グループの親グループを変更または削除できます。ポリシー名およびグループの短縮名と、親グループの短縮名またはclearparentフラグのどちらか一方を指定します。
altergroupparentコマンドの例
olsadmintool altergroupparent --polname defense --shortname US --parentname "Earth" -h yippee -p 5678 -D cn=defense_admin -w welcome1 or olsadmintool altergroupparent --polname defense --shortname US --clearparent -h yippee -p 5678 -D cn=defense_admin -w welcome1
ラベルの変更
olsadmintool alterlabel --polname <policy name> --tag <tag number> --value <new label value> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
alterlabelコマンドの説明
alterlabelコマンドを使用すると、ラベル・タグに関連付けられているラベル定義文字列を変更できます。ポリシー名、ラベルの数値タグおよびラベルを表す新規文字列を指定します。
alterlabelコマンドの例
olsadmintool alterlabel --polname defense --tag 100 --value "TS:A:US" -h yippee -D cn=defense_admin -w welcome1
レベルの変更
olsadmintool alterlevel --polname <policy name> --shortname <short level name> --longname <"new long level name"> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
alterlevelコマンドの説明
alterlevelコマンドを使用すると、レベルの詳細名を変更できます。ポリシー名、レベルの短縮名および新規の詳細名を指定します。
alterlevelコマンドの例
olsadmintool alterlevel --polname defense --shortname TS --longname "VERY TOP SECRET" -h yippee -D cn=defense_admin -w welcome1
ポリシーの変更
olsadmintool alterpolicy --name <policy name> --options <new options>
[ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
where <new options> can be any combination of the following entries:
INVERSE_GROUP, HIDE, LABEL_DEFAULT, LABEL_UPDATE, CHECK_CONTROL, READ_CONTROL,WRITE_CONTROL,INSERT_CONTROL, DELETE_CONTROL, UPDATE_CONTROL, ALL_CONTROL, or NO_CONTROL
alterpolicyコマンドの説明
alterpolicyコマンドを使用すると、ポリシーのオプションを変更できます。ポリシー名と新規オプションを指定します。
alterpolicyコマンドの例
olsadmintool alterpolicy --name defense --options "READ_CONTROL,INSERT_CONTROL" -h yippee -D cn=defense_admin -w welcome1
監査オプションの取消し
olsadmintool noaudit --polname <policy name> --options <audit option name> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password> where <audit option name> can be any combination of APPLY, REMOVE, SET, PRIVILEGE
noauditコマンドの説明
noauditコマンドを使用すると、ポリシーの監査オプションを取り消すことができます。ポリシー名と監査外にするオプションを指定します。
noauditコマンドの例
olsadmintool noaudit --polname defense --options "APPLY,PRIVILEGES" -h yippee -D cn=defense_admin -w welcome1
区分の作成
olsadmintool createcompartment --polname <policy name> --tag <tag number> --shortname <short compartment name> --longname <"long compartment name"> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
createcompartmentコマンドの説明
createcompartmentコマンドを使用すると、新規の区分コンポーネントを作成できます。ポリシー名と、区分のタグの数値、短縮名および詳細名を指定します。
createcompartmentコマンドの例
olsadmintool createcompartment --polname defense --tag 100 --shortname A --longname Alpha -h yippee -D cn=defense_admin -w welcome1
グループの作成
olsadmintool creategroup --polname <policy name> --tag <tag number> --shortname <short group name> --longname <"long group name"> [--parentname <parent group name>] [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
creategroupコマンドの説明
creategroupコマンドを使用すると、新規のグループ・コンポーネントを作成できます。ポリシー名と、グループのタグの数値、短縮名、詳細名および親グループ名(オプション)を指定します。
creategroupコマンドの例
olsadmintool creategroup --polname defense --tag 55 --shortname US --longname "United States" -h yippee -D cn=defense_admin -w welcome1
ラベルの作成
olsadmintool createlabel --polname <policy name> --tag <tag number> --value <label value> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
createlabelコマンドの説明
createlabelコマンドを使用すると、有効なデータ・ラベルを作成できます。ポリシー名、作成するラベルの数値タグおよびラベルを表す文字列を指定します。
createlabelコマンドの例
olsadmintool createlabel --polname defense --tag 100 --value "TS:A,B:US,CA" -h yippee -D cn=defense_admin -w welcome1
レベルの作成
olsadmintool createlevel --polname <policy name> --tag <tag number> --shortname <short level name> --longname <"long level name"> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
createlevelコマンドの説明
createlevelコマンドを使用すると、新規のレベル・コンポーネントを作成できます。ポリシー名、タグの数値、レベルの短縮名および詳細名を指定します。
createlevelコマンドの例
olsadmintool createlevel --polname defense --tag 100 --shortname TS --longname "TOP SECRET" -h yippee -D cn=defense_admin -w welcome1
プロファイルの作成
olsadmintool createprofile --polname <policy name> --profname <profile name> --maxreadlabel <max read label> --maxwritelabel <max write label> --minwritelabel <min write label> --defreadlabel <default read label> --defrowlabel <default row label> --privileges <privileges separated by comma> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
createprofileコマンドの説明
createprofileコマンドを使用すると、新規プロファイルを作成できます。ポリシー名、プロファイル名、および権限またはラベルのどちらか(あるいはその両方)を指定します。(ユーザー・プロファイルにはNULLのラベル情報またはNULLの権限情報を指定できますが、同時に両方にNULLは指定できません。)ラベルの場合は、このプロファイル内のユーザーがデータの読取りに使用できる最大ラベル、このプロファイル内のユーザーがデータの書込みに使用できる最大ラベルと最小ラベル、読取り用のデフォルト・ラベルおよび書込み用のデフォルト行ラベルを指定します。権限の場合は、このプロファイルのメンバーの権限をカンマで区切って二重引用符で囲んだリストを指定します。
createprofileコマンドの例
olsadmintool createprofile --polname topsecret --profname topsales --maxreadlabel "TS:A,B:US,CA" --maxwritelabel "TS:A,B:US,CA" --minwritelabel "C:A,B:US,CA" --defreadlabel "TS:A,B:US,CA" --defrowlabel "C:A,B:US,CA" --privileges "READ,COMPACCESS,WRITEACROSS" -b EDS -h ford -p 1890 -D cn=lbacsys -w lbacsyspwrd
ポリシーの作成
olsadmintool createpolicy --name <policy name> --colname <column name> --options <options separated by commas> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
where <new options> can be any combination of the following entries: INVERSE_GROUP, HIDE, LABEL_DEFAULT, LABEL_UPDATE, CHECK_CONTROL, READ_CONTROL, WRITE_CONTROL,INSERT_CONTROL, DELETE_CONTROL, UPDATE_CONTROL, ALL_CONTROL, or NO_CONTROL
createpolicyコマンドの説明
createpolicyコマンドを使用すると、ポリシーを作成できます。ポリシー名、ラベル列名およびオプションを指定します。
createpolicyコマンドの例
olsadmintool createpolicy --name defense --colname defense_col --options "READ_CONTROL,UPDATE_CONTROL" -h yippee -p 389 -D cn=defense_admin -w welcome1
プロファイルの記述
olsadmintool describeprofile --polname <policy name> --profname <profile name> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
describeprofileコマンドの説明
describeprofileコマンドを使用すると、指定したポリシー内の指定したプロファイルの内容を表示できます。ポリシー名とプロファイル名を指定します。
describeprofileコマンドの例
olsadmintool describeprofile --polname defense --profname contractors -h yippee -D cn=defense_admin -w welcome1
区分の削除
olsadmintool dropcompartment --polname <policy name> --shortname <short compartment name> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
dropcompartmentコマンドの説明
dropcompartmentコマンドを使用すると、区分コンポーネントを削除できます。ポリシー名と区分の短縮名を指定します。
dropcompartmentコマンドの例
olsadmintool dropcompartment --polname defense --shortname A -h yippee -D cn=defense_admin -w welcome1
グループの削除
olsadmintool dropgroup --polname <policy name> --shortname <short group name> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
dropgroupコマンドの説明
dropgroupコマンドを使用すると、グループ・コンポーネントを削除できます。ポリシー名とグループの短縮名を指定します。
dropgroupコマンドの例
olsadmintool dropgroup --polname defense --shortname US -h yippee -D cn=defense_admin -w welcome1
ラベルの削除
olsadmintool droplabel --polname <policy name> --value <label value> -h yippee [-p <port>] -D <bind DN> -w <bind password>
droplabelコマンドの説明
droplabelコマンドを使用すると、ポリシーからラベルを削除できます。ポリシー名とラベルを表す文字列を指定します。
droplabelコマンドの例
olsadmintool droplabel --polname defense --value "TS:A:US" h yippee -D cn=defense_admin -w welcome1
レベルの削除
olsadmintool droplevel --polname <policy name> --shortname <short level name> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
droplevelコマンドの説明
droplevelコマンドを使用すると、指定したポリシーからレベル・コンポーネントを削除できます。ポリシー名とレベルの短縮名を指定します。
droplevelコマンドの例
olsadmintool droplevel --polname defense --shortname TS -h yippee -D cn=defense_admin -w welcome1
ポリシーの削除
olsadmintool droppolicy --name <policy name> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
droppolicyコマンドの説明
droppolicyコマンドを使用すると、ポリシーを削除できます。削除するポリシーの名前を指定します。Oracle Label SecurityのOracle Internet Directory対応のインストールについては、「Oracle Internet Directory対応Oracle Label Securityでのポリシーのサブスクライブ」を参照してください。
droppolicyコマンドの例
olsadmintool droppolicy --name defense -h yippee -D cn=defense_admin -w welcome1
プロファイルの削除
olsadmintool dropprofile --polname <policy name> --profname <profile name> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
dropprofileコマンドの説明
dropprofileコマンドを使用すると、指定したプロファイルを削除できます。ポリシー名と削除するプロファイルの名前を指定します。
|
注意: プロファイルを削除すると、削除したプロファイル内のユーザー全員について、そのポリシーから認可が削除されます。これらのユーザーは、そのポリシーで保護されているデータを表示できなくなります。 |
dropprofileコマンドの例
olsadmintool dropprofile --name defense --profname employees -h yippee -D cn=defense_admin -w welcome1
ユーザーの削除
olsadmintool dropuser --polname <policy name> --profname <profilename> --userdn <enterprise user DN> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
dropuserコマンドの説明
dropuserコマンドを使用すると、指定したポリシーの指定したプロファイルからユーザーを削除できます。ポリシー名、プロファイル名およびユーザーのDNを指定します。
dropuserコマンドの例
olsadmintool dropuser --polname defense --profname contractors --userdn "cn=hanssen,c=us" -h yippee -D cn=defense_admin -w welcome1
ポリシー管理者の削除
olsadmintool dropadmin --polname <policy name> --admindn <admin DN> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
dropadminコマンドの説明
dropadminコマンドを使用すると、ポリシーの管理グループからエンタープライズ・ユーザーを削除できます。これにより、削除されたエンタープライズ・ユーザーは指定のポリシーのメタデータを作成、変更または削除できなくなります。ポリシー名と、管理グループから削除する管理者のDNを指定します。
dropadminコマンドの例
olsadmintool dropadmin --polname defense --admindn "cn=scott,c=us" -h yippee -D cn=lbacsys -w lbacsys
ポリシー作成者の削除
olsadmintool droppolcreator --userdn <user DN> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
droppolcreatorコマンドの説明
droppolcreatorコマンドを使用すると、指定したユーザーからポリシー作成許可を取り消すことができます。ユーザーのDNを指定します。
droppolcreatorコマンドの例
olsadmintool droppolcreator --userdn "cn-scott,c=us" -b UA -h yippee -p 1890 -D <bind DN> -w <bind password>
olsadmintoolコマンドのヘルプの表示
olsadmintool <command name> --help
プロファイル・リストの表示
olsadmintool listprofile --polname <policy name> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
listprofileコマンドの説明
listprofileコマンドを使用すると、指定したポリシー内の全プロファイルのリストを表示できます。ポリシー名を指定します。
listprofileコマンドの例
olsadmintool listprofile --polname defense -b CIA -h yippee -D cn=defense_admin -w welcome1
監査オプションの設定
olsadmintool audit --polname <policy name> --options <audit option name> --type <audit option type> --success <audit success type> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password> where <audit option name> can be any combination of APPLY, REMOVE, SET, PRIVILEGE, type can be "session" or "access", and success can be "successful", "not successful" or "both".
auditコマンドの説明
auditコマンドを使用すると、ポリシーの監査オプションを設定できます。ポリシー名、監査するオプション、監査のタイプおよび監査対象となる成功のタイプを指定します。
audit コマンドの例
olsadmintool audit --polname defense --options "APPLY,PRIVILEGE" --type session --success success -h yippee -D cn=defense_admin -w welcome1
すべてのolsadmintoolコマンドでは、接続パラメータ、つまりOIDホスト、バインドDN、バインド・パスワードおよびOracle Internet Directoryへの接続に使用するポート(オプション)を指定する必要があります (デフォルトのポートは389です)。
すべてのolsadmintoolコマンドでは、必要に応じて-bフラグを使用してサブスクライバ/管理コンテキストを指定できます。
ポートや管理コンテキストなどのパラメータ指定がオプションであることは、パラメータが大カッコで囲まれていることで示されています。 最も一般的な2つの例が、[ -b <admin context> ]および[-p <port> ]です。
各コマンドでは、ホスト、バインドDNおよびパスワードの指定は必須で、必要に応じて管理コンテキストも指定できるため、表B-3「サマリー: olsadmintoolコマンドのパラメータ」では、これらの接続パラメータすべてをグループとして表すために省略形CONを使用しています。
[ -b <admin context> ] h <OID host> [-p <port>] -D <bind DN> -w <bind password>
表B-3「サマリー: olsadmintoolコマンドのパラメータ」には、コマンドが次のカテゴリ別にまとめられています。
ポリシー: ポリシーまたはそのコンポーネント(レベル、グループおよび区分)の作成、変更または削除
データ・ラベル: データ・ラベルの作成、変更または削除
管理者およびポリシー作成者: 管理者およびポリシー作成者の追加または削除
ユーザー: プロファイルに対するユーザーの追加または削除
監査オプション: ポリシーの監査内容を示すオプションの設定
プロファイル: プロファイルの作成、リスト、記述または削除
デフォルトの読取りまたは行ラベル: デフォルトの読取りまたは行ラベルの設定
表B-3「サマリー: olsadmintoolコマンドのパラメータ」および表B-4「プロファイルとデフォルトのコマンド・パラメータのサマリー」では、列見出しはパラメータのみを示し、必須の先行キーワードは示されていません。 たとえば、表B-3「サマリー: olsadmintoolコマンドのパラメータ」では、policynameとcolumn-nameはcreatepolicyコマンドのパラメータで、必須の先行キーワード(--nameおよび--colname)は示されていません。これらのキーワードは、「ポリシーの作成」など、コマンドの説明にそれぞれ必須です。
表B-3「サマリー: olsadmintoolコマンドのパラメータ」および表B-4「プロファイルとデフォルトのコマンド・パラメータのサマリー」のサマリーに列見出しとして使用されている個々のパラメータの説明は、表B-3「サマリー: olsadmintoolコマンドのパラメータ」を参照してください。
この3つの表の凡例は次のとおりです。
Xは必須、Oは使用しないか省略されることを意味します。
OptionsPはポリシー施行オプションを意味します。つまり、次のエントリをカンマで区切った組合せを示します。
INVERSE_GROUP
HIDE
LABEL_DEFAULT
LABEL_UPDATE
CHECK_CONTROL
READ_CONTROL
WRITE_CONTROL
INSERT_CONTROL
DELETE_CONTROL
UPDATE_CONTROL
ALL_CONTROL
NO_CONTROL
OptionsAは監査オプションを意味します。つまり、エントリSET、APPLY、REMOVEまたはPRIVILEGEをカンマで区切った組合せを示します。
表B-3 サマリー: olsadmintoolコマンドのパラメータ
| コマンドのカテゴリ | コマンドとパラメータ | ||||||
|---|---|---|---|---|---|---|---|
|
ポリシー |
コマンド |
policy name |
column- name |
optionsP |
CON |
||
|
olsadmintool createpolicy |
X |
X |
X |
X |
|||
|
olsadmintool alterpolicy |
X |
O |
X |
X |
|||
|
olsadmintool droppolicy |
X |
O |
O |
X |
|||
|
ポリシー内での作成: |
コマンド |
policy name |
tag |
short name |
long name |
CON |
parent name |
|
レベル |
olsadmintool createlevel |
X |
X |
X |
X |
X |
O |
|
グループ |
olsadmintool creategroup |
X |
X |
X |
X |
X |
[ X ] |
|
区分 |
olsadmintool createcompartment |
X |
X |
X |
X |
X |
O |
|
ポリシー内での変更: |
|||||||
|
レベル |
olsadmintool alterlevel |
X |
O |
u |
u |
u |
O |
|
グループまたは親グループ |
olsadmintool altergroup |
X |
O |
X |
X |
X |
O |
|
olsadmintool altergroupparent |
X |
O |
X |
O |
X |
[ X ] |
|
|
コマンド |
policy name |
tag |
short name |
long name |
CON |
parent name |
|
|
区分 |
olsadmintool altercompartment |
X |
O |
X |
X |
X |
O |
|
ポリシー内での削除: |
|||||||
|
レベル |
olsadmintool droplevel |
X |
O |
X |
O |
X |
O |
|
グループ |
olsadmintool dropgroup |
X |
O |
X |
O |
X |
O |
|
区分 |
olsadmintool dropcompartment |
X |
O |
X |
O |
X |
O |
|
データ・ラベル |
コマンド |
policy name |
tag |
value |
CON |
||
|
ラベルの作成 |
olsadmintool createlabel |
X |
X |
X |
X |
||
|
データ・ラベルの変更 |
olsadmintool alterlabel |
X |
X |
X |
X |
||
|
データ・ラベルの削除 |
olsadmintool droplabel |
X |
O |
X |
X |
||
|
ポリシー管理者 |
コマンド |
policy name |
userDN |
CON |
|||
|
管理者の追加 |
olsadmintool addadmin |
X |
X |
X |
|||
|
管理者の削除 |
olsadmintool dropadmin |
X |
X |
X |
|||
|
ポリシーの作成 |
olsadmintool addpolcreator |
O |
X |
X |
|||
|
|
O |
X |
X |
||||
|
ユーザー |
コマンド |
policy name |
profile name |
userDN |
CON |
||
|
ユーザーの追加 |
olsadmintool adduser |
X |
X |
X |
X |
||
|
ユーザーの削除 |
|
X |
X |
X |
X |
||
|
監査 |
olsadmintool audit |
X |
optionsA |
type |
success |
CON |
|
|
olsadmintool noaudit |
X |
X |
X |
X |
X |
||
|
olsadmintoolのヘルプ |
olsadmintool <commandname> -- help |
O |
O |
O |
O |
O |
表B-4 プロファイルとデフォルトのコマンド・パラメータのサマリー
| プロファイルのアクション | プロファイル・コマンド | Policy Name | Profile Name | Max Read Label | Max Write Label | Min Write Label | Def Read Label | Def Row Label | privileges | CON |
|---|---|---|---|---|---|---|---|---|---|---|
|
olsadmin tool create profile |
X |
X |
X |
X |
X |
X |
X |
X |
X |
|
|
|
olsadmin tool list profile |
X |
O |
O |
O |
O |
O |
O |
O |
X |
|
|
olsadmin tool describe profile |
X |
X |
O |
O |
O |
O |
O |
O |
X |
|
|
olsadmin tool drop profile |
X |
X |
O |
O |
O |
O |
O |
O |
X |
脚注1 createprofileでは、権限とラベルの両方を指定する必要があります。profileでは、ラベルまたは権限、あるいはその両方を指定できます。
この後の項では、Oracle Internet Directory環境におけるOracle Label Securityの設定に必要な標準タスクでolsadmintoolコマンドを使用する例を示します。このリストには、各コマンドが読みやすいように複数行で示されていますが、実際のコマンドラインでは長い1行として発行されます。これらのコマンドすべての実行結果をまとめたものについては、最後の例の後の「前述の例の結果」を参照してください。
ORACLE_HOME/bin/olsadmintool addpolcreator --userdn "cn=snamudur,c=us" -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=lbacsys,c=us" -w lbacsys
ORACLE_HOME/bin/olsadmintool createpolicy --name Policy1 --colname pol1 --options READ_CONTROL,WRITE_CONTROL -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=snamudur,c=us" -w snamudur ORACLE_HOME/bin/olsadmintool createpolicy --name Policy2 --colname pol2 --options READ_CONTROL -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=lbacsys,c=us" -w lbacsys
ORACLE_HOME/bin/olsadmintool addadmin --polname Policy1 --admindn "cn=shwong,c=us" -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=snamudur,c=us" -w snamudur
ORACLE_HOME/bin/olsadmintool addadmin --polname Policy2 --admindn "cn=shwong,c=us" -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=lbacsys,c=us" -w lbacsys
ORACLE_HOME/bin/olsadmintool createlevel --polname Policy1 --tag 100 --shortname TS --longname "TOP SECRET" -b "ou=Americas,o=Oracle, c=US" -h yippee -p 389 -D "cn=shwong,c=us" -w shwong ORACLE_HOME/bin/olsadmintool createlevel --polname Policy1 --tag 99 --shortname S --longname SECRET -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=shwong,c=us" -w shwong ORACLE_HOME/bin/olsadmintool createlevel --polname Policy1 --tag 98 --shortname U --longname UNCLASSIFIED -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=shwong,c=us" -w shwong
ORACLE_HOME/bin/olsadmintool createcompartment --polname Policy1 --tag 100 --shortname A --longname ALPHA -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 D "cn=shwong,c=us" -w shwong ORACLE_HOME/bin/olsadmintool createcompartment --polname Policy1 --tag 99 --shortname B --longname BETA -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=shwong,c=us" -w shwong
ORACLE_HOME/bin/olsadmintool creategroup --polname Policy1 --tag 100 --shortname G1 --longname GROUP1 -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=shwong,c=us" -w shwong ORACLE_HOME/bin/olsadmintool creategroup --polname Policy1 --tag 99 --shortname G2 --longname GROUP2 -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=shwong,c=us" -w shwong ORACLE_HOME/bin/olsadmintool creategroup --polname Policy1 --tag 98 --shortname G3 --longname GROUP3 -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=shwong,c=us" -w shwong
ORACLE_HOME/bin/olsadmintool createlabel --polname Policy1 --tag 100 --value TS:A:G1 -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=shwong,c=us" -w shwong ORACLE_HOME/bin/olsadmintool createlabel --polname Policy1 --tag 101 --value TS:A,B:G2 -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=shwong,c=us" -w shwong
ORACLE_HOME/bin/olsadmintool createprofile --polname Policy1 --profname Profile1 --maxreadlabel TS:A:G1 --maxwritelabel TS:A:G1 --minwritelabel U:: --defreadlabel U:A:G1 --defrowlabel U:A:G1 --privileges WRITEUP,READ -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=shwong,c=us" -w shwong
ORACLE_HOME/bin/olsadmintool adduser --polname Policy1 --profname Profile1 --userdn cn=nina,ou=Asia,o=microsoft,l=seattle,st=WA,c=US -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=shwong,c=us" -w shwong
ORACLE_HOME/bin/olsadmintool adduser --polname Policy1 --profname Profile1 --userdn cn=daniel,ou=France,o=oracle,l=madison,st=WI,c=US -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=shwong,c=us" -w shwong
ORACLE_HOME/bin/olsadmintool audit --polname Policy1 --option "SET,APPLY" --type SESSION --success BOTH -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=shwong,c=us" -w shwong
前述の一連のolsadmintoolコマンドを実行した結果、このサンプルOracle Label Securityサイトの構造は次のようになります。
ポリシー作成者: ユーザーsnamudur。
ポリシー: Policy1およびPolicy2。
ポリシー管理者: ユーザーshwong。
レベル、区分およびグループ: 表B-5「olsadmintoolコマンドの使用によるラベル・コンポーネント定義」を参照してください。
表B-5 olsadmintoolコマンドの使用によるラベル・コンポーネント定義
| ラベル・コンポーネント | タグ | 短縮名 | 詳細名 |
|---|---|---|---|
|
レベル |
100 |
TS |
TOP SECRET |
|
99 |
S |
SECRET |
|
|
98 |
U |
UNCLASSIFIED |
|
|
区分 |
100 |
A |
ALPHA |
|
99 |
B |
BETA |
|
|
グループ |
100 |
G1 |
GROUP1 |
|
99 |
G2 |
GROUP2 |
|
|
98 |
G3 |
GROUP3 |
データ・ラベル: TS:A:G1の場合はタグ100、TS:A,B:G2の場合はタグ101。
ユーザー: US Oracle組織のAmericas組織の下位でWashington州Seattleに本拠を置くMicrosoft社Asiaグループに所属するNinaと、同じ組織の下位でWisconsin州Madisonに位置するオラクル社のFranceグループに所属するDaniel。
プロファイル: 表B-6「olsadmintoolコマンドの使用によるProfile1の内容」を参照してください。
表B-6 olsadmintoolコマンドの使用によるProfile1の内容
| プロファイル要素 | 内容 | 詳細名の拡張または意味 |
|---|---|---|
|
MaxReadLabel |
TS:A:G1 |
TOP SECRET:ALPHA:GROUP1 |
|
MaxWriteLabel |
TS:A:G1 |
TOP SECRET:ALPHA:GROUP1 |
|
MinWriteLabel |
U:: |
UNCLASSIFIED(区分やグループへの限定なし) |
|
DefReadLabel |
U:A:G1 |
UNCLASSIFIED:ALPHA:GROUP1 |
|
DefRowLabel |
U:A:G1 |
UNCLASSIFIED:ALPHA:GROUP1 |
|
権限 |
WRITE_UP、READ |
ユーザーは任意の行を読み取って、書き込む行のレベルを上げることができます。 |
監査オプション: SET、APPLY、SESSIONおよびBOTH
脚注の凡例
脚注1: コマンドに関する脚注 各コマンドでは、ディレクトリのホスト名、バインドDNおよびバインド・パスワードを指定する必要があります。どのコマンドでも、必要に応じてサブスクライバの管理コンテキスト(オプション)またはディレクトリのポート番号(オプション)、あるいはその両方を指定できます。 これらのパラメータの詳細は、表B-3「サマリー: olsadmintoolコマンドのパラメータ」も参照してください。