| Oracle® Label Security管理者ガイド 11gリリース2 (11.2) E92085-01 |
|
 前 |
 次 |
Oracle Label SecurityをOracle Internet Directoryと併用する場合、セキュリティ管理者は特定のコマンドを使用して、ディレクトリに格納されるラベル・セキュリティ属性を作成または変更できます。
|
注意: このリリースから、Oracle Label Securityの管理に、Oracle Enterprise Manager Database Controlで提供されるグラフィカル・ユーザー・インタフェースも使用できるようになりました。詳細は、Oracle Enterprise Managerのヘルプを参照してください。 |
この付録では、これらのコマンドとコマンドに必要なパラメータについて説明します。コマンドによって、ディレクトリ内のエントリの更新、挿入および削除が実行され、コマンドは、$ORACLE_HOME/bin/olsadmintoolからコールするolsadmintoolという名前のスクリプトを介して実装されます。この付録には、次の項および表が含まれます。
表B-1「Oracle Label Securityカテゴリ別のコマンド」は、すべてのコマンドと参照先をカテゴリ別に示しています。Oracle Internet Directoryを使用せずにOracle Label Securityを単独で使用する場合は、一部のコマンドにより、指定の目的で使用されるPL/SQLプロシージャ(表B-2「olsadmintoolコマンドと参照先」を参照)が置き換えられます。すでにOracle Internet Directoryを追加するOracle Label Securityを使用しているサイトでは、これらのPL/SQLプロシージャの使用を新規コマンドの使用に切り替える必要があります。
表B-2「olsadmintoolコマンドと参照先」には、各コマンドと参照先がアルファベット順に示されています。
表B-2「olsadmintoolコマンドと参照先」に続く「コマンドの説明」では、各コマンドとパラメータについてアルファベット順に例をあげ、個別に説明します。
表B-2「olsadmintoolコマンドと参照先」の後に「olsadmintoolコマンドの関連パラメータ」、「サマリー」、表B-3「サマリー: olsadmintoolコマンドのパラメータ」および表B-4「プロファイルとデフォルトのコマンド・パラメータのサマリー」を示します。これらの表には、コマンドとパラメータの使用方法がまとめられており、パラメータの使用パターンを確認できます。
表B-3「サマリー: olsadmintoolコマンドのパラメータ」には、各パラメータの詳細とそのパラメータを使用するコマンドがアルファベット順に示されています。
「olsadmintoolの使用例」は、このツールの典型的な使用方法と、特定の例の結果を示しています。
表B-1 Oracle Label Securityカテゴリ別のコマンド
| コマンドのカテゴリ | コマンドの用途 | コマンド | 置き換えられるPL/SQL文 |
|---|---|---|---|
|
ポリシー |
|
olsadmintool createpolicy |
SA_SYSDBA.CREATE_POLICY |
|
olsadmintool alterpolicy |
SA_SYSDBA.ALTER_POLICY |
||
|
olsadmintool droppolicy |
SA_SYSDBA.DROP_POLICY |
||
|
|
olsadmintool addpolcreator |
なし、新規 |
|
|
|
olsadmintool droppolcreator |
なし、新規 |
|
|
ポリシー内のレベル |
olsadmintool createlevel |
SA_COMPONENTS.CREATE_LEVEL |
|
|
olsadmintool alterlevel |
SA_COMPONENTS.ALTER_LEVEL |
||
|
olsadmintool droplevel |
SA_COMPONENTS.DROP_LEVEL |
||
|
ポリシー内のグループ |
olsadmintool creategroup |
SA_COMPONENTS.CREATE_GROUP |
|
|
olsadmintool altergroup |
SA_COMPONENTS.ALTER_GROUP |
||
|
(グループの親も対象) |
olsadmintool altergroupparent |
SA_COMPONENTS.ALTER_GROUP_PARENT |
|
|
olsadmintool dropgroup |
SA_COMPONENTS.DROP_GROUP |
||
|
ポリシー内の区分 |
|
olsadmintool createcompartment |
SA_COMPONENTS.CREATE_COMPARTMENT |
|
olsadmintool altercompartment |
SA_COMPONENTS.ALTER_COMPARTMENT |
||
|
olsadmintool dropcompartment |
SA_COMPONENTS.DROP_COMPARTMENT |
||
|
データ・ラベル |
olsadmintool createlabel |
SA_LABEL_ADMIN.CREATE_LABEL |
|
|
olsadmintool alterlabel |
SA_LABEL_ADMIN.ALTER_LABEL |
||
|
olsadmintool droplabel |
SA_LABEL_ADMIN.DROP_LABEL |
||
|
ユーザー |
|
olsadmintool adduser |
なし、新規 |
|
|
olsadmintool dropuser |
SA_USER_ADMIN.DROP_USER_ACCESS |
|
|
プロファイル |
|
olsadmintool createprofile |
複数のメソッドの使用を置換え。脚注1 |
|
|
olsadmintool listprofile |
なし、新規 |
|
|
|
olsadmintool describeprofile |
なし、新規 |
|
|
|
olsadmintool dropprofile |
なし、新規 |
|
|
ポリシー管理者 |
olsadmintool addadmin |
なし、新規 |
|
|
olsadmintool dropadmin |
なし、新規 |
||
|
ポリシーへのアクセス |
olsadmintool addpolaccess |
なし、新規 |
|
|
|
olsadmintool droppolaccess |
なし、新規 |
|
|
監査 |
|
olsadmintool audit |
SA_AUDIT_ADMIN.AUDIT |
|
olsadmintool noaudit |
SA_AUDIT_ADMIN.NOAUDIT |
||
|
ヘルプ |
olsadmintoolのヘルプの表示 |
olsadmintool command --help |
なし、新規 |
脚注1 SA_USER_ADMIN内の複数のメソッドを置換え: SET_LEVELS、SET_USER_PRIVILEGESおよびSET_DEFAULT_LABEL
表B-2 olsadmintoolコマンドと参照先
| コマンドの用途(アルファベット順のリンク) | コマンド |
|---|---|
|
|
olsadmintool adduser |
|
olsadmintool addadmin |
|
|
|
olsadmintool addpolcreator |
|
olsadmintool altercompartment |
|
|
olsadmintool altergroup |
|
|
|
olsadmintool altergroupparent |
|
olsadmintool alterlabel |
|
|
olsadmintool alterlevel |
|
|
olsadmintool alterpolicy |
|
|
|
olsadmintool noaudit |
|
|
olsadmintool createcompartment |
|
olsadmintool creategroup |
|
|
olsadmintool createlabel |
|
|
olsadmintool createlevel |
|
|
|
olsadmintool createprofile |
|
|
olsadmintool createpolicy |
|
|
olsadmintool describeprofile |
|
olsadmintool dropcompartment |
|
|
olsadmintool dropgroup |
|
|
olsadmintool droplabel |
|
|
olsadmintool droplevel |
|
|
olsadmintool droppolicy |
|
|
|
olsadmintool dropprofile |
|
|
olsadmintool dropuser |
|
olsadmintool dropadmin |
|
|
|
olsadmintool droppolcreator |
|
|
olsadmintool <command name> --help |
|
|
olsadmintool listprofile |
|
|
olsadmintool audit |
以降のコマンドの説明では、一部のパラメータはオプションです。オプションのパラメータは、大カッコなどで囲んで示されています。最も一般的な2つの例が[ -b <admin context> ] and [-p <port>]で、コマンドの管理コンテキストまたはOracle Internet Directoryへの接続に使用するポートを指定することはオプションであることを示します。(デフォルト・ポートは389です。)
単一のダッシュで始まるb、h、p、Dおよびwを除き、すべてのパラメータには2つのダッシュ(スペースなしの--)を使用する必要があります。2つのダッシュは、使用する名前またはパラメータの完全または長いバージョンを指定する必要があることを示します。このような名前またはパラメータにスペースが含まれている場合は、"これは極端に長い名前またはパラメータです。"のように二重引用符で囲む必要があります。
このリストには、各コマンドが読みやすいように複数行で示されていますが、実際のコマンドラインでは長い1行として発行されます。
プロファイルへのユーザーの追加
olsadmintool adduser --polname <policy name> --profname <profilename> --userdn <enterprise user DN>[ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
adduserコマンドの説明 adduserコマンドを使用すると、ポリシー内のプロファイルにエンタープライズ・ユーザーを追加できます。プロファイル名、ポリシー名およびユーザーDNを指定します。脚注1 エンタープライズ・ユーザーは、データベースに接続するための追加の機能を持つ標準的なOracle Internet Directoryユーザーです。プロファイルに追加するユーザーは、エンタープライズ・ユーザーである必要があります。
adduserコマンドの例
olsadmintool adduser --polname tradesecret --profname topsales --userdn "cn=perot" -b "cn=EDS" -h ford -p 1890 -D cn=lbacsys -w lbacsyspwrd
|
注意: サード・パーティ・ディレクトリからインポートされたOracle Internet Directoryにユーザーがある場合、これらのユーザーのobjectclass属性をorcluserに設定してから、olsadmintool adduserコマンドを実行する必要があります。 |
ポリシー管理者の追加
olsadmintool addadmin --polname <policy name> --admindn <admin DN> [ -b <admin context>] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
addadminコマンドの説明
addadminコマンドを使用すると、ポリシーの管理グループにエンタープライズ・ユーザーを追加でき、これにより、そのユーザーは指定されたポリシーのメタデータを作成、変更または削除できるようになります。ポリシー名および新規管理者のDNを指定します。このグループには、エンタープライズ・ユーザーのみを含める必要があります。
addadminコマンドの例
olsadmintool addadmin --polname defense --admindn "cn=scott,c=us" -h yippee -D cn=lbacsys -w lbacsys
ポリシー作成者の追加
olsadmintool addpolcreator --userdn <user DN> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
addpolcreatorコマンドの説明
addpolcreatorコマンドを使用すると、指定したユーザーにポリシーの作成を許可できます。ユーザーのDNを指定します。
addpolcreatorコマンドの例
olsadmintool addpolcreator --userdn "cn=scott" -h yippee -D cn=lbacsys -w lbacsys
区分の変更
olsadmintool altercompartment --polname <policy name> --shortname <short compartment name> --longname <new long compartment name> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
altercompartmentコマンドの説明 altercompartmentコマンドを使用すると、区分の詳細名を変更できます。ポリシー名、区分の短縮名および新規の詳細名を指定します。
altercompartmentコマンドの例
olsadmintool altercompartment --polname defense --shortname A --longname "Allied Forces" -h yippee -D cn=defense_admin -w Easy2rem
グループの変更
olsadmintool altergroup --polname <policy name> --shortname <short group name> --longname <"new long group name"> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
altergroupコマンドの説明 altergroupコマンドを使用すると、グループ・コンポーネントまたは親グループの詳細名を変更できます。ポリシー名とグループの短縮名および詳細名を指定します。
altergroupコマンドの例
olsadmintool altergroup --polname defense --shortname US --longname "United States of America" -h yippee -D cn=defense_admin -w Easy2rem
グループの親の変更
olsadmintool altergroupparent --polname <policy name> --shortname <short group name> [--parentname <new parent group name> ] [--clearparent] --longname <"new long group name"> [--parentname <new short group name> ] [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
altergroupparentコマンドの説明 altergroupparentコマンドを使用すると、グループの親グループを変更または削除できます。ポリシー名およびグループの短縮名と、親グループの短縮名またはclearparentフラグのどちらか一方を指定します。
altergroupparentコマンドの例
olsadmintool altergroupparent --polname defense --shortname US --parentname "Earth" -h yippee -p 5678 -D cn=defense_admin -w Easy2rem or olsadmintool altergroupparent --polname defense --shortname US --clearparent -h yippee -p 5678 -D cn=defense_admin -w Easy2rem
ラベルの変更
olsadmintool alterlabel --polname <policy name> --tag <tag number> --value <new label value> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
alterlabelコマンドの説明 alterlabelコマンドを使用すると、ラベル・タグに関連付けられているラベル定義文字列を変更できます。ポリシー名、ラベルの数値タグおよびラベルを表す新規文字列を指定します。
alterlabelコマンドの例
olsadmintool alterlabel --polname defense --tag 100 --value "TS:A:US" -h yippee -D cn=defense_admin -w Easy2rem
レベルの変更
olsadmintool alterlevel --polname <policy name> --shortname <short level name> --longname <"new long level name"> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
alterlevelコマンドの説明 alterlevelコマンドを使用すると、レベルの詳細名を変更できます。ポリシー名、レベルの短縮名および新規の詳細名を指定します。
alterlevelコマンドの例
olsadmintool alterlevel --polname defense --shortname TS --longname "VERY TOP SECRET" -h yippee -D cn=defense_admin -w Easy2rem
ポリシーの変更
olsadmintool alterpolicy --name <policy name> --options <new options> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password> where <new options> can be any combination of the following entries: INVERSE_GROUP, HIDE, LABEL_DEFAULT, LABEL_UPDATE, CHECK_CONTROL, READ_CONTROL,WRITE_CONTROL,INSERT_CONTROL, DELETE_CONTROL, UPDATE_CONTROL, ALL_CONTROL, or NO_CONTROL
alterpolicyコマンドの説明 alterpolicyコマンドを使用すると、ポリシーのオプションを変更できます。ポリシー名と新規オプションを指定します。
alterpolicyコマンドの例
olsadmintool alterpolicy --name defense --options "READ_CONTROL,INSERT_CONTROL" -h yippee -D cn=defense_admin -w Easy2rem
監査オプションの取消し
olsadmintool noaudit --polname <policy name> --options <audit option name> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password> where <audit option name> can be any combination of APPLY, REMOVE, SET, PRIVILEGE
noauditコマンドの説明 noauditコマンドを使用すると、ポリシーの監査オプションを取り消すことができます。ポリシー名と監査外にするオプションを指定します。
noauditコマンドの例
olsadmintool noaudit --polname defense --options "APPLY,PRIVILEGES" -h yippee -D cn=defense_admin -w Easy2rem
区分の作成
olsadmintool createcompartment --polname <policy name> --tag <tag number> --shortname <short compartment name> --longname <"long compartment name"> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
createcompartmentコマンドの説明 createcompartmentコマンドを使用すると、新規区分コンポーネントを作成できます。ポリシー名と、区分のタグの数値、短縮名および詳細名を指定します。
createcompartmentコマンドの例
olsadmintool createcompartment --polname defense --tag 100 --shortname A --longname Alpha -h yippee -D cn=defense_admin -w Easy2rem
グループの作成
olsadmintool creategroup --polname <policy name> --tag <tag number> --shortname <short group name> --longname <"long group name"> [--parentname <parent group name>] [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
creategroupコマンドの説明 creategroupコマンドを使用すると、新規グループ・コンポーネントを作成できます。ポリシー名と、グループのタグの数値、短縮名、詳細名および親グループ名(オプション)を指定します。
creategroupコマンドの例
olsadmintool creategroup --polname defense --tag 55 --shortname US --longname "United States" -h yippee -D cn=defense_admin -w Easy2rem
ラベルの作成
olsadmintool createlabel --polname <policy name> --tag <tag number> --value <label value> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
createlabelコマンドの説明 createlabelコマンドを使用すると、有効なデータ・ラベルを作成できます。ポリシー名、作成するラベルの数値タグおよびラベルを表す文字列を指定します。
createlabelコマンドの例
olsadmintool createlabel --polname defense --tag 100 --value "TS:A,B:US,CA" -h yippee -D cn=defense_admin -w Easy2rem
レベルの作成
olsadmintool createlevel --polname <policy name> --tag <tag number> --shortname <short level name> --longname <"long level name"> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
createlevelコマンドの説明 createlevelコマンドを使用すると、新規レベル・コンポーネントを作成できます。ポリシー名、タグの数値、レベルの短縮名および詳細名を指定します。
createlevelコマンドの例
olsadmintool createlevel --polname defense --tag 100 --shortname TS --longname "TOP SECRET" -h yippee -D cn=defense_admin -w Easy2rem
プロファイルの作成
olsadmintool createprofile --polname <policy name> --profname <profile name> --maxreadlabel <max read label> --maxwritelabel <max write label> --minwritelabel <min write label> --defreadlabel <default read label> --defrowlabel <default row label> --privileges <privileges separated by comma> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
createprofileコマンドの説明 createprofileコマンドを使用すると、新規プロファイルを作成できます。ポリシー名、プロファイル名、および権限またはラベルのどちらか(あるいはその両方)を指定します。(ユーザー・プロファイルにはNULLのラベル情報またはNULLの権限情報を指定できますが、同時に両方にNULLは指定できません。)ラベルの場合は、このプロファイル内のユーザーがデータの読取りに使用できる最大ラベル、このプロファイル内のユーザーがデータの書込みに使用できる最大ラベル、このプロファイル内のユーザーがデータの書込みに使用できる最小ラベル、読取り用のデフォルト・ラベルおよび書込み用のデフォルト行ラベルを指定します。権限の場合は、このプロファイルのメンバーの権限をカンマで区切ったリストを引用符で囲みます。
createprofileコマンドの例
olsadmintool createprofile --polname topsecret --profname topsales --maxreadlabel "TS:A,B:US,CA" --maxwritelabel "TS:A,B:US,CA" --minwritelabel "C" --defreadlabel "TS:A,B:US,CA" --defrowlabel "C:A,B:US,CA" --privileges "READ,COMPACCESS,WRITEACROSS" -b EDS -h ford -p 1890 -D cn=lbacsys -w lbacsyspwrd
ポリシーの作成
olsadmintool createpolicy --name <policy name> --colname <column name> --options <options separated by commas> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password> where <new options> can be any combination of the following entries: INVERSE_GROUP, HIDE, LABEL_DEFAULT, LABEL_UPDATE, CHECK_CONTROL, READ_CONTROL, WRITE_CONTROL,INSERT_CONTROL, DELETE_CONTROL, UPDATE_CONTROL, ALL_CONTROL, or NO_CONTROL
createpolicyコマンドの説明 createpolicyコマンドを使用すると、ポリシーを作成できます。ポリシー名、ラベル列名およびオプションを指定します。
createpolicyコマンドの例
olsadmintool createpolicy --name defense --colname defense_col --options "READ_CONTROL,UPDATE_CONTROL" -h yippee -p 389 -D cn=defense_admin -w Easy2rem
プロファイルの記述
olsadmintool describeprofile --polname <policy name> --profname <profile name> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
describeprofileコマンドの説明
describeprofileコマンドを使用すると、指定したポリシー内の指定したプロファイルの内容を表示できます。ポリシー名とプロファイル名を指定します。
describeprofileコマンドの例
olsadmintool describeprofile --polname defense --profname contractors -h yippee -D cn=defense_admin -w Easy2rem
区分の削除
olsadmintool dropcompartment --polname <policy name> --shortname <short compartment name> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
dropcompartmentコマンドの説明 dropcompartmentコマンドを使用すると、区分コンポーネントを削除できます。ポリシー名と区分の短縮名を指定します。
dropcompartmentコマンドの例
olsadmintool dropcompartment --polname defense --shortname A -h yippee -D cn=defense_admin -w Easy2rem
グループの削除
olsadmintool dropgroup --polname <policy name> --shortname <short group name> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
dropgroupコマンドの説明 dropgroupコマンドを使用すると、グループ・コンポーネントを削除できます。ポリシー名とグループの短縮名を指定します。
dropgroupコマンドの例
olsadmintool dropgroup --polname defense --shortname US -h yippee -D cn=defense_admin -w Easy2rem
ラベルの削除
olsadmintool droplabel --polname <policy name> --value <label value> -h yippee [-p <port>] -D <bind DN> -w <bind password>
droplabelコマンドの説明 droplabelコマンドを使用すると、ポリシーからラベルを削除できます。ポリシー名とラベルを表す文字列を指定します。
droplabelコマンドの例
olsadmintool droplabel --polname defense --value "TS:A:US" h yippee -D cn=defense_admin -w Easy2rem
レベルの削除
olsadmintool droplevel --polname <policy name> --shortname <short level name> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
droplevelコマンドの説明 droplevelコマンドを使用すると、指定したポリシーからレベル・コンポーネントを削除できます。ポリシー名とレベルの短縮名を指定します。
droplevelコマンドの例
olsadmintool droplevel --polname defense --shortname TS -h yippee -D cn=defense_admin -w Easy2rem
ポリシーの削除
olsadmintool droppolicy --name <policy name> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
droppolicyコマンドの説明 droppolicyコマンドを使用すると、ポリシーを削除できます。削除するポリシーの名前を指定します。Oracle Label SecurityのOracle Internet Directory対応のインストールについては、「Oracle Internet Directory対応Oracle Label Securityでのポリシーのサブスクライブ」を参照してください。
droppolicyコマンドの例
olsadmintool droppolicy --name defense -h yippee -D cn=defense_admin -w Easy2rem
プロファイルの削除
olsadmintool dropprofile --polname <policy name> --profname <profile name> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
dropprofileコマンドの説明 dropprofileコマンドを使用すると、指定したプロファイルを削除できます。ポリシー名と削除するプロファイルの名前を指定します。
|
注意: プロファイルを削除すると、削除したプロファイル内のユーザー全員について、そのポリシーから認可が削除されます。これらのユーザーは、そのポリシーで保護されているデータを表示できなくなります。 |
dropprofileコマンドの例
olsadmintool dropprofile --name defense --profname employees -h yippee -D cn=defense_admin -w Easy2rem
ユーザーの削除
olsadmintool dropuser --polname <policy name> --profname <profilename> --userdn <enterprise user DN> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
dropuserコマンドの説明 dropuserコマンドを使用すると、指定したポリシーの指定したプロファイルからユーザーを削除できます。ポリシー名、プロファイル名およびユーザーのDNを指定します。
dropuserコマンドの例
olsadmintool dropuser --polname defense --profname contractors --userdn "cn=hanssen,c=us" -h yippee -D cn=defense_admin -w Easy2rem
ポリシー管理者の削除
olsadmintool dropadmin --polname <policy name> --admindn <admin DN> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
dropadminコマンドの説明 dropadminコマンドを使用すると、ポリシーの管理グループからエンタープライズ・ユーザーを削除でき、これにより、そのユーザーは指定されたポリシーのメタデータを作成、変更または削除できなくなります。ポリシー名、および管理グループから削除する管理者のDNを指定します。
dropadminコマンドの例
olsadmintool dropadmin --polname defense --admindn "cn=scott,c=us" -h yippee -D cn=lbacsys -w lbacsys
ポリシー作成者の削除
olsadmintool droppolcreator --userdn <user DN> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
droppolcreatorコマンドの説明 droppolcreatorコマンドを使用すると、指定したユーザーからポリシー作成許可を取り消すことができます。ユーザーのDNを指定します。
droppolcreatorコマンドの例
olsadmintool droppolcreator --userdn "cn-scott,c=us" -b UA -h yippee -p 1890 -D <bind DN> -w <bind password>
olsadmintoolコマンドのヘルプの表示
olsadmintool <command name> --help
プロファイル・リストの表示
olsadmintool listprofile --polname <policy name> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password>
listprofileコマンドの説明 listprofileコマンドを使用すると、指定したポリシー内の全プロファイルのリストを表示できます。ポリシー名を指定します。
listprofileコマンドの例
olsadmintool listprofile --polname defense -b CIA -h yippee -D cn=defense_admin -w Easy2rem
監査オプションの設定
olsadmintool audit --polname <policy name> --options <audit option name> --type <audit option type> --success <audit success type> [ -b <admin context> ] -h <OID host> [-p <port>] -D <bind DN> -w <bind password> where <audit option name> can be any combination of APPLY, REMOVE, SET, PRIVILEGE, type can be "session" or "access", and success can be "successful", "not successful" or "both".
auditコマンドの説明 auditコマンドを使用すると、ポリシーの監査オプションを設定できます。ポリシー名、監査するオプション、監査のタイプおよび監査対象となる成功のタイプを指定します。
audit コマンドの例
olsadmintool audit --polname defense --options "APPLY,PRIVILEGE" --type session --success success -h yippee -D cn=defense_admin -w Easy2rem
すべてのolsadmintoolコマンドでは、接続パラメータ、つまりOIDホスト、バインドDN、バインド・パスワードおよびOracle Internet Directoryへの接続に使用するポート(オプション)を指定する必要があります。(デフォルト・ポートは389です。)
すべてのolsadmintoolコマンドでは、必要に応じて-bフラグを使用してサブスクライバ/管理コンテキストを指定できます。
ポートや管理コンテキストなどのパラメータ指定がオプションであることは、パラメータが大カッコで囲まれていることで示されています。最も一般的な2つの例が、[ -b <admin context> ]および[-p <port> ]です。
各コマンドでは、ホスト、バインドDNおよびパスワードの指定は必須で、必要に応じて管理コンテキストも指定できるため、表B-3「サマリー: olsadmintoolコマンドのパラメータ」では、これらの接続パラメータすべてをグループとして表すために省略形CONを使用しています。
[ -b <admin context> ] h <OID host> [-p <port>] -D <bind DN> -w <bind password>
表B-3「サマリー: olsadmintoolコマンドのパラメータ」には、コマンドが次のカテゴリ別にまとめられています。
ポリシー: ポリシーまたはそのコンポーネント(レベル、グループおよび区分)の作成、変更または削除
データ・ラベル: データ・ラベルの作成、変更または削除
管理者およびポリシー作成者: 管理者およびポリシー作成者の追加または削除
ユーザー: プロファイルに対するユーザーの追加または削除
監査オプション: ポリシーの監査内容を示すオプションの設定
プロファイル: プロファイルの作成、リスト、記述または削除
デフォルトの読取りまたは行ラベル: デフォルトの読取りまたは行ラベルの設定
表B-3「サマリー: olsadmintoolコマンドのパラメータ」および表B-4「プロファイルとデフォルトのコマンド・パラメータのサマリー」では、列見出しはパラメータのみを示し、必須の先行キーワードは示されていません。たとえば、表B-3「サマリー: olsadmintoolコマンドのパラメータ」では、policynameとcolumn-nameはcreatepolicyコマンドのパラメータで、必須の先行キーワード(--nameおよび--colname)は示されていません。これらのキーワードは、「ポリシーの作成」など、コマンドの説明にそれぞれ必須です。
表B-3「サマリー: olsadmintoolコマンドのパラメータ」および表B-4「プロファイルとデフォルトのコマンド・パラメータのサマリー」のサマリーに列見出しとして使用されている個々のパラメータの説明は、表B-3「サマリー: olsadmintoolコマンドのパラメータ」を参照してください。
この3つの表の凡例は次のとおりです。
Xは必須、Oは使用しないか省略されることを意味します。
OptionsPはポリシー施行オプションを意味します。つまり、次のエントリをカンマで区切った組合せを示します。
INVERSE_GROUP
HIDE
LABEL_DEFAULT
LABEL_UPDATE
CHECK_CONTROL
READ_CONTROL
WRITE_CONTROL
INSERT_CONTROL
DELETE_CONTROL
UPDATE_CONTROL
ALL_CONTROL
NO_CONTROL
OptionsAは監査オプションを意味します。つまり、エントリSET、APPLY、REMOVEまたはPRIVILEGEをカンマで区切った組合せを示します。
表B-3 サマリー: olsadmintoolコマンドのパラメータ
| コマンドのカテゴリ | コマンドとパラメータ | ||||||
|---|---|---|---|---|---|---|---|
|
ポリシー |
コマンド |
policy name |
column- name |
optionsP |
CON |
||
|
olsadmintool createpolicy |
X |
X |
X |
X |
|||
|
olsadmintool alterpolicy |
X |
O |
X |
X |
|||
|
olsadmintool droppolicy |
X |
O |
O |
X |
|||
|
ポリシー内での作成: |
コマンド |
policy name |
tag |
short name |
long name |
CON |
parent name |
|
レベル |
olsadmintool createlevel |
X |
X |
X |
X |
X |
O |
|
グループ |
olsadmintool creategroup |
X |
X |
X |
X |
X |
[ X ] |
|
区分 |
olsadmintool createcompartment |
X |
X |
X |
X |
X |
O |
|
ポリシー内での変更: |
|||||||
|
レベル |
olsadmintool alterlevel |
X |
O |
u |
u |
u |
O |
|
グループまたは親グループ |
olsadmintool altergroup |
X |
O |
X |
X |
X |
O |
|
olsadmintool altergroupparent |
X |
O |
X |
O |
X |
[ X ] |
|
|
コマンド |
policy name |
tag |
short name |
long name |
CON |
parent name |
|
|
区分 |
olsadmintool altercompartment |
X |
O |
X |
X |
X |
O |
|
ポリシー内での削除: |
|||||||
|
レベル |
olsadmintool droplevel |
X |
O |
X |
O |
X |
O |
|
グループ |
olsadmintool dropgroup |
X |
O |
X |
O |
X |
O |
|
区分 |
olsadmintool dropcompartment |
X |
O |
X |
O |
X |
O |
|
データ・ラベル |
コマンド |
policy name |
tag |
value |
CON |
||
|
ラベルの作成 |
olsadmintool createlabel |
X |
X |
X |
X |
||
|
データ・ラベルの変更 |
olsadmintool alterlabel |
X |
X |
X |
X |
||
|
データ・ラベルの削除 |
olsadmintool droplabel |
X |
O |
X |
X |
||
|
ポリシー管理者 |
コマンド |
policy name |
userDN |
CON |
|||
|
管理者の追加 |
olsadmintool addadmin |
X |
X |
X |
|||
|
管理者の削除 |
olsadmintool dropadmin |
X |
X |
X |
|||
|
ポリシーの作成 |
olsadmintool addpolcreator |
O |
X |
X |
|||
|
|
O |
X |
X |
||||
|
ユーザー |
コマンド |
policy name |
profile name |
userDN |
CON |
||
|
ユーザーの追加 |
olsadmintool adduser |
X |
X |
X |
X |
||
|
ユーザーの削除 |
|
X |
X |
X |
X |
||
|
監査 |
olsadmintool audit |
X |
optionsA |
type |
success |
CON |
|
|
olsadmintool noaudit |
X |
X |
X |
X |
X |
||
|
olsadmintoolのヘルプ |
olsadmintool <commandname> -- help |
O |
O |
O |
O |
O |
表B-4 プロファイルとデフォルトのコマンド・パラメータのサマリー
| プロファイルのアクション | プロファイル・コマンド | ポリシー名 | プロファイル名 | 最大読取りラベル | 最大書込みラベル | 最小書込みラベル | Def Read Label | Def Row Label | privileges | CON |
|---|---|---|---|---|---|---|---|---|---|---|
|
olsadmin tool create profile |
X |
X |
X |
X |
X |
X |
X |
X |
X |
|
|
|
olsadmin tool list profile |
X |
O |
O |
O |
O |
O |
O |
O |
X |
|
|
olsadmin tool describe profile |
X |
X |
O |
O |
O |
O |
O |
O |
X |
|
|
olsadmin tool drop profile |
X |
X |
O |
O |
O |
O |
O |
O |
X |
脚注1 createprofileでは、権限とラベルの両方を指定する必要があります。profileでは、ラベルまたは権限、あるいはその両方を指定できます。
この後の項では、Oracle Internet Directory環境におけるOracle Label Securityの設定に必要な標準タスクでolsadmintoolコマンドを使用する例を示します。このリストには、各コマンドが読みやすいように複数行で示されていますが、実際のコマンドラインでは長い1行として発行されます。これらのコマンドすべての実行結果をまとめたものについては、最後の例の後の「前述の例の結果」を参照してください。
ORACLE_HOME/bin/olsadmintool addpolcreator --userdn "cn=snamudur,c=us" -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=lbacsys,c=us" -w lbacsys
ORACLE_HOME/bin/olsadmintool createpolicy --name Policy1 --colname pol1 --options READ_CONTROL,WRITE_CONTROL -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=snamudur,c=us" -w snamudur ORACLE_HOME/bin/olsadmintool createpolicy --name Policy2 --colname pol2 --options READ_CONTROL -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=lbacsys,c=us" -w lbacsys
ORACLE_HOME/bin/olsadmintool addadmin --polname Policy1 --admindn "cn=shwong,c=us" -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=snamudur,c=us" -w snamudur ORACLE_HOME/bin/olsadmintool addadmin --polname Policy2 --admindn "cn=shwong,c=us" -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=lbacsys,c=us" -w lbacsys
ORACLE_HOME/bin/olsadmintool createlevel --polname Policy1 --tag 100 --shortname TS --longname "TOP SECRET" -b "ou=Americas,o=Oracle, c=US" -h yippee -p 389 -D "cn=shwong,c=us" -w shwong ORACLE_HOME/bin/olsadmintool createlevel --polname Policy1 --tag 99 --shortname S --longname SECRET -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=shwong,c=us" -w shwong ORACLE_HOME/bin/olsadmintool createlevel --polname Policy1 --tag 98 --shortname U --longname UNCLASSIFIED -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=shwong,c=us" -w shwong
ORACLE_HOME/bin/olsadmintool createcompartment --polname Policy1 --tag 100 --shortname A --longname ALPHA -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 D "cn=shwong,c=us" -w shwong ORACLE_HOME/bin/olsadmintool createcompartment --polname Policy1 --tag 99 --shortname B --longname BETA -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=shwong,c=us" -w shwong
ORACLE_HOME/bin/olsadmintool creategroup --polname Policy1 --tag 100 --shortname G1 --longname GROUP1 -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=shwong,c=us" -w shwong ORACLE_HOME/bin/olsadmintool creategroup --polname Policy1 --tag 99 --shortname G2 --longname GROUP2 -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=shwong,c=us" -w shwong ORACLE_HOME/bin/olsadmintool creategroup --polname Policy1 --tag 98 --shortname G3 --longname GROUP3 -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=shwong,c=us" -w shwong
ORACLE_HOME/bin/olsadmintool createlabel --polname Policy1 --tag 100 --value TS:A:G1 -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=shwong,c=us" -w shwong ORACLE_HOME/bin/olsadmintool createlabel --polname Policy1 --tag 101 --value TS:A,B:G2 -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=shwong,c=us" -w shwong
ORACLE_HOME/bin/olsadmintool createprofile --polname Policy1 --profname Profile1 --maxreadlabel TS:A:G1 --maxwritelabel TS:A:G1 --minwritelabel U:: --defreadlabel U:A:G1 --defrowlabel U:A:G1 --privileges WRITEUP,READ -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=shwong,c=us" -w shwong
ORACLE_HOME/bin/olsadmintool adduser --polname Policy1 --profname Profile1 --userdn cn=nina,ou=Asia,o=microsoft,l=seattle,st=WA,c=US -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=shwong,c=us" -w shwong
ORACLE_HOME/bin/olsadmintool adduser --polname Policy1 --profname Profile1 --userdn cn=daniel,ou=France,o=oracle,l=madison,st=WI,c=US -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=shwong,c=us" -w shwong
ORACLE_HOME/bin/olsadmintool audit --polname Policy1 --option "SET,APPLY" --type SESSION --success BOTH -b "ou=Americas,o=Oracle,c=US" -h yippee -p 389 -D "cn=shwong,c=us" -w shwong
前述の一連のolsadmintoolコマンドを実行した結果、このサンプルOracle Label Securityサイトの構造は次のようになります。
ポリシー作成者: ユーザーsnamudur。
ポリシー: Policy1およびPolicy2。
ポリシー管理者: ユーザーshwong。
レベル、区分およびグループ: 表B-5「olsadmintoolコマンドの使用によるラベル・コンポーネント定義」を参照してください。
表B-5 olsadmintoolコマンドの使用によるラベル・コンポーネント定義
| ラベル・コンポーネント | タグ | 短縮名 | 詳細名 |
|---|---|---|---|
|
レベル |
100 |
TS |
TOP SECRET |
|
99 |
S |
SECRET |
|
|
98 |
U |
UNCLASSIFIED |
|
|
区分 |
100 |
A |
ALPHA |
|
99 |
B |
BETA |
|
|
グループ |
100 |
G1 |
GROUP1 |
|
99 |
G2 |
GROUP2 |
|
|
98 |
G3 |
GROUP3 |
データ・ラベル: TS:A:G1の場合はタグ100、TS:A,B:G2の場合はタグ101。
ユーザー: US Oracle組織のAmericas組織の下位でWashington州Seattleに本拠を置くMicrosoft社Asiaグループに所属するNinaと、同じ組織の下位でWisconsin州Madisonに位置するオラクル社のFranceグループに所属するDaniel。
プロファイル: 表B-6「olsadmintoolコマンドの使用によるProfile1の内容」を参照してください。
表B-6 olsadmintoolコマンドの使用によるProfile1の内容
| プロファイル要素 | 内容 | 詳細名の拡張または意味 |
|---|---|---|
|
MaxReadLabel |
TS:A:G1 |
TOP SECRET:ALPHA:GROUP1 |
|
MaxWriteLabel |
TS:A:G1 |
TOP SECRET:ALPHA:GROUP1 |
|
MinWriteLabel |
U:: |
UNCLASSIFIED(区分やグループへの限定なし) |
|
DefReadLabel |
U:A:G1 |
UNCLASSIFIED:ALPHA:GROUP1 |
|
DefRowLabel |
U:A:G1 |
UNCLASSIFIED:ALPHA:GROUP1 |
|
権限 |
WRITE_UP、READ |
ユーザーは任意の行を読み取って、書き込む行のレベルを上げることができます。 |
監査オプション: SET、APPLY、SESSIONおよびBOTH
脚注の凡例
脚注1: コマンドに関する脚注 各コマンドでは、ディレクトリのホスト名、バインドDNおよびバインド・パスワードを指定する必要があります。どのコマンドでも、必要に応じてサブスクライバの管理コンテキスト(オプション)またはディレクトリのポート番号(オプション)、あるいはその両方を指定できます。これらのパラメータの詳細は、表B-3「サマリー: olsadmintoolコマンドのパラメータ」も参照してください。