ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
マニュアルページセクション 1M: システム管理コマンド Oracle Solaris 11 Information Library (日本語) |
- PKCS#11 KMS プロバイダの構成
kmscfg
kmscfg -p[rofile] Profile_Name
kmscfg -a[gent] Agent_ID
kmscfg -i[paddr] Agent_Address
kmscfg -t[imeout] Transaction_Timeout
kmscfg -f[ailover] Failover_Limit
kmscfg -d[iscovery] Discovery_Freq
kmscfg コマンドは、Solaris 暗号化フレームワークで使用できるように PKCS#11 KMS プロバイダ (pkcs11_kms) を初期化するために使用します。KMS プロバイダが Oracle Key Manager (OKM) と通信するためには、いくつかの構成情報が使用できるようになっている必要があります。この構成データには、使用されるプロファイルの名前、OKM エージェントの名前、OKM アプライアンス (KMA) の IP アドレス、ほかのいくつかのパラメータ (「形式」を参照) などの情報が含まれています。
デフォルトでは、kmscfg はその構成情報を /var/user/kms/$USERNAME に格納します。このディレクトリが存在しない場合は、作成されます。構成が検出済みの場合、ユーザーが既存のデータを上書きすることも可能です。デフォルトの場所は、KMSTOKEN_DIR 環境変数を使って上書きできます。これは、kmscfg を呼び出す前に設定する必要があります。
kmscfg を実行する前に、OKM 管理者はアプライアンスそのものに対して必要な初期化および構成手順を実行して、PKCS11 KMS コンシューマが使用する各プロファイルおよびエージェントを設定しておく必要があります。これらのプロファイルの設定手順は、Oracle の Web サイト (http://docs.oracle.com) にある『Oracle Key Manager Administration Guide』で入手できます。
管理者による KMA の設定が完了したら、Oracle Solaris クライアントで kmscfg を実行してプロバイダを初期化できるように、必要な識別情報 (プロファイル名、エージェント ID、IP アドレス) を提供する必要があります。
次に示すオプションがサポートされています。コマンド行にプロファイル、エージェント ID、または KMA アドレスを指定しない場合、kmscfg によってこれらの項目を入力するように求められます。
OKM で設定されたユーザーエージェント ID。KMS トークンの設定に使用されます。プロファイルとエージェント ID が同じであることは珍しいことではありません (例: MyAgent)。
クライアントが OKM クラスタでほかの KMA の使用状況を検出しようとする頻度 (単位は秒)。指定のない場合、Discovery_Freq はデフォルトの 10 になります。
クライアントが中止するまでに KMA との通信に失敗できる回数。指定のない場合、Failover_Limit はデフォルトの 3 になります。
KMA のアドレス。これは、IPv4 アドレス (xxx.xxx.xxx.xxx) でも IPv6 アドレスでもかまいません。クライアントで設定されたネームサービスによって解決できる名前であれば、完全修飾ホスト名も使用できます。OKM クラスタを使用している場合は、クラスタのメンバーのアドレスも指定できます。
KMS トークンの設定に使用されるプロファイルの名前。プロファイル名とエージェント ID は同じである必要はありませんが、通常は同じにします。
個別の KMS コマンドのタイムアウト期間 (単位は秒)。指定のない場合、この値はデフォルトの 10 になります。
要求された操作の完了後に、kmscfg は次のいずれかのステータス値を返して終了します。
終了に成功しました。
失敗。要求された操作を完了できませんでした。
デフォルトの KMS トークン構成ディレクトリ。
代替の KMS トークン構成ディレクトリ。
属性についての詳細は、attributes(5) を参照してください。
|
pktool(1), attributes(5), pkcs11_kms(5)
『Oracle Key Manager Administration Guide』(http://docs.oracle.com)
PKCS#11 クライアントでは、Oracle Key Manager ソフトウェアバージョン 2.4 が OKM にインストールされている必要があります。
PKCS#11 クライアントが複数のシステムから同じエージェント ID を使用する場合は、そのエージェントをワンタイムパスフレーズフラグの設定なしで作成するようにしてください。このオプションは、一部のメンバーが 2.4 よりも前のバージョンの OKM ソフトウェアを実行している OKM クラスタでは使用できません。エージェントの作成方法については、『OKM Administration Guide』を参照してください。
PKCS#11 クライアントによる鍵の作成に使用する前に、OKM エージェントにはデフォルトの鍵グループが割り当てられている必要があります。デフォルトの鍵グループがエージェントに割り当てられていない場合、操作は CKR_PIN_INCORRECT エラーで失敗します。鍵グループをエージェントに割り当てる方法については、『OKM Administration Guide』を参照してください。