Sun ONE Identity Server 6.1 管理ガイド |
第 9 章
amadmin コマンド行ツールこの章では、amadmin コマンド行ツールについて説明します。この章は、次の節で構成されています。
amadmin コマンド行実行可能ファイルコマンド行ツール amadmin の第一の目的は、XML サービスファイルを Directory Server にロードして、DIT で管理タスクのバッチ処理を実行することです。amadmin は、IdentityServer_base/SUNWam/bin にあり、次の目的に使用します。
- XML サービスファイルのロード - 管理者は sms.dtd で定義された XML サービスファイル形式を使用するサービスを Identity Server にロードします。すべてのサービスは amadmin を使用してロードする必要がありますが、Identity Server コンソールでインポートすることはできません。
注
XML サービスファイルは、Identity Server で参照される XML データの静的なかたまりとして Directory Server に格納されます。この情報は、LDAP だけを使用できる Directory Server では使用されません。
- DIT に対するアイデンティティオブジェクトのバッチ更新の実行 - 管理者は amadmin.dtd に定義されたバッチ処理用 XML ファイル形式を使用して、Directory Server DIT に対するバッチ更新を実行できます。たとえば管理者が組織を 10、ユーザーを 1000、およびグループを 100 作成する場合、この要求を 1 つ以上のバッチ処理用 XML ファイルに置いて、amadmin でロードすることで、1 回で作成できます。詳細については、『Sun ONE Identity Server Programmer's Guide』の「Service Management」の章を参照してください。
amadmin の構文
amadmin を使用するために従わなくてはならない構造的な規則があります。amadmin ツールの一般的な構文は次のとおりです。
- amadmin -u | --runasdn DN 名 -w | --password パスワード [-l | --locale ロケール名] [[-v | --verbose] | [-d |--debug]] -t | --data XML ファイル 1 [XML ファイル 2 ...]
- amadmin -u | --runasdn DN 名 -w | --password パスワード [-l | --locale ロケール名] [[-v | --verbose] | [-d | --debug]] -s | --schema XML ファイル 1 [XML ファイル 2 ...]
- amadmin -u | --runasdn DN 名 -w | --password パスワード [-l | --locale ロケール名] [[-v | --verbose] | [-d | --debug]] -r | --deleteService サービス名 1 [サービス名 2 ...]
- amadmin -u | --runasdn DN 名 -w | --password パスワード または -f | --password file パスワードファイル [-c | --continue] [-l | --locale ロケール名] [[-v | --verbose] | [-d | --debug]] -m | --session サーバー名 パターン
- amadmin -h | --help
- amadmin -n | --version
- amadmin -u | --runasdn DN 名 -w | --password パスワード または - f |--passwordfile パスワードファイル [-l | --locale ロケール名] [[-v | --verbose] | [-d] |--debug]] -a |--addAttributes サービス名 スキーマタイプ XML ファイル[XML ファイル 2] ...
amadmin のオプション
次に、amadmin コマンド行パラメータオプションの定義を説明します。
--runasdn (-u)
--runasdn は、LDAP サーバーに対してユーザーを認証します。引数は、amadmin を実行できるように承認されたユーザーの識別名 (DN) の値です。たとえば次のようになります。
--runasdn uid=amAdmin,ou=People,o=iplanet.com,o=isp.
DN は、ドメイン要素間にスペースを挿入し、DN 全体を二重引用符で囲むこともできます。たとえば次のようになります。--runasdn "uid=amAdmin, ou=People, o=iplanet.com, o=isp".
--password (-w)
--password は必須のオプションであり、--runasdn オプションで指定した DN のパスワードの値になります。
--locale (-l)
--locale は、ロケール名の値になります。メッセージ言語をカスタマイズするために使用できます。指定しない場合は、デフォルトのロケールである en_US が使用されます。
--continue (-c)
--continue は、エラーがある場合でも XML ファイルを処理し続けます。たとえば同時にロードされる XML ファイルが 3 つあり、最初の XML ファイルがエラーになった場合、amadmin では残りのファイルをロードし続けます。
--session (-m)
--session (-m) は、セッションを管理したり、現在のセッションを表示したりします。--runasdn を指定するときは、AMConfig.properties のスーパーユーザーの DN、または最上位の管理ユーザーの ID と同じでなければなりません。
次の例では、特定のサービスホスト名に対するすべてのセッションを表示します。
次の例では、特定のユーザーのセッションを表示します。
セッションを中断するには、対応するインデックス番号を入力します。複数のセッションを中断するには、複数のインデックス番号をスペース区切りで入力します。
次のオプションを使用する場合
amadmin -m | --session サーバー名 パターン
パターンには、ワイルドカード (*) も使用できます。このパターンにワイルドカード (*) を使用する場合は、メタ文字 (¥) を使ってシェルからエスケープする必要があります。
--debug (-d)
--debug は、IdentityServer_base/var/opt/SUNWam/debug ディレクトリに作成される amadmin ファイルにメッセージを書き込みます。このメッセージは技術的には詳細なものですが、i18n 互換ではありません。amadmin の操作ログを生成するには、データベースのログ書き込み時に、データベースドライバのクラスパスを手作業で追加する必要があります。たとえば、mysql にログを書き込むときに、amadmin に次の行を追加します。
--verbose (-v)
--verbose は、amadmin コマンドの処理状況の全体を画面に出力します。ファイルには詳細な情報を出力しません。コマンド行のメッセージ出力は、i18n 互換です。
--data (-t)
--data は、インポートされるバッチ処理用 XML ファイルの名前の値です。1 つ以上の XML ファイルを指定できます。この XML ファイルではさまざまなディレクトリオブジェクトを作成、削除、および読み取ることができるほか、サービスを登録および登録解除できます。このオプションに渡される XML ファイルの種類の詳細については、『Sun ONE Identity Server Programmer's Guide』の「Service Management」の章を参照してください。
--schema (-s)
--schema は、Identity Server サービスの属性を Directory Server にロードします。サービス属性が定義されている XML サービスファイルを引数に取ります。この XML サービスファイルは、sms.dtd を基にしています。1 つ以上の XML ファイルを指定できます。
--deleteservice (-r)
--deleteservice は、サービスとそのスキーマだけを削除します。
--serviceName
--serviceName は、XML サービスファイルの Service name=... タグに指定されているサービス名の値です。この部分をコード例 9-1 に示します。
--help (-h)
--help は、amadmin コマンドの構文を表示する引数です。
--version (-n)
--version は、ユーティリティ名、製品名、製品バージョン、および法律上の通知を表示する引数です。
amadmin でのポリシーの作成ポリシーは amadmin を介して管理できますが、amadmin を直接使用して修正することはできません。ポリシーを修正するには、そのポリシーを削除してから、修正したポリシーを amadmin を使用して追加します。
amadmin を使用してポリシーを追加するには、ポリシーの XML ファイルを policy.dtd に従って作成します。(policy.dtd については、『Sun ONE Identity Server Customization and API Guide』を参照してください。ポリシーの XML ファイルを作成すると、次のコマンドを使用してロードできます。
IdentityServer_base/SUNWam/bin/amadmin
複数のポリシーを同時に追加するには、各 XML ファイルにポリシーを 1 つずつ置くのではなく、1 つの XML ファイルにすべてのポリシーを置きます。複数の XML ファイルでポリシーを次々とロードすると、内部ポリシーインデックスが破損したり、ポリシーの評価に参加できないポリシーが生じたりするおそれがあります。
ポリシーを amadmin で作成するときは、認証スキーム条件を作成中に組織に認証モジュールを登録すること、組織、LDAP グループ、LDAP ロール、および LDAP ユーザーのサブジェクトを作成中に対応する LDAP オブジェクト (組織、グループ、ロール、およびユーザー) が存在すること、IdentityServerRoles サブジェクトを作成中に Identity Server ロールが存在すること、そしてサブ組織またはピア組織の参照を作成中に関連がある組織が存在することを確認してください。
SubOrgReferral、PeerOrgReferral、Organization サブジェクト、IdentityServerRoles サブジェクト、LDAPGroups サブジェクト、LDAPRoles サブジェクト、および LDAPUsers サブジェクトの Value 要素のテキストには、完全な DN を指定する必要があります。