ヘッダーをスキップ
Oracle® Complex Event Processing管理者ガイド
11g リリース1(11.1.1.4.0)
B61653-02
  目次へ移動
目次
索引へ移動
索引

前
 
次
 

C セキュリティ・ユーティリティ・コマンドライン・リファレンス

Oracle CEPには、セキュリティを構成するための次のコマンドライン・ユーティリティが用意されています。

C.1 cssconfigコマンドライン・ユーティリティ

cssconfigコマンドライン・ユーティリティは、パスワード・ポリシーを適用するセキュリティ構成ファイル(security.xml)を生成するときに使用します。

cssconfigユーティリティはORACLE_CEP_HOME/ocep_11.1/binディレクトリにあります。ORACLE_CEP_HOMEは、d:\oracle_cepなどのOracle CEPメイン・インストール・ディレクトリです。このユーティリティには次の2種類があります。

このユーティリティのUnixバージョンは、#!/bin/kshディレクティブで起動します。ほとんどのUnixシステムでは、このディレクティブにより、ユーティリティ使用時にKorn Shellプログラムが使用されます。kshプログラムがbinディレクトリにない場合、または使用しているシェル言語でユーティリティを正しく実行できない場合は、次のようにしてユーティリティを実行してください。

prompt> $PATH_TO_KSH_BIN/ksh -c cssconfig.sh

PATH_TO_KSH_BINkshプログラムの完全修飾パスです。

C.1.1 cssconfigの構文

cssconfig -p propertyfile [-c configfile] -i inputkeyfile [-d]

説明:

  • propertyfileは、必要な構成を定義するためにユーザーが指定したセキュリティ構成プロパティを含むファイルです。このオプションは必須です。詳細は、例10-1を参照してください。

  • configfileは、生成されるファイルの名前です。このプロパティはオプションで、デフォルト値はsecurity.xmlです。

  • inputkeyfileは、セキュリティ構成ファイルの生成に使用される入力キー・ファイルの完全修飾名です。このオプションは構成ディレクトリのsecurity-key.datファイルに設定します。

  • -dでデバッグが有効になります。

C.2 encryptMSAConfigコマンドライン・ユーティリティ

encryptMSAConfig暗号化コマンドライン・ユーティリティは、XMLファイルの<password>要素によって指定されたクリアテキストのパスワードを暗号化するときに使用します。<password>要素が含まれている可能性があるXMLファイルの例は、次のとおりです。

encryptMSAConfigユーティリティはORACLE_CEP_HOME/ocep_11.1/binディレクトリにあります。ORACLE_CEP_HOMEは、d:\oracle_cepなどのOracle CEPメイン・インストール・ディレクトリです。このユーティリティには次の2種類があります。

C.2.1 encryptMSAConfigの構文

encryptMSAConfig directory XML_file msainternal.dat_file

説明:

  • directoryは、クリアテキストの<password>要素を含むXMLファイルがあるディレクトリです。

  • XML_fileは、XMLファイルの名前です。

  • msainternal.dat_fileパラメータは、ドメインに関連付けられている.msainternal.datファイルの場所です。このファイルはORACLE_CEP_HOME/user_projects/domains/DOMAIN/SERVERディレクトリにあります。ORACLE_CEP_HOMEd:\oracle_cepなどのOracle CEPメイン・インストール・ディレクトリで、DOMAINはドメイン・ディレクトリ(myDomainなど)です。SERVERは、サーバー・インスタンス(myServerなど)です。

例:

prompt> pwd
C:\OracleCEP\user_projects\domains\ocep_domain\defaultserver
prompt> C:\OracleCEP\ocep_11.1\bin\encryptMSAConfig.cmd . config\config.xml .msainternal.dat

コマンドを実行すると、XML_filepassword要素の値が暗号化されます。

C.3 GrabCertコマンドライン・ユーティリティ

GrabCertコマンドライン・ユーティリティは、既存の信頼キーストアから取得した証明書を含む信頼キーストアを生成するときに使用します。

GrabCertユーティリティはORACLE_CEP_HOME/ocep_11.1/utils/security/wlevsgrabcert.jarファイルにあります。ORACLE_CEP_HOMEは、Oracle CEPインストール・ディレクトリ(d:/oracle_cepなど)です。

C.3.1 GrabCertの構文

java GrabCert host:secureport [-alias=alias] [-noinput] [truststorepath]

説明:

表C-1 GrabCertの引数

オプション 説明 デフォルト値

host

証明書のコピー元となるOracle CEPサーバーのホスト名。


secureport

host上のSSLポート

詳細は、10.5.1項「手動でSSLの構成方法」例10-5を参照してください。

9003

alias

信頼キーストアの証明書の別名。

host

-noinput

-noinputオプションを使用して、hostからのすべての証明書をコピーするようにGrabCertに指示します。

hostの利用可能なすべての証明書をリストして、そのリストから1つの証明書を選択するようプロンプトするようにGrabCertに指示する場合は、-noinputオプションを省略します。


truststorepath

host上の生成される信頼キーストア・ファイルのフルパス名。

evstrust.jks


C.3.2 GrabCertの使用例

例:

prompt> java GrabCert ariel:9003 -alias=ariel evstrust.jks

他の例は、10.5.3項「マルチサーバー・ドメインでOracle CEP Visualizer向けにSSLを構成する方法」を参照してください。

C.4 passgenコマンドライン・ユーティリティ

passgenコマンドライン・ユーティリティは、ユーザーのパスワードをセキュリティ・データベースに追加するためにハッシュ化するときに使用します。


注意:

passgenコマンド・ライン・ユーティリティは、Oracle CEPバージョン10.3で非推奨になりました。これは必要なタスクが構成ウィザードで自動的に実行されるようになったためです。

passgenユーティリティはORACLE_CEP_HOME/ocep_11.1/binディレクトリにあります。ORACLE_CEP_HOMEは、d:\oracle_cepなどのOracle CEPメイン・インストール・ディレクトリです。このユーティリティには次の2種類があります。

C.4.1 passgenの構文

passgen [-a algorithm] [-s saltsize] [-h] [-?] [password]*

説明:

表C-2 passgenの引数

オプション 説明 デフォルト値
-a

algorithmは、使用するハッシュ・アルゴリズムを指定します。

  • SHA-1

  • MD2

  • MD5

  • SSHA

  • SHA-256

設定できるアルゴリズムの実際のリストは、JDKにプラグインされているセキュリティ・プロバイダによって異なります。

指定しない場合、デフォルトはSHA-1です。

-s

saltsizeは、固有のハッシュ文字列を作成するために追加されるsalt文字の数です。

指定しない場合、デフォルトは4です。

-h, -?

コマンド・ライン・オプションを表示して終了します。


password

コマンド・ライン上にパスワードが指定された場合は、パスワードをハッシュ化し、1行につき1つずつ左から右の順に出力します。コマンド・ライン上にパスワードが指定されない場合は、パスワードの入力を求め、対話形式でパスワードをハッシュ化します。




注意:

Windowsオペレーティング・システムではこのユーティリティの.cmdバージョンを、Unixプラットフォームでは.shバージョンを使用する必要があります。

このユーティリティのUnixバージョンは、#!/bin/kshディレクティブで起動します。ほとんどのUnixシステムでは、このディレクティブにより、ユーティリティ使用時にKorn Shellプログラムが使用されます。kshプログラムがbinディレクトリにない場合、または使用しているシェル言語でユーティリティを正しく実行できない場合は、次のようにしてユーティリティを実行してください。

$PATH_TO_KSH_BIN/ksh -c passgen.sh

PATH_TO_KSH_BINは、kshプログラムの完全修飾パスです。

C.4.2 passgenの使用例

次の項には、passgenユーティリティの使用例を示します。

C.4.2.1 対話形式でのpassgenの使用

passgenユーティリティを対話形式で使用する例を次に示します。

$ passgen
Password ("quit" to end): maltese
{SHA-1}LOtYvfQZj++4rV50AKpAvwMlQjqVd7ge
Password ("quit" to end): falcon
{SHA-1}u7NPQfgkHISr0tZUsmPrPmr3U1LKcAdP
Password ("quit" to end): quit
{SHA-1}2pPo4ViKsoNct3lTDoLeg9gHYZwQ47sV

このモードでは、パスワードを入力すると、ハッシュ化されたバージョンのパスワードが表示されます。そのハッシュ化されたバージョンのパスワードをセキュリティ・データベースのパスワード・フィールドに入力できます。


注意:

例では、デモンストレーション目的でパスワードが画面上にエコーされるようになっています。ほとんどの場合、パスワードを表示することはありません(プラットフォームがパスワードの非表示をサポートしていない場合を除く)。

C.4.2.2 コマンドラインでのパスワードの入力

コマンドライン上に入力されたパスワードをハッシュ化する場合のpassgenユーティリティの使用例を次に示します。

$ passgen maltese falcon
{SHA-1}g0PNXmJW0OBtp/GkHrhNAhpbjM+capNe
{SHA-1}2ivZnjnKD9fordC1YFkrVGf0DHL6SVP1

複数のパスワードが入力された場合、左から右にハッシュ化が行われます。

  • {SHA-1}g0PNXmJW0OBtp/GkHrhNAhpbjM+capNeは、malteseのハッシュ化です。

  • {SHA-1}2ivZnjnKD9fordC1YFkrVGf0DHL6SVP1は、falconのハッシュ化です。

C.5 secgenコマンドライン・ユーティリティ

secgenコマンドライン・ユーティリティは、暗号化されたパスワードを使用するセキュリティ・キーまたはセキュリティ構成ファイルを生成するときに使用します。


警告:

secgenコマンド・ライン・ユーティリティはOracle CEPバージョン10.3で非推奨になりました。これは必要なタスクが構成ウィザードで自動的に実行されるようになったためです。


注意:

このユーティリティで作成されるセキュリティ・ファイルにはパスワード・ポリシーは適用されません。パスワード・ポリシーが必要な場合は、このユーティリティではなくcssconfigコマンドライン・ユーティリティを使用します。C.1項「cssconfigコマンドライン・ユーティリティ」を参照してください。

secgenユーティリティはORACLE_CEP_HOME/ocep_11.1/binディレクトリにあります。ORACLE_CEP_HOMEは、d:\oracle_cepなどのOracle CEPメイン・インストール・ディレクトリです。このユーティリティには次の2種類があります。

C.5.1 ファイルベースのプロバイダ構成ファイルの生成

ファイル・ベースのセキュリティ・プロバイダ構成ファイルを生成するには、次のコマンド・ライン・オプションを使用します。

secgen -F [-o outputfile] [-i inputkeyfile] [-e] [-P PropertyFilePath]

説明:

表C-3 ファイルベースのプロバイダ構成ファイルのsecgen引数

オプション 説明 コメント
-F

ファイルベースのセキュリティ・プロバイダ・ファイルを生成します。-kオプションと同時には使用できません。

指定しない場合は-kが想定されます。

-o

outputfileは、生成されるファイルの名前です。

デフォルトの出力ファイル名はsecurity.xmlです。

-i

inputkeyfileは、入力キー・ファイルの完全修飾名です。

指定しない場合は、デフォルトの入力キー・ファイルのsecurity-key.datが想定されます。

-e

認可時に完全一致の裁決を有効にします。


-P

PropertyFilePathは、プロバイダの構成をカスタマイズするために使用できるsecgenプロパティ・ファイルの完全修飾パスです。

詳細は、C.5.3項「secgenプロパティ・ファイルの使用」を参照してください。

SecGenTemplate.propertiesテンプレート・ファイルはORACLE_CEP_HOME/ocep_11.1/binにあります。ORACLE_CEP_HOMEは、/oracle_cepなどのOracle CEPメイン・インストール・ディレクトリです。


C.5.2 キー・ファイルの生成

セキュリティ・キー・ファイルを生成するには、次のコマンド・ライン・オプションを使用します。

 secgen [-k] [-o outputfile] 

説明:

表C-4 キー・ファイルのsecgen引数

オプション 説明 コメント
-k

キー・ファイルを生成します。-Fオプションと同時には使用できません。

指定しない場合は-kが想定されます。

-o

outputfileは、生成されるファイルの名前です。

デフォルトの出力ファイル名はsecurity-key.datです。


C.5.3 secgenプロパティ・ファイルの使用

secgenを実行する際、-Pオプションを使用してプロパティ・ファイルを指定し、プロバイダ構成をカスタマイズできます。SecGenTemplate.propertiesテンプレート・ファイルはORACLE_CEP_HOME/ocep_11.1/binにあります。ORACLE_CEP_HOMEは、/oracle_cepなどのOracle CEPメイン・インストール・ディレクトリです。

プロパティ・ファイルではクリア・テキストのパスワードを指定しますが、指定したパスワードは、生成される構成ファイルに暗号化されて格納されます。

次の例は、ファイル・ベースでのプロバイダのカスタマイズに使用するプロパティ・ファイルを示しています。

#File based provider related
file.atn.file.store.path=myfileatnstore.txt
file.atn.file.store.password=firewall
file.atn.user.password.style=HASHED
file.atn.file.store.encrypted=true
file.atz.file.store.path=filatz
file.atz.file.store.password=firewall
file.rm.file.store.path=filerm
file.rm.file.store.password=firewall
file.cm.file.store.path=filecm
file.cm.file.store.password=firewall

file.atn.user.password.styleの有効な値は次のとおりです。

  • HASHED

  • REVERSIBLEENCRYPTED

C.5.4 secgenの使用例

次の例は、secgenユーティリティを使用して、myKeyFile.datというキー・ファイルを生成する方法を示しています。

prompt> secgen -k -o myKeyFile.dat

次の例は、secgenユーティリティを使用して、myConfigFile.xmlという名前のファイルベースのセキュリティ・プロバイダ構成ファイルを生成する方法を示しています。この例では、myKeyFile.datという事前に生成したキー・ファイルおよびmySecGen.propertiesというプロパティ・ファイルも使用しています。

prompt> secgen -F -i myKeyFile.dat -o myConfigFile.xml -P  c:\msa\myMSAConfig\mySecGen.properties

C.5.5 secgenの制限

Windowsオペレーティング・システムではこのユーティリティの.cmdバージョンを、Unixプラットフォームでは.shバージョンを使用する必要があります。

このユーティリティのUnixバージョンは、#!/bin/kshディレクティブで起動します。ほとんどのUnixシステムでは、このディレクティブにより、ユーティリティ使用時にKorn Shellプログラムが使用されます。kshプログラムがbinディレクトリにない場合、または使用しているシェル言語でユーティリティを正しく実行できない場合は、次のようにしてユーティリティを実行してください。

prompt> $PATH_TO_KSH_BIN/ksh -c secgen.sh

PATH_TO_KSH_BINkshプログラムの完全修飾パスです。