C セキュリティ・ユーティリティ・コマンドライン・リファレンス

Oracle CEPには、セキュリティを構成するための次のコマンドライン・ユーティリティが用意されています。

C.1項「cssconfigコマンドライン・ユーティリティ」
C.2項「encryptMSAConfigコマンドライン・ユーティリティ」
C.3項「GrabCertコマンドライン・ユーティリティ」
C.4項「passgenコマンドライン・ユーティリティ」(非推奨)
C.5項「secgenコマンドライン・ユーティリティ」(非推奨)

C.1 cssconfigコマンドライン・ユーティリティ

cssconfigコマンドライン・ユーティリティは、パスワード・ポリシーを適用するセキュリティ構成ファイル(security.xml)を生成するときに使用します。

cssconfigユーティリティはORACLE_CEP_HOME/ocep_11.1/binディレクトリにあります。ORACLE_CEP_HOMEは、d:\oracle_cepなどのOracle CEPメイン・インストール・ディレクトリです。このユーティリティには次の2種類があります。

cssconfig.cmd (Windowsの場合)
cssconfig.sh (UNIXの場合)

このユーティリティのUnixバージョンは、#!/bin/kshディレクティブで起動します。ほとんどのUnixシステムでは、このディレクティブにより、ユーティリティ使用時にKorn Shellプログラムが使用されます。kshプログラムがbinディレクトリにない場合、または使用しているシェル言語でユーティリティを正しく実行できない場合は、次のようにしてユーティリティを実行してください。

prompt> $PATH_TO_KSH_BIN/ksh -c cssconfig.sh

PATH_TO_KSH_BINはkshプログラムの完全修飾パスです。

C.1.1 cssconfigの構文

cssconfig -p propertyfile [-c configfile] -i inputkeyfile [-d]

説明:

propertyfileは、必要な構成を定義するためにユーザーが指定したセキュリティ構成プロパティを含むファイルです。このオプションは必須です。詳細は、例10-1を参照してください。
configfileは、生成されるファイルの名前です。このプロパティはオプションで、デフォルト値はsecurity.xmlです。
inputkeyfileは、セキュリティ構成ファイルの生成に使用される入力キー・ファイルの完全修飾名です。このオプションは構成ディレクトリのsecurity-key.datファイルに設定します。
-dでデバッグが有効になります。

C.2 encryptMSAConfigコマンドライン・ユーティリティ

encryptMSAConfig暗号化コマンドライン・ユーティリティは、XMLファイルの<password>要素によって指定されたクリアテキストのパスワードを暗号化するときに使用します。<password>要素が含まれている可能性があるXMLファイルの例は、次のとおりです。

config.xml
security-config.xml
コンポーネント構成ファイル

encryptMSAConfigユーティリティはORACLE_CEP_HOME/ocep_11.1/binディレクトリにあります。ORACLE_CEP_HOMEは、d:\oracle_cepなどのOracle CEPメイン・インストール・ディレクトリです。このユーティリティには次の2種類があります。

encryptMSAConfig.cmd (Windowsの場合)
encryptMSAConfig.sh (UNIXの場合)

C.2.1 encryptMSAConfigの構文

encryptMSAConfig directory XML_file msainternal.dat_file

説明:

directoryは、クリアテキストの<password>要素を含むXMLファイルがあるディレクトリです。
XML_fileは、XMLファイルの名前です。
msainternal.dat_fileパラメータは、ドメインに関連付けられている.msainternal.datファイルの場所です。このファイルはORACLE_CEP_HOME/user_projects/domains/DOMAIN/SERVERディレクトリにあります。ORACLE_CEP_HOMEはd:\oracle_cepなどのOracle CEPメイン・インストール・ディレクトリで、DOMAINはドメイン・ディレクトリ(myDomainなど)です。SERVERは、サーバー・インスタンス(myServerなど)です。

例:

prompt> pwd
C:\OracleCEP\user_projects\domains\ocep_domain\defaultserver
prompt> C:\OracleCEP\ocep_11.1\bin\encryptMSAConfig.cmd . config\config.xml .msainternal.dat

コマンドを実行すると、XML_fileのpassword要素の値が暗号化されます。

C.3 GrabCertコマンドライン・ユーティリティ

GrabCertコマンドライン・ユーティリティは、既存の信頼キーストアから取得した証明書を含む信頼キーストアを生成するときに使用します。

GrabCertユーティリティはORACLE_CEP_HOME/ocep_11.1/utils/security/wlevsgrabcert.jarファイルにあります。ORACLE_CEP_HOMEは、Oracle CEPインストール・ディレクトリ(d:/oracle_cepなど)です。

C.3.1 GrabCertの構文

java GrabCert host:secureport [-alias=alias] [-noinput] [truststorepath]

説明:

表C-1 GrabCertの引数

オプション	説明	デフォルト値
`host`	証明書のコピー元となるOracle CEPサーバーのホスト名。
`secureport`	`host`上のSSLポート詳細は、10.5.1項「手動でSSLの構成方法」の例10-5を参照してください。	9003
`alias`	信頼キーストアの証明書の別名。	`host`
`-noinput`	`-noinput`オプションを使用して、`host`からのすべての証明書をコピーするように`GrabCert`に指示します。 `host`の利用可能なすべての証明書をリストして、そのリストから1つの証明書を選択するようプロンプトするように`GrabCert`に指示する場合は、`-noinput`オプションを省略します。
`truststorepath`	`host`上の生成される信頼キーストア・ファイルのフルパス名。	`evstrust.jks`

C.3.2 GrabCertの使用例

例:

prompt> java GrabCert ariel:9003 -alias=ariel evstrust.jks

他の例は、10.5.3項「マルチサーバー・ドメインでOracle CEP Visualizer向けにSSLを構成する方法」を参照してください。

C.4 passgenコマンドライン・ユーティリティ

passgenコマンドライン・ユーティリティは、ユーザーのパスワードをセキュリティ・データベースに追加するためにハッシュ化するときに使用します。

注意:

passgenコマンド・ライン・ユーティリティは、Oracle CEPバージョン10.3で非推奨になりました。これは必要なタスクが構成ウィザードで自動的に実行されるようになったためです。

passgenユーティリティはORACLE_CEP_HOME/ocep_11.1/binディレクトリにあります。ORACLE_CEP_HOMEは、d:\oracle_cepなどのOracle CEPメイン・インストール・ディレクトリです。このユーティリティには次の2種類があります。

passgen.cmd (Windowsの場合)
passgen.sh (UNIXの場合)

C.4.1 passgenの構文

passgen [-a algorithm] [-s saltsize] [-h] [-?] [password]*

説明:

表C-2 passgenの引数

オプション	説明	デフォルト値
-a	`algorithm`は、使用するハッシュ・アルゴリズムを指定します。 SHA-1 MD2 MD5 SSHA SHA-256 設定できるアルゴリズムの実際のリストは、JDKにプラグインされているセキュリティ・プロバイダによって異なります。	指定しない場合、デフォルトはSHA-1です。
-s	`saltsize`は、固有のハッシュ文字列を作成するために追加されるsalt文字の数です。	指定しない場合、デフォルトは4です。
-h, -?	コマンド・ライン・オプションを表示して終了します。
password	コマンド・ライン上にパスワードが指定された場合は、パスワードをハッシュ化し、1行につき1つずつ左から右の順に出力します。コマンド・ライン上にパスワードが指定されない場合は、パスワードの入力を求め、対話形式でパスワードをハッシュ化します。

注意:

Windowsオペレーティング・システムではこのユーティリティの.cmdバージョンを、Unixプラットフォームでは.shバージョンを使用する必要があります。

$PATH_TO_KSH_BIN/ksh -c passgen.sh

PATH_TO_KSH_BINは、kshプログラムの完全修飾パスです。

C.4.2 passgenの使用例

次の項には、passgenユーティリティの使用例を示します。

C.4.2.1項「対話形式でのpassgenの使用」
C.4.2.2項「コマンドラインでのパスワードの入力」

C.4.2.1 対話形式でのpassgenの使用

passgenユーティリティを対話形式で使用する例を次に示します。

$ passgen
Password ("quit" to end): maltese
{SHA-1}LOtYvfQZj++4rV50AKpAvwMlQjqVd7ge
Password ("quit" to end): falcon
{SHA-1}u7NPQfgkHISr0tZUsmPrPmr3U1LKcAdP
Password ("quit" to end): quit
{SHA-1}2pPo4ViKsoNct3lTDoLeg9gHYZwQ47sV

このモードでは、パスワードを入力すると、ハッシュ化されたバージョンのパスワードが表示されます。そのハッシュ化されたバージョンのパスワードをセキュリティ・データベースのパスワード・フィールドに入力できます。

注意:

例では、デモンストレーション目的でパスワードが画面上にエコーされるようになっています。ほとんどの場合、パスワードを表示することはありません(プラットフォームがパスワードの非表示をサポートしていない場合を除く)。

C.4.2.2 コマンドラインでのパスワードの入力

コマンドライン上に入力されたパスワードをハッシュ化する場合のpassgenユーティリティの使用例を次に示します。

$ passgen maltese falcon
{SHA-1}g0PNXmJW0OBtp/GkHrhNAhpbjM+capNe
{SHA-1}2ivZnjnKD9fordC1YFkrVGf0DHL6SVP1

複数のパスワードが入力された場合、左から右にハッシュ化が行われます。

{SHA-1}g0PNXmJW0OBtp/GkHrhNAhpbjM+capNeは、malteseのハッシュ化です。
{SHA-1}2ivZnjnKD9fordC1YFkrVGf0DHL6SVP1は、falconのハッシュ化です。

C.5 secgenコマンドライン・ユーティリティ

secgenコマンドライン・ユーティリティは、暗号化されたパスワードを使用するセキュリティ・キーまたはセキュリティ構成ファイルを生成するときに使用します。

警告:

secgenコマンド・ライン・ユーティリティはOracle CEPバージョン10.3で非推奨になりました。これは必要なタスクが構成ウィザードで自動的に実行されるようになったためです。

注意:

このユーティリティで作成されるセキュリティ・ファイルにはパスワード・ポリシーは適用されません。パスワード・ポリシーが必要な場合は、このユーティリティではなくcssconfigコマンドライン・ユーティリティを使用します。C.1項「cssconfigコマンドライン・ユーティリティ」を参照してください。

secgenユーティリティはORACLE_CEP_HOME/ocep_11.1/binディレクトリにあります。ORACLE_CEP_HOMEは、d:\oracle_cepなどのOracle CEPメイン・インストール・ディレクトリです。このユーティリティには次の2種類があります。

secgen.cmd (Windowsの場合)
secgen.sh (UNIXの場合)

C.5.1 ファイルベースのプロバイダ構成ファイルの生成

ファイル・ベースのセキュリティ・プロバイダ構成ファイルを生成するには、次のコマンド・ライン・オプションを使用します。

secgen -F [-o outputfile] [-i inputkeyfile] [-e] [-P PropertyFilePath]

説明:

表C-3 ファイルベースのプロバイダ構成ファイルのsecgen引数

オプション	説明	コメント
-F	ファイルベースのセキュリティ・プロバイダ・ファイルを生成します。`-k`オプションと同時には使用できません。	指定しない場合は`-k`が想定されます。
-o	`outputfile`は、生成されるファイルの名前です。	デフォルトの出力ファイル名は`security.xml`です。
-i	`inputkeyfile`は、入力キー・ファイルの完全修飾名です。	指定しない場合は、デフォルトの入力キー・ファイルの`security-key.dat`が想定されます。
-e	認可時に完全一致の裁決を有効にします。
-P	`PropertyFilePath`は、プロバイダの構成をカスタマイズするために使用できる`secgen`プロパティ・ファイルの完全修飾パスです。詳細は、C.5.3項「secgenプロパティ・ファイルの使用」を参照してください。	`SecGenTemplate.properties`テンプレート・ファイルは`ORACLE_CEP_HOME/ocep_11.1/bin`にあります。`ORACLE_CEP_HOME`は、`/oracle_cep`などのOracle CEPメイン・インストール・ディレクトリです。

C.5.2 キー・ファイルの生成

セキュリティ・キー・ファイルを生成するには、次のコマンド・ライン・オプションを使用します。

 secgen [-k] [-o outputfile]

説明:

表C-4 キー・ファイルのsecgen引数

オプション	説明	コメント
-k	キー・ファイルを生成します。`-F`オプションと同時には使用できません。	指定しない場合は`-k`が想定されます。
-o	`outputfile`は、生成されるファイルの名前です。	デフォルトの出力ファイル名は`security-key.dat`です。

C.5.3 secgenプロパティ・ファイルの使用

secgenを実行する際、-Pオプションを使用してプロパティ・ファイルを指定し、プロバイダ構成をカスタマイズできます。SecGenTemplate.propertiesテンプレート・ファイルはORACLE_CEP_HOME/ocep_11.1/binにあります。ORACLE_CEP_HOMEは、/oracle_cepなどのOracle CEPメイン・インストール・ディレクトリです。

プロパティ・ファイルではクリア・テキストのパスワードを指定しますが、指定したパスワードは、生成される構成ファイルに暗号化されて格納されます。

次の例は、ファイル・ベースでのプロバイダのカスタマイズに使用するプロパティ・ファイルを示しています。

#File based provider related
file.atn.file.store.path=myfileatnstore.txt
file.atn.file.store.password=firewall
file.atn.user.password.style=HASHED
file.atn.file.store.encrypted=true
file.atz.file.store.path=filatz
file.atz.file.store.password=firewall
file.rm.file.store.path=filerm
file.rm.file.store.password=firewall
file.cm.file.store.path=filecm
file.cm.file.store.password=firewall

file.atn.user.password.styleの有効な値は次のとおりです。

HASHED
REVERSIBLEENCRYPTED

C.5.4 secgenの使用例

次の例は、secgenユーティリティを使用して、myKeyFile.datというキー・ファイルを生成する方法を示しています。

prompt> secgen -k -o myKeyFile.dat

次の例は、secgenユーティリティを使用して、myConfigFile.xmlという名前のファイルベースのセキュリティ・プロバイダ構成ファイルを生成する方法を示しています。この例では、myKeyFile.datという事前に生成したキー・ファイルおよびmySecGen.propertiesというプロパティ・ファイルも使用しています。

prompt> secgen -F -i myKeyFile.dat -o myConfigFile.xml -P  c:\msa\myMSAConfig\mySecGen.properties

C.5.5 secgenの制限

prompt> $PATH_TO_KSH_BIN/ksh -c secgen.sh

PATH_TO_KSH_BINはkshプログラムの完全修飾パスです。