このコマンド行リファレンスは、『Sun Java System Access Manager 7 2005Q4 管理ガイド』の第 4 部です。
ここで説明するすべてのコマンド行ツールは、デフォルトでは次の場所にあります。
AccessManager-base/SUNWam/bin (Solairs) AccessManager-base/identity/bin (Linux)
次の章で構成されています。
この章では、amadmin コマンド行ツールについて説明します。
コマンド行実行可能ファイル amadmin の第一目的は、XML サービスファイルをデータストアにロードすることと、DIT 管理タスクのバッチ処理を実行することです。amadmin は AccessManager-base/SUNWam/bin にあり、次の目的に使用します。
XML サービスファイルのロード - 管理者は sms.dtd で定義された XML サービスファイル形式に従って記述されたサービスを Access Manager にロードします。すべてのサービスは amadmin を使用してロードする必要があります。Access Manager コンソールでインポートすることはできません。
XML サービスファイルは、Access Manager で参照される XML データの静的 BLOB としてデータストアに格納されます。この情報は、LDAP だけを利用する Directory Server では使用されません。
DIT に対するアイデンティティーオブジェクトのバッチ更新の実行 - 管理者は amadmin.dtd に定義されたバッチ処理用 XML ファイル形式を使用して、Directory Server DIT に対するバッチ更新を実行できます。たとえば、管理者が組織を 10 個、ユーザーを 1000 名、およびグループを 100 個作成する場合、この要求を 1 つ以上のバッチ処理用 XML ファイルに置いて、amadmin でロードすることで、1 回で作成できます。
amadmin は、Access Manager コンソールの機能の一部だけをサポートしており、コンソールの代わりに使用することは想定していません。比較的小規模な管理作業にはコンソールを使用し、比較的大規模な管理作業には amadmin を使用することをお勧めします。
amadmin を使用するために従わなくてはならない構造的なルールが数多くあります。amadmin ツールの一般的な構文は次のとおりです。
amadmin -u | --runasdn DN 名 -w | --password パスワード [-l | --locale ロケール名] [[-v | --verbose] | [-d |--debug]] -t | --data XML ファイル 1 [ XML ファイル 2 ...]
amadmin -u | --runasdn DN 名 -w | --password パスワード [-l | --locale ロケール名] [[-v | --verbose] | [-d | --debug]] -s | --schema XML ファイル 1 [XML ファイル 2 ...]
amadmin -u | --runasdn DN 名 -w | --password パスワード [-l | --locale ロケール名] [[-v | --verbose] | [-d | --debug]] -r | --deleteService サービス名 1 [サービス名 2 ...]
amadmin -u | --runasdn DN 名 -w | --password パスワード または -f | --passwordfile パスワードファイル [-c | --continue] [-l | --locale ロケール名] [[-v | --verbose] | [-d | --debug]] -m | --session サーバー名 パターン
amadmin -h | --help
amadmin -n | --version
amadmin -u | --runasdn DN 名 -w | --password パスワード または - f |--passwordfile パスワードファイル [-l | --locale ロケール名] [[-v | --verbose] | [-d] |--debug]] -a |--addAttributes サービス名 スキーマタイプ xml ファイル [xmlf ファイル 2 ] ...
2 連続するハイフンは、構文に示すとおりに入力する必要があります。
次に、amadmin コマンド行パラメータオプションの定義について説明します。
--runasdn は、LDAP サーバーに対してユーザーを認証します。引数は、amadmin を実行できるように承認されたユーザーの識別名 (DN) です。たとえば次のようになります。
--runasdn uid=amAdmin,ou=People,o=iplanet.com,o=isp
DN は、ドメインコンポーネント間にスペースを挿入し、DN 全体を二重引用符で囲んだ形式にすることもできます。たとえば次のようになります。--runasdn "uid=amAdmin, ou=People, o=iplanet.com, o=isp"
--password は必須のオプションであり、--runasdn オプションで指定した DN のパスワードを指定します。
--locale には、ロケール名を指定します。このオプションは、メッセージ言語のカスタマイズに使用できます。指定しない場合は、デフォルトのロケールである en_US が使用されます。
--continue は、エラーがある場合でも XML ファイルを処理し続けます。たとえば、同時にロードされる XML ファイルが 3 つあり、最初の XML ファイルがエラーになった場合、amadmin では残りのファイルをロードし続けます。continue オプションは、個別の要求のみに適用されます。
--session (-m) は、セッションを管理したり、現在のセッションを表示したりします。--runasdn を指定するときは、AMConfig.properties のスーパーユーザーの DN、または最上位の管理ユーザーの ID と同じでなければなりません。
次の例では、特定のサービスホスト名に対するすべてのセッションを表示します。
amadmin -u uid=amadmin,ou=people,dc=iplanet,dc=com -v -w 12345678 -m http://sun.com:58080
次の例では、特定のユーザーのセッションを表示します。
amadmin -u uid=amadmin,ou=people,dc=iplanet,dc=com -v -w 12345678 -m http://sun.com:58080 username
セッションを中断するには、対応するインデックス番号をパターンに指定します。複数のセッションを中断するには、複数のインデックス番号をスペース区切りでパターンに指定します。
次のオプションを使用する場合
amadmin -m | --session サーバー名パターン
パターンには、ワイルドカード (*) も使用できます。このパターンにワイルドカード (*) を使用する場合は、メタ文字 (\\) を使ってシェルからエスケープする必要があります。
--debug は、/var/opt/SUNWam/debug ディレクトリに作成される amAdmin ファイルにメッセージを書き込みます。このメッセージは技術的には詳細なものですが、多言語対応ではありません。amadmin の操作ログを生成するには、データベースのログ書き込み時に、データベースドライバのクラスパスを手作業で追加する必要があります。たとえば、mysql にログを書き込むときに、amadmin に次の行を追加します。
CLASSPATH=$CLASSPATH:/opt/IS61/SUNWam/lib/mysql-connector-java-3.0.6-stable-bin.jar export CLASSPATH
--verbose は、amadmin コマンドの処理状況の全体を画面に出力します。ファイルには詳細な情報を出力しません。コマンド行のメッセージ出力は、多言語対応です。
--data には、インポートされるバッチ処理用 XML ファイルの名前を指定します。1 つ以上の XML ファイルを指定できます。この XML ファイルではさまざまなディレクトリオブジェクトを作成、削除、および読み取ることができるほか、サービスを登録および登録解除できます。
--schema は、Access Manager サービスの属性を Directory Server にロードします。サービス属性が定義されている XML サービスファイルを引数に取ります。この XML サービスファイルは、sms.dtd を基にしています。1 つ以上の XML ファイルを指定できます。
DIT に対するバッチ更新を設定するか、サービススキーマおよび設定データをロードするかによって、--data または --schema オプションを指定する必要があります。
--deleteservice は、サービスとそのスキーマだけを削除します。
--serviceName は、XML サービスファイルの Service name=... タグに指定されているサービス名の値です。この部分を 「--serviceName」に示します。
... <ServicesConfiguration> <Service name="sampleMailService" version="1.0"> <Schema serviceHierarchy="/other.configuration/sampleMailService" i18nFileName="sampleMailService" i18nKey="iplanet-am-sample-mail-service-description"> ... |
--help は、amadmin コマンドの構文を表示する引数です。
--version は、ユーティリティー名、製品名、製品バージョン、および法律上の通知を表示する引数です。
この節では、連携管理で使用する amadmin のパラメータを示します。連携管理の詳細は『Access Manager Federation Management Guide』を参照してください。
amadmin -u|--runasdn <ユーザーの DN> -w|--password <パスワード> または -f|--passwordfile <パスワードファイル> -e|--entityname <エンティティー名> -g|--import <XML ファイル>
ユーザーの DN
ユーザーのパスワードです。
ユーザーのパスワードが書かれているファイルの名前です。
エンティティー名。たとえば、http://www.example.com などです。エンティティーは、1 つの組織に属していなければなりません。
メタ情報を保持する XML ファイルです。このファイルは Liberty のメタ仕様と XSD に従わなければなりません。
amadmin -u|--runasdn <ユーザーの DN>
-w|--password <パスワード> または -f|--passwordfile <パスワードファイル> -e|--entityname <エンティティー名> -o|--export <ファイル名>
ユーザーの DN
ユーザーのパスワードです。
ユーザーのパスワードが書かれているファイルの名前です。
Directory Server にあるエンティティー名です。
エンティティーの XML が書かれているファイルの名前です。XML は Liberty のメタ XSD に準拠していなければなりません。
amadmin -u|--runasdn <ユーザーの DN> -w|--password <パスワード> または -f|--passwordfile <パスワードファイル> -e|--entityname <エンティティー名> -q|--exportwithsig <ファイル名>
ユーザーの DN
ユーザーのパスワードです。
ユーザーのパスワードが書かれているファイルの名前です。
Directory Server にあるエンティティー名です。
エンティティーの XML が書かれているファイルの名前です。このファイルはデジタル署名されています。XML は Liberty のメタ XSD に準拠していなければなりません。
下の節では、amadmin 構文を使ってリソースバンドルの追加、検索、および削除を行う方法について説明します。
amadmin -u|--runasdn <ユーザーの DN> -w|--password <ユーザーのパスワード>
-b|--addresourcebundle <リソースバンドル名>
-i|--resourcebundlefilename <リソースバンドルファイル名>
[-R|--resourcelocale] <ロケール>
amadmin -u|--runasdn <ユーザーの DN> -w|--password <ユーザーのパスワード>
-z|--getresourcestrings <リソースバンドル名>
[-R|--resourcelocale] <ロケール>
amadmin -u|--runasdn <ユーザーの DN> -w|--password <ユーザーのパスワード>
-j|--deleteresourcebundle <リソースバンドル名>
[-R|--resourcelocale] <ロケール>
この章では、amPassword コマンド行ツールについて説明します。この章は、次の節で構成されています。
Access Manager の ampassword ユーティリティーは、Solaris システム上では /opt/SUNWam/bin に、Linux システム上では /opt/sun/Identity/bin にあります。ampassword ユーティリティーを使用すると、管理者またはユーザーの Directory Server パスワードを変更できます。
serverconfig.xml ファイルを修正します。このファイルは、次のディレクトリにあります。
AccessManager-base/SUNWam/config/ |
サーバー属性 port を Access Manager を実行している SSL ポートに変更します。
type 属性を SSL に変更します。
次に例を示します。
<iPlanetDataAccessLayer> <ServerGroup name="default" minConnPool="1" maxConnPool="10"> <Server name="Server1" host="sun.com" port="636" type="SSL" /> <User name="User1" type="proxy"> <DirDN> cn=puser,ou=DSAME Users,dc=iplanet,dc=com </DirDN> <DirPassword> AQIC5wM2LY4Sfcy+AQBQxghVwhBE92i78cqf </DirPassword> </User> ... |
ampassword では、Directory Server 内のパスワードだけが変更されます。Access Manager のすべての認証テンプレートおよび ServerConfig.xml にあるパスワードは、手動で変更する必要があります。
この章では、bak2am コマンド行ツールについて説明します。この章は、次の節で構成されています。
Access Manager の bak2am ユーティリティーは AccessManager-base/SUNWam/bin にあります。bak2am ユーティリティーでは、am2back ユーティリティーでバックアップした Access Manager コンポーネントを復元します。
Solaris オペレーティングシステムで bak2am ツールを使用するための一般的な構文は次のとおりです。
./bak2am [ -v | --verbose ] -z | --gzip tar.gz ファイル ./bak2am [ -v | --verbose ] -t | --tar tar ファイル ./bak2am -h | --help ./bak2am -n | --version
Microsoft Windows 2000 オペレーティングシステムで bak2am ツールを使用するための一般的な構文は次のとおりです。
bak2am [ -v | --verbose ] -d | --directory ディレクトリ名 bak2am -h | --help bak2am -n | --version
2 連続するハイフンは、構文に示すとおりに入力する必要があります。
--gzip は、tar.gz 形式のバックアップファイルのフルパスとファイル名を指定します。デフォルトのパスは、AccessManager-base/backup です。Solaris 専用のオプションです。
--tar は、tar 形式のバックアップファイルのフルパスとファイル名を指定します。デフォルトのパスは、AccessManager-base/backup です。Solaris 専用のオプションです。
--verbose は、バックアップユーティリティーを冗長モードで実行するときに使用します。
--directory は、バックアップのあるディレクトリを指定します。デフォルトのパスは、AccessManager-base/backup です。Microsoft Windows 2000 専用のオプションです。
--help は、bak2am コマンドの構文を表示する引数です。
--version は、ユーティリティー名、製品名、製品バージョン、および法律上の通知を表示する引数です。
この章では、am2bak コマンド行ツールについて説明します。
Access Manager の am2bak ユーティリティーは AccessManager-base/SUNWam/bin にあります。am2bak ユーティリティーは、Access Manager のコンポーネントのすべてまたは一部をバックアップします。ログのバックアップ中は、Directory Server を実行している必要があります。
Solaris オペレーティングシステムで am2bak ツールを使用するための一般的な構文は次のとおりです。
./am2bak [ -v | --verbose ] [ -k | --backup バックアップ名 ] [ -l | --location 場所 ] [[-c | --config] | [-b | --debug] | [-g | --log] | [-t | --cert] | [-d | --ds] | [-a | --all]]*
./am2bak -h | --help
./am2bak -n | --version
Microsoft Windows 2000 オペレーティングシステムで am2bak ツールを使用するための一般的な構文は次のとおりです。
am2bak [ -v | --verbose ] [ -k | --backup バックアップ名 ] [ -l | --location 場所 ] [[-c | --config] | [-b | --debug] | [-g | --log] | [-t | --cert] | [-d | --ds] | [-a | --all]]*
am2bak -h | --help
am2bak -n | --version
2 連続するハイフンは、構文に示すとおりに入力する必要があります。
--verbose は、バックアップユーティリティーを冗長モードで実行するときに使用します。
--backup バックアップ名 は、バックアップファイルの名前を定義します。デフォルトは ambak です。
--location は、バックアップに使用するディレクトリの場所を指定します。デフォルトの場所は AccessManager-base/backup です。
--config は、設定ファイルのみバックアップすることを指定します。
--debug は、デバッグファイルのみバックアップすることを指定します。
--log は、ログファイルのみバックアップすることを指定します。
--cert は、証明書データベースファイルのみバックアップすることを指定します。
--ds は、Directory Server のみバックアップすることを指定します。
--all は、Access Manager 全体を完全バックアップすることを指定します。
--help は、am2bak コマンドの構文を表示する引数です。
--version は、ユーティリティー名、製品名、製品バージョン、および法律上の通知を表示する引数です。
ルートユーザーでログインします。
このスクリプトを実行するには、ルートユーザーのアクセス権が必要です。
必要に応じて、正しいパスを使用していることを確認するためのスクリプトを実行します。
このスクリプトでは、次の Solaris™ オペレーティング環境ファイルをバックアップします。
設定ファイルおよびカスタマイズファイル
AccessManager-base/SUNWam/config/
AccessManager-base/SUNWam/locale/
AccessManager-base/SUNWam/servers/httpacl
AccessManager-base/SUNWam/lib/*.properties (Java プロパティーファイル)
AccessManager-base/SUNWam/bin/amserver. インスタンス名
AccessManager-base/SUNWam/servers/https- すべてのインスタンス
AccessManager-base/SUNWam/servers/web-apps- すべてのインスタンス
AccessManager-base/SUNWam/web-apps/services/WEB-INF/config
AccessManager-base/SUNWam/web-apps/services/config
AccessManager-base/SUNWam/web-apps/applications/WEB-INF/classes
AccessManager-base/SUNWam/web-apps/applications/console
/etc/rc3.d/K55amserver.すべてのインスタンス
/etc/rc3.d/S55amserver.すべてのインスタンス
DirectoryServer-base/slapd- host /config/schema/
DirectoryServer-base/slapd- host /config/slapd-collations.conf
Access Manager/slapd- host /config/dse.ldif
ログファイルおよびデバッグファイル
var/opt/SUNWam/logs (Access Manager ログファイル)
var/opt/SUNWam/install (Access Manager インストールログファイル)
var/opt/SUNWam/debug (Access Manager デバッグファイル)
証明書
Access Manager/SUNWam/servers/alias
Access Manager/alias
スクリプトでは、次の Microsoft® Windows 2000 オペレーティングシステムファイルもバックアップされます。
設定ファイルおよびカスタマイズファイル
AccessManager-base/web-apps/services/WEB-INF/config/*
AccessManager-base/locale/*
AccessManager-base/web-apps/applications/WEB-INF/classes/*.properties (Java プロパティーファイル)
AccessManager-base/servers/https- host/config/jvm12.conf
AccessManager-base/servers/https- host/config/magnus.conf
AccessManager-base/servers/https- host/config/obj.conf
DirectoryServer-base/slapd-host/config/schema/*.ldif
DirectoryServer-base/slapd-host/config/slapd-collations.conf
DirectoryServer-base/slapd-host/config/dse.ldif
ログファイルおよびデバッグファイル
var/opt/logs (Access Manager ログファイル)
var/opt/debug (Access Manager デバッグファイル)
証明書
AccessManager-base/servers/alias
AccessManager/alias
この章では、amserver コマンド行ツールについて説明します。この章は、次の節で構成されています。
amserver コマンド行実行可能ファイルでは、それぞれ UNIX 認証モジュールと SecurID 認証モジュールに関連する amunixd ヘルパーと amsercuridd ヘルパーの起動と停止を行います。
amserver ツールの一般的な構文は次のとおりです。
./amserver { start | stop }
start は、ヘルパーを開始するコマンドです。
stop は、ヘルパーを停止するコマンドです。
この章では、VerifyArchive コマンド行ツールについて説明します。この章は、次の節で構成されています。
VerifyArchive は、ログアーカイブを検証するために使用します。ログアーカイブとは、タイムスタンプ付きのログと、対応するキーストアのセットのことです。キーストアには、ログファイルの改ざんを検出するための MAC およびデジタル署名を生成するために使用する鍵が含まれます。アーカイブの検証では、アーカイブ内の、改ざんされたり削除されたりした可能性のあるファイルを検出します。
VerifyArchive では、指定された logName に対して、すべてのアーカイブセットと、各アーカイブセットに属するすべてのファイルを抽出します。VerifyArchive を実行すると、各ログレコードで改ざんを探します。改ざんが検出されると、改ざんのあったファイルとそのレコードの番号を知らせるメッセージが出力されます。
VerifyArchive では、アーカイブセットから削除されたファイルも確認します。削除されたファイルが検出されると、検証に失敗したことを知らせるメッセージが出力されます。改ざんまたは削除されたファイルが検出されなかった場合は、アーカイブの検証が正常に終了したことを知らせるメッセージが返されます。
管理者権限を持っていないユーザーが amverifyarchive を実行すると、エラーが発生する場合があります。
すべてのパラメータは必須です。構文は次のとおりです。
amverifyarchive -l logName -p path -u uname -w password
logName は、検証されるログの名前 (amConsole、amAuthentication など) を指定します。VerifyArchive では、指定された logName に対してアクセスログとエラーログの両方を検証します。たとえば amConsole を指定すると、amConsole.access および amConsole.error ファイルが検証されます。また、logName に amConsole.access または amConsole.error と指定することで、検証をこれらのログに制限できます。
path は、ログファイルが格納されているディレクトリのフルパスです。
uname は、Access Manager 管理者のユーザー ID です。
password は、Access Manager 管理者のパスワードです。
この章では、amsecuridd ヘルパーについて説明します。この章は、次の節で構成されています。
Access Manager の SecurID 認証モジュールは、Security Dynamic ACE/Client C API と amsecuridd ヘルパーを使って実装されます。このヘルパーは、Access Manager の SecurID 認証モジュールと SecurID Server の間の通信を行います。SecurID 認証モジュールは、localhost:57943 へのソケットを開いて amsecuridd デーモンを呼び出し、SecurID 認証要求を待機します。
57943 はデフォルトのポート番号です。このポート番号がすでに使用されている場合は、SecurID 認証モジュールの SecurID ヘルパー認証ポート属性で別のポート番号を指定できます。このポート番号は、すべての組織で一意でなければなりません。
amsecuridd へのインタフェースは、stdin を介したクリアテキスト形式なので、ローカルホスト接続だけが許可されます。amsecuridd は、バックエンドで SecurID リモート API (バージョン 5.x) を使ってデータを暗号化します。
amsecuridd ヘルパーは、認定情報を受け取るために、デフォルトではポート番号 58943 で待機します。このポートがすでに使用されている場合は、AMConfig.properties ファイルの securidHelper.ports 属性でポートを変更できます。このファイルはデフォルトで、AccessManager-base/SUNWam/config/ にあります。securidHelp.ports 属性には、amsecuridd ヘルパーの各インスタンスのポートが、スペース区切りのリストとして格納されています。AMConfig.properties に加えた変更を保存したら、Access Manager を再起動してください。
異なる sdconf.rec ファイルを持つ別々の ACE/Server と通信する組織ごとに、個別の amsecuridd インスタンスを実行する必要があります。
構文は次のとおりです。
amsecuridd [-v] [-c ポート番号]
冗長モードをオンにし、/var/opt/SUNWam/debug/securidd_client.debug にログを記録します。
待機ポート番号を設定します。デフォルトは 58943 です。
amsecuridd は、デフォルトで AccessManager-base /SUNWam/share/bin にあります。デフォルトのポートでヘルパーを実行するには、オプションを指定せずに次のコマンドを入力します。
./amsecuridd
デフォルト以外のポートでヘルパーを実行するには、次のコマンドを入力します。
./amsecuridd [-v] [-c ポート番号]
amsecuridd を amserver コマンド行ユーティリティーから実行することもできますが、常にデフォルトポートでの実行になります。
このヘルパーを実行するには、次のライブラリが必要です。これらのほとんどは、オペレーティングシステムの /usr/lib/ にあります。
libnsl.so.1
libthread.so.1
libc.so.1
libdl.so.1
libmp.so.2
librt.so.1
libaio.so.1
libmd5.so.1
libaceclnt.so が見つかるように、LD_LIBRARY_PATH を AccessManager-base/Sunwam/lib/ に設定します。