Oracle Label Securityでは、Oracle Internet Directoryを使用するためのコマンドライン・ツールが提供されます。
内容は次のとおりです。
Oracle Label SecurityをOracle Internet Directoryと併用する場合、ディレクトリに格納されるラベル・セキュリティ属性を作成および変更できます。
このコマンドによって、ディレクトリ内のエントリの更新、挿入および削除が実行され、コマンドは、$ORACLE_HOME/bin/olsadmintool
からコールするolsadmintool
という名前のスクリプトを介して実装されます。
注意:
Oracle Label Securityの管理に、Oracle Enterprise Managerで提供されるグラフィカル・ユーザー・インタフェースも使用できます。詳細は、Oracle Enterprise Managerのヘルプを参照してください。
Oracle Label Securityのコマンドは、ポリシー、レベル、グループなどに従って分類できます。
表C-1に、すべてのコマンドと参照先をカテゴリ別に示します。
Oracle Internet Directoryを使用せずにOracle Label Securityを単独で使用する場合は、一部のコマンドにより、指定の目的で使用されるPL/SQLプロシージャが置き換えられます。すでにOracle Internet Directoryを追加するOracle Label Securityを使用しているサイトでは、これらのPL/SQLプロシージャの使用を新規コマンドの使用に切り替える必要があります。
表C-1 Oracle Label Securityカテゴリ別のコマンド
コマンドのカテゴリ | コマンド | 置き換えられるPL/SQL文 |
---|---|---|
ポリシー |
|
|
ポリシー |
|
|
ポリシー |
|
|
ポリシー |
なし、新規 |
|
ポリシー |
なし、新規 |
|
ポリシー内のレベル |
|
|
ポリシー内のレベル |
|
|
ポリシー内のレベル |
|
|
ポリシー内のグループ |
|
|
ポリシー内のグループ |
|
|
ポリシー内のグループ |
|
|
ポリシー内のグループ |
|
|
ポリシー内の区分 |
|
|
ポリシー内の区分 |
|
|
ポリシー内の区分 |
|
|
データ・ラベル |
|
|
データ・ラベル |
|
|
データ・ラベル |
|
|
ユーザー |
なし、新規 |
|
ユーザー |
|
|
プロファイル |
複数のメソッドの使用を置換え。脚注1 |
|
プロファイル |
なし、新規 |
|
プロファイル |
なし、新規 |
|
プロファイル |
なし、新規 |
|
ポリシー管理者 |
なし、新規 |
|
ポリシー管理者 |
なし、新規 |
|
監査 |
|
|
監査 |
|
|
ヘルプ |
なし、新規 |
脚注1
SA_USER_ADMIN
内の複数のメソッドを置換え: SET_LEVELS
、SET_USER_PRIVILEGES
およびSET_DEFAULT_LABEL
olsadmintool
コマンドは、Oracle Label Securityポリシーの管理グループへのエンタープライズ・ユーザーの追加などのタスクを実行します。
olsadmintool
をコマンドラインから実行する必要があります。
olsadmintool
コマンドをコマンド・プロンプトから実行します。特殊文字を使用して特定の操作を実行できます。
olsadmintool
コマンドでは、一部のパラメータはオプションです。オプションのパラメータは、大カッコなどで囲んで示されています。最も一般的な2つの例が[ -b
admin context
]
および[-p
port
]
で、コマンドの管理コンテキストまたはOracle Internet Directoryへの接続に使用するポートを指定することはオプションであることを示します。(デフォルト・ポートは389です。)
単一のダッシュで始まるb
、h
、p
、D
およびw
を除き、すべてのパラメータには2つのダッシュ(スペースなしの--
)を使用する必要があります。2つのダッシュは、使用する名前またはパラメータの完全または長いバージョンを指定する必要があることを示します。このような名前またはパラメータにスペースが含まれている場合は、"これは極端に長い名前またはパラメータです。"のように二重引用符で囲む必要があります。
olsadmintool addadmin
コマンドを使用すると、ポリシーの管理グループにエンタープライズ・ユーザーを追加できます。
これにより、そのユーザーは指定されたポリシーのメタデータを作成、変更または削除できます。ポリシー名および新規管理者のDNを指定する必要があります。このグループには、エンタープライズ・ユーザーのみを含める必要があります。
構文
olsadmintool addadmin --polname policy_name --admindn admin_DN [ -b admin_context] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool addadmin --polname defense --admindn "cn=scott,c=us" -h sales_west -D cn=lbacsys -w bind_password
olsadmintool addpolcreator
コマンドを使用すると、指定したユーザーにポリシーの作成を許可できます。
ユーザーのDNを指定する必要があります。
構文
olsadmintool addpolcreator --userdn user_DN [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool addpolcreator --userdn "cn=scott" -h sales_west -D cn=lbacsys -w bind_password
olsadmintool adduser
コマンドを使用すると、ポリシー内のプロファイルにエンタープライズ・ユーザーを追加できます。
プロファイル名、ポリシー名およびユーザーDNを指定する必要があります。脚注2 エンタープライズ・ユーザーは、データベースに接続するための追加の機能を持つ標準的なOracle Internet Directoryユーザーです。プロファイルに追加するユーザーは、エンタープライズ・ユーザーである必要があります。
構文
olsadmintool adduser --polname policy_name --profname profile_name --userdn enterprise_user_DN[ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool adduser --polname tradesecret --profname topsales --userdn "cn=perot" -b "cn=EDS" -h ford -p 1890 -D cn=lbacsys -w bind_password
olsadmintool altercompartment
コマンドを使用すると、区分の詳細名を変更できます。
ポリシー名、区分の短縮名および新規の詳細名を指定する必要があります。
構文
olsadmintool altercompartment --polname policy_name --shortname short_compartment_name --longname new_long_compartment_name [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool altercompartment --polname defense --shortname A --longname "Allied Forces" -h sales_west -D cn=defense_admin -w bind_password
olsadmintool altergroup
コマンドを使用すると、グループ・コンポーネントまたは親グループの詳細名を変更できます。
ポリシー名とグループの短縮名および詳細名を指定する必要があります。
構文
olsadmintool altergroup --polname policy_name --shortname short_group_name --longname "new_long_group_name" [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool altergroup --polname defense --shortname US --longname "United States of America" -h sales_west -D cn=defense_admin -w bind_password
olsadmintool altergroupparent
コマンドを使用すると、グループの親グループを変更または削除できます。
ポリシー名およびグループの短縮名と、親グループの短縮名またはclearparent
フラグのどちらか一方を指定する必要があります。
構文
olsadmintool altergroupparent --polname policy_name --shortname short_group_name [--parentname new_parent_group_name ] [--clearparent] --longname "new_long_group_name" [--parentname new_short_group_name ] [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool altergroupparent --polname defense --shortname US --parentname "Earth" -h sales_west -p 5678 -D cn=defense_admin -w bind_password olsadmintool altergroupparent --polname defense --shortname US --clearparent -h sales_west -p 5678 -D cn=defense_admin -w bind_password
olsadmintool alterlabel
コマンドを使用すると、ラベル・タグに関連付けられているラベル定義文字列を変更できます。
ポリシー名、ラベルの数値タグおよびラベルを表す新規文字列を指定する必要があります。
構文
olsadmintool alterlabel --polname policy_name --tag tag_number --value new_label_value [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool alterlabel --polname defense --tag 100 --value "TS:A:US" -h sales_west -D cn=defense_admin -w bind_password
olsadmintool alterlevel
コマンドを使用すると、レベルの詳細名を変更できます。
ポリシー名、レベルの短縮名および新規の詳細名を指定する必要があります。
構文
olsadmintool alterlevel --polname policy_name --shortname short_level_name --longname "new_long_level_name" [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool alterlevel --polname defense --shortname TS --longname "VERY TOP SECRET" -h sales_west -D cn=defense_admin -w bind_password
olsadmintool alterpolicy
コマンドを使用すると、ポリシーのオプションを変更できます。
ポリシー名と新規オプションを指定する必要があります。
構文
olsadmintool alterpolicy --name policy_name --options new_options [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
次のように指定します。
new_options
は、INVERSE_GROUP
、HIDE
、LABEL_DEFAULT
、LABEL_UPDATE
、CHECK_CONTROL
、READ_CONTROL
、WRITE_CONTROL
、INSERT_CONTROL
、DELETE_CONTROL
、UPDATE_CONTROL
、ALL_CONTROL
、NO_CONTROL
のエントリの任意の組合せになります。
例
olsadmintool alterpolicy --name defense --options "READ_CONTROL,INSERT_CONTROL" -h sales_west -D cn=defense_admin -w bind_password
olsadmintool olsadmintool audit
コマンドを使用すると、ポリシーの監査オプションを設定できます。
ポリシー名、監査するオプション、監査のタイプおよび監査対象となる成功のタイプを指定する必要があります。
構文
olsadmintool audit --polname policy_name --options audit_option_name --type audit_option_type --success audit_success_type [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
次のように指定します。
audit_option
は、APPLY
、REMOVE
、SET
、PRIVILEGE
のエントリの任意の組合せになります。
type
は、session
またはaccess
になります
success
は、successful
、not successful
またはboth
になります。
例
olsadmintool audit --polname defense --options "APPLY,PRIVILEGE" --type session --success success -h sales_west -D cn=defense_admin -w bind_password
olsadmintool createcompartment
コマンドを使用すると、新規の区分コンポーネントを作成できます。
ポリシー名と、区分のタグの数値、短縮名および詳細名を指定する必要があります。
構文
olsadmintool createcompartment --polname policy_name --tag tag_number --shortname short_compartment_name --longname <"long_compartment_name"> [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool createcompartment --polname defense --tag 100 --shortname A --longname Alpha -h sales_west -D cn=defense_admin -w bind_password
olsadmintool creategroup
コマンドを使用すると、新規のグループ・コンポーネントを作成できます。
ポリシー名と、グループのタグの数値、短縮名、詳細名および親グループ名(オプション)を指定する必要があります。
構文
olsadmintool creategroup --polname policy_name --tag tag_number --shortname short_group_name --longname <"long_group_name"> [--parentname parent_group_name] [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool creategroup --polname defense --tag 55 --shortname US --longname "United States" -h sales_west -D cn=defense_admin -w bind_password
olsadmintool createlabel
コマンドを使用すると、有効なデータ・ラベルを作成できます。
ポリシー名、作成するラベルの数値タグおよびラベルを表す文字列を指定する必要があります。
構文
olsadmintool createlabel --polname policy_name --tag tag_number --value label_value [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool createlabel --polname defense --tag 100 --value "TS:A,B:US,CA" -h sales_west -D cn=defense_admin -w bind_password
olsadmintool createlevel
コマンドを使用すると、新規のレベル・コンポーネントを作成できます。
ポリシー名、タグの数値、レベルの短縮名および詳細名を指定する必要があります。
構文
olsadmintool createlevel --polname policy_name --tag tag_number --shortname short_level_name --longname <"long_level_name"> [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool createlevel --polname defense --tag 100 --shortname TS --longname "TOP SECRET" -h sales_west -D cn=defense_admin -w bind_password
olsadmintool createprofile
コマンドを使用すると、新規プロファイルを作成できます。
ポリシー名、プロファイル名、および権限またはラベルのどちらか(あるいはその両方)を指定する必要があります。(ユーザー・プロファイルにはNULLのラベル情報またはNULLの権限情報を指定できますが、同時に両方にNULLは指定できません。)ラベルの場合は、このプロファイル内のユーザーがデータの読取りに使用できる最大ラベル、このプロファイル内のユーザーがデータの書込みに使用できる最大ラベル、このプロファイル内のユーザーがデータの書込みに使用できる最小ラベル、読取り用のデフォルト・ラベルおよび書込み用のデフォルト行ラベルを指定します。権限の場合は、このプロファイルのメンバーの権限をカンマで区切ったリストを引用符で囲みます。
構文
olsadmintool createprofile --polname policy_name --profname profile_name --maxreadlabel max_read_label --maxwritelabel max_write_label --minwritelabel min_read_label --defreadlabel default_read_label --defrowlabel default_row_label --privileges privileges_separated_by_comma [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool createprofile --polname topsecret --profname topsales --maxreadlabel "TS:A,B:US,CA" --maxwritelabel "TS:A,B:US,CA" --minwritelabel "C" --defreadlabel "TS:A,B:US,CA" --defrowlabel "C:A,B:US,CA" --privileges "READ,COMPACCESS,WRITEACROSS" -b EDS -h ford -p 1890 -D cn=lbacsys -w lbacsyspwrd
olsadmintool createpolicy
コマンドを使用すると、ポリシーを作成できます。
ポリシー名、ラベル列名およびオプションを指定する必要があります。
構文
olsadmintool createpolicy --name policy_name --colname column_name --options options_separated_by_commas [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
次のように指定します。
new_options
は、INVERSE_GROUP
、HIDE
、LABEL_DEFAULT
、LABEL_UPDATE
、CHECK_CONTROL
、READ_CONTROL
、WRITE_CONTROL
、INSERT_CONTROL
、DELETE_CONTROL
、UPDATE_CONTROL
、ALL_CONTROL
、NO_CONTROL
のエントリの任意の組合せになります。
例
olsadmintool createpolicy --name defense --colname defense_col --options "READ_CONTROL,UPDATE_CONTROL" -h sales_west -p 389 -D cn=defense_admin -w bind_password
olsadmintool describeprofile
コマンドを使用すると、ポリシー・プロファイルの内容を表示できます。
ポリシー名とプロファイル名を指定する必要があります。
構文
olsadmintool describeprofile --polname policy_name --profname profile_name [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool describeprofile --polname defense --profname contractors -h sales_west -D cn=defense_admin -w bind_password
olsadmintool dropadmin
コマンドを使用すると、ポリシーの管理グループからエンタープライズ・ユーザーを削除できます。
つまり、そのユーザーは指定されたポリシーのメタデータを作成、変更または削除できなくなります。ポリシー名、および管理グループから削除する管理者のDNを指定する必要があります。
構文
olsadmintool dropadmin --polname policy_name --admindn admin_DN [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool dropadmin --polname defense --admindn "cn=scott,c=us" -h sales_west -D cn=lbacsys -w bind_password
olsadmintool dropcompartment
コマンドを使用すると、区分コンポーネントを削除できます。
ポリシー名と区分の短縮名を指定する必要があります。
構文
olsadmintool dropcompartment --polname policy_name --shortname short_compartment_name [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool dropcompartment --polname defense --shortname A -h sales_west -D cn=defense_admin -w bind_password
olsadmintool dropgroup
コマンドを使用すると、グループ・コンポーネントを削除できます。
ポリシー名とグループの短縮名を指定する必要があります。
構文
olsadmintool dropgroup --polname policy_name --shortname short_group_name [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool dropgroup --polname defense --shortname US -h sales_west -D cn=defense_admin -w bind_password
olsadmintool droplabel
コマンドを使用すると、ポリシーからラベルを削除できます。
ポリシー名とラベルを表す文字列を指定する必要があります。
構文
olsadmintool droplabel --polname policy_name --value label_value -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool droplabel --polname defense --value "TS:A:US" h sales_west -D cn=defense_admin -w bind_password
olsadmintool droplevel
コマンドを使用すると、指定したポリシーからレベル・コンポーネントを削除できます。
ポリシー名とレベルの短縮名を指定する必要があります。
構文
olsadmintool droplevel --polname policy_name --shortname short_level_name [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool droplevel --polname defense --shortname TS -h sales_west -D cn=defense_admin -w bind_password
olsadmintool droppolicy
コマンドを使用すると、ポリシーを削除できます。
削除するポリシーの名前を指定する必要があります。Oracle Label SecurityのOracle Internet Directory対応のインストールについては、「Oracle Internet Directory対応Label Securityでのポリシーのサブスクリプション」を参照してください。
構文
olsadmintool droppolicy --name policy_name [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool droppolicy --name defense -h sales_west -D cn=defense_admin -w bind_password
olsadmintool dropprofile
コマンドを使用すると、指定したプロファイルを削除できます。
ポリシー名と削除するプロファイルの名前を指定する必要があります。
注意:
プロファイルを削除すると、削除したプロファイル内のユーザー全員について、そのポリシーから認可が削除されます。これらのユーザーは、そのポリシーで保護されているデータを表示できなくなります。
構文
olsadmintool dropprofile --polname policy_name --profname profile_name [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool dropprofile --name defense --profname employees -h sales_west -D cn=defense_admin -w bind_password
olsadmintool droppolcreator
コマンドを使用すると、指定したユーザーからポリシー作成許可を取り消すことができます。
ユーザーのDNを指定する必要があります。
構文
olsadmintool droppolcreator --userdn user_DN [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool droppolcreator --userdn "cn-scott,c=us" -b UA -h sales_west -p 1890 -D bind_DN -w bind_password
olsadmintool dropuser
コマンドを使用すると、指定したポリシーの指定したプロファイルからユーザーを削除できます。
ポリシー名、プロファイル名およびユーザーのDNを指定する必要があります。
構文
olsadmintool dropuser --polname policy_name --profname profile_name --userdn enterprise_user_DN [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool dropuser --polname defense --profname contractors --userdn "cn=hanssen,c=us" -h sales_west -D cn=defense_admin -w bind_password
olsadmintool
command_name
-- help
コマンドを使用すると、指定したコマンドに関するヘルプ情報を表示できます。
構文
olsadmintool
command_name
--help
olsadmintool noaudit
コマンドを使用すると、ポリシーの監査オプションを取り消すことができます。
ポリシー名と監査外にするオプションを指定する必要があります。
構文
olsadmintool noaudit --polname policy_name --options audit_option_name [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
次のように指定します。
audit_option_name
は、APPLY
、REMOVE
、SET
、PRIVILEGE
のエントリの任意の組合せになります。
例
olsadmintool noaudit --polname defense --options "APPLY,PRIVILEGES" -h sales_west -D cn=defense_admin -w bind_password
olsadmintool listprofile
コマンドを使用すると、指定したポリシー内の全プロファイルのリストを表示できます。
ポリシー名を指定する必要があります。
構文
olsadmintool listprofile --polname policy_name [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool listprofile --polname defense -b CIA -h sales_west -D cn=defense_admin -w bind_password
olsadmintool
パラメータの使用に関する一連のガイドラインに従う必要があります。
内容は次のとおりです。
すべてのolsadmintool
コマンドでは、接続パラメータを指定する必要があります。
これらのパラメータには、OIDホスト、バインドDN、バインド・パスワードおよびOracle Internet Directoryへの接続に使用するポート(オプション)を含めます。デフォルトのポートは389です。
すべてのolsadmintool
コマンドでは、必要に応じて -b
フラグを使用してサブスクライバ/管理コンテキストを指定できます。
ポートや管理コンテキストなどのパラメータ指定がオプションであることは、パラメータが大カッコで囲まれていることで示されています。最も一般的な2つの例が、[ -b admin
context
]
および[-p
port
]
です。
各コマンドでは、ホスト、バインドDNおよびパスワードの指定は必須で、必要に応じて管理コンテキストも指定できるため、表C-2では、これらの接続パラメータすべてをグループとして表すために省略形CONを使用しています。
[ -b admin_context ] h OID_host [-p port] -D bind_DN -w bind_password
olsadmintool
は、ポリシー、管理、監査など、様々なニーズのカテゴリに対応するためのパラメータを備えています。
表C-2に、様々なカテゴリにおけるコマンドのサマリーを示します。
ポリシー: ポリシーまたはそのコンポーネント(レベル、グループおよび区分)の作成、変更または削除
データ・ラベル: データ・ラベルの作成、変更または削除
管理者およびポリシー作成者: 管理者およびポリシー作成者の追加または削除
ユーザー: プロファイルに対するユーザーの追加または削除
監査オプション: ポリシーの監査内容を示すオプションの設定
プロファイル: プロファイルの作成、リスト、記述または削除
デフォルトの読取りまたは行ラベル: デフォルトの読取りまたは行ラベルの設定
表C-2および表C-3では、列見出しはパラメータのみを示し、必須の先行キーワードは示されていません。たとえば、表C-2では、policyname
とcolumn-name
はcreatepolicy
コマンドのパラメータで、必須の先行キーワード(--name
および--colname
)は示されていません。
表C-2に、表C-2および表C-3のサマリーの列ヘッダーとして使用される個々のパラメータについて説明します。
この3つの表の凡例は次のとおりです。
OptionsPはポリシー施行オプションを意味します。つまり、次のエントリをカンマで区切った組合せを示します。
INVERSE_GROUP
HIDE
LABEL_DEFAULT
LABEL_UPDATE
CHECK_CONTROL
READ_CONTROL
WRITE_CONTROL
INSERT_CONTROL
DELETE_CONTROL
UPDATE_CONTROL
ALL_CONTROL
NO_CONTROL
OptionsAは監査オプションを意味します。つまり、エントリ SET
、 APPLY
、 REMOVE
またはPRIVILEGE
をカンマで区切った組合せを示します。
表C-2 サマリー: olsadmintoolコマンドのパラメータ
コマンドのカテゴリ | コマンドとパラメータ | - | - | - | - | - | - |
---|---|---|---|---|---|---|---|
ポリシー |
コマンド |
policy name |
column- name |
optionsP |
CON |
- |
- |
ポリシー |
|
必須 |
必須 |
必須 |
必須 |
- |
- |
ポリシー |
|
必須 |
省略 |
必須 |
必須 |
- |
- |
ポリシー |
|
必須 |
省略 |
省略 |
必須 |
- |
- |
ポリシー内での作成: |
コマンド |
policy name |
tag |
short name |
long name |
CON |
parent name |
レベル |
olsadmintool |
必須 |
必須 |
必須 |
必須 |
必須 |
省略 |
グループ |
olsadmintool |
必須 |
必須 |
必須 |
必須 |
必須 |
[必須] |
区分 |
|
必須 |
必須 |
必須 |
必須 |
必須 |
省略 |
ポリシー内での変更: |
コマンド |
- |
- |
- |
- |
- |
- |
レベル |
|
必須 |
省略 |
未使用 |
未使用 |
未使用 |
省略 |
グループまたは親グループ |
|
必須 |
省略 |
必須 |
必須 |
必須 |
省略 |
グループまたは親グループ |
|
必須 |
省略 |
必須 |
省略 |
必須 |
[必須] |
グループまたは親グループ |
コマンド |
policy name |
tag |
short name |
long name |
CON |
parent name |
区分 |
|
必須 |
省略 |
必須 |
必須 |
必須 |
省略 |
ポリシー内での削除: |
コマンド |
- |
- |
- |
- |
- |
|
レベル |
|
必須 |
省略 |
必須 |
省略 |
必須 |
省略 |
グループ |
|
必須 |
省略 |
必須 |
省略 |
必須 |
省略 |
区分 |
|
必須 |
省略 |
必須 |
省略 |
必須 |
省略 |
データ・ラベル |
コマンド |
policy name |
tag |
value |
CON |
- |
- |
ラベルの作成 |
|
必須 |
必須 |
必須 |
必須 |
- |
- |
データ・ラベルの変更 |
|
必須 |
必須 |
必須 |
必須 |
- |
- |
データ・ラベルの削除 |
|
必須 |
省略 |
必須 |
必須 |
- |
- |
ポリシー管理者 |
コマンド |
policy name |
userDN |
CON |
- |
- |
- |
管理者の追加 |
|
必須 |
必須 |
必須 |
- |
- |
- |
管理者の削除 |
|
必須 |
必須 |
必須 |
- |
- |
- |
ポリシーの作成 |
|
省略 |
必須 |
必須 |
- |
- |
- |
ポリシーの作成 |
|
省略 |
必須 |
必須 |
- |
- |
- |
ユーザー |
コマンド |
policy name |
profile name |
userDN |
CON |
- |
- |
ユーザーの追加 |
|
必須 |
必須 |
必須 |
必須 |
- |
- |
ユーザーの削除 |
|
必須 |
必須 |
必須 |
必須 |
- |
- |
監査 |
|
必須 |
optionsA |
type |
success |
CON |
- |
監査 |
|
必須 |
必須 |
必須 |
必須 |
必須 |
- |
olsadmintoolのヘルプ |
|
省略 |
省略 |
省略 |
省略 |
省略 |
- |
表C-3 プロファイルとデフォルトのコマンド・パラメータのサマリー
プロファイルのアクション | プロファイル・コマンド | ポリシー名 | プロファイル名 | 最大読取りラベル | 最大書込みラベル | 最小書込みラベル | Def Read Label | Def Row Label | privileges | CON |
---|---|---|---|---|---|---|---|---|---|---|
プロファイルの作成脚注3 |
|
必須 |
必須 |
必須 |
必須 |
必須 |
必須 |
必須 |
必須 |
必須 |
プロファイル・リストの表示 |
|
必須 |
省略 |
省略 |
省略 |
省略 |
省略 |
省略 |
省略 |
必須 |
プロファイルの記述 |
|
必須 |
必須 |
省略 |
省略 |
省略 |
省略 |
省略 |
省略 |
必須 |
プロファイルの削除 |
|
必須 |
必須 |
省略 |
省略 |
省略 |
省略 |
省略 |
省略 |
必須 |
脚注3
createprofile
では、権限とラベルの両方の指定は必須ではありません。profileでは、ラベルまたは権限、あるいはその両方を指定できます。
olsadmintool
コマンドを使用して、Oracle Internet Directory環境でOracle Label Securityを設定します。
このリストには、各コマンドが読みやすいように複数行で示されていますが、実際のコマンドラインでは長い1行として発行されます。これらのコマンドすべての実行結果をまとめたものについては、最後の例の後の「前述の例の結果」を参照してください。
内容は次のとおりです。
olsadmintool addpolcreator
コマンドを使用すると、他のユーザーがポリシー作成者となることを許可できます。
ORACLE_HOME/bin/olsadmintool addpolcreator --userdn "cn=psmith,c=us" -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=lbacsys,c=us" -w bind_password
olsadmintool createpolicy
コマンドを使用すると、ポリシーを作成できます。
ORACLE_HOME/bin/olsadmintool createpolicy --name Policy1 --colname pol1 --options READ_CONTROL,WRITE_CONTROL -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=psmith,c=us" -w bind_password ORACLE_HOME/bin/olsadmintool createpolicy --name Policy2 --colname pol2 --options READ_CONTROL -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=lbacsys,c=us" -w bind_password
olsadmintool addadmin
コマンドを使用すると、ポリシー管理者を作成できます。
ORACLE_HOME/bin/olsadmintool addadmin --polname Policy1 --admindn "cn=shwong,c=us" -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=psmith,c=us" -w bind_password ORACLE_HOME/bin/olsadmintool addadmin --polname Policy2 --admindn "cn=shwong,c=us" -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=lbacsys,c=us" -w bind_password
olsadmintool createlevel
コマンドを使用すると、個々のレベルを作成できます。
ORACLE_HOME/bin/olsadmintool createlevel --polname Policy1 --tag 100 --shortname TS --longname "TOP SECRET" -b "ou=Americas,o=Oracle, c=US" -h sales_west -p 389 -D "cn=shwong,c=us" -w bind_password ORACLE_HOME/bin/olsadmintool createlevel --polname Policy1 --tag 99 --shortname S --longname SECRET -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=shwong,c=us" -w bind_password ORACLE_HOME/bin/olsadmintool createlevel --polname Policy1 --tag 98 --shortname U --longname UNCLASSIFIED -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=shwong,c=us" -w bind_password
olsadmintool createcompartment
コマンドを使用すると、区分を作成できます。
ORACLE_HOME/bin/olsadmintool createcompartment --polname Policy1 --tag 100 --shortname A --longname ALPHA -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 D "cn=shwong,c=us" -w bind_password ORACLE_HOME/bin/olsadmintool createcompartment --polname Policy1 --tag 99 --shortname B --longname BETA -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=shwong,c=us" -w bind_password
olsadmintool creategroup
コマンドを使用すると、グループを作成できます。
ORACLE_HOME/bin/olsadmintool creategroup --polname Policy1 --tag 100 --shortname G1 --longname GROUP1 -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=shwong,c=us" -w bind_password ORACLE_HOME/bin/olsadmintool creategroup --polname Policy1 --tag 99 --shortname G2 --longname GROUP2 -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=shwong,c=us" -w bind_password ORACLE_HOME/bin/olsadmintool creategroup --polname Policy1 --tag 98 --shortname G3 --longname GROUP3 -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=shwong,c=us" -w bind_password
olsadmintool createlabel
コマンドを使用すると、ラベルを作成できます。
ORACLE_HOME/bin/olsadmintool createlabel --polname Policy1 --tag 100 --value TS:A:G1 -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=shwong,c=us" -w bind_password ORACLE_HOME/bin/olsadmintool createlabel --polname Policy1 --tag 101 --value TS:A,B:G2 -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=shwong,c=us" -w bind_password
olsadmintool createprofile
コマンドを使用すると、プロファイルを作成できます。
ORACLE_HOME/bin/olsadmintool createprofile --polname Policy1 --profname Profile1 --maxreadlabel TS:A:G1 --maxwritelabel TS:A:G1 --minwritelabel U:: --defreadlabel U:A:G1 --defrowlabel U:A:G1 --privileges WRITEUP,READ -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=shwong,c=us" -w bind_password
olsadmintool adduser
コマンドを使用すると、ユーザーをプロファイルに追加できます。
ORACLE_HOME/bin/olsadmintool adduser --polname Policy1 --profname Profile1 --userdn cn=nina,ou=Asia,o=microsoft,l=seattle,st=WA,c=US -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=shwong,c=us" -w bind_password
olsadmintool adduser
コマンドを使用して、別のユーザーをプロファイルに追加できます。
ORACLE_HOME/bin/olsadmintool adduser --polname Policy1 --profname Profile1 --userdn cn=daniel,ou=France,o=oracle,l=madison,st=WI,c=US -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=shwong,c=us" -w bind_password
olsadmintool audit
コマンドを使用すると、非統合監査環境で監査オプションを設定できます。
ORACLE_HOME/bin/olsadmintool audit --polname Policy1 --option "SET,APPLY" --type SESSION --success BOTH -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=shwong,c=us" -w bind_password
一連のolsadmintool
コマンドを実行した結果、サンプルOracle Label Securityサイトには特定の構造があります。
ポリシー作成者: ユーザーpsmith
ポリシー: Policy1
およびPolicy2
ポリシー管理者: ユーザーshwong
レベル、区分およびグループ: 表C-4を参照してください。
表C-4 olsadmintoolコマンドの使用によるラベル・コンポーネント定義
ラベル・コンポーネント | タグ | 短縮名 | 詳細名 |
---|---|---|---|
レベル |
100 |
TS |
TOP SECRET |
レベル |
99 |
S |
SECRET |
レベル |
98 |
U |
UNCLASSIFIED |
区分 |
100 |
A |
ALPHA |
区分 |
99 |
B |
BETA |
グループ |
100 |
G1 |
GROUP1 |
グループ |
99 |
G2 |
GROUP2 |
グループ |
98 |
G3 |
GROUP3 |
データ・ラベル: TS:A:G1の場合はタグ100、TS:A,B:G2の場合はタグ101。
ユーザー: US Oracle組織のAmericas組織の下位でWashington州Seattleに本拠を置くMicrosoft社Asiaグループに所属するNinaと、同じ組織の下位でWisconsin州Madisonに位置するオラクル社のFranceグループに所属するDaniel。
プロファイル: 表C-5を参照してください。
表C-5 olsadmintoolコマンドの使用によるProfile1の内容
プロファイル要素 | 内容 | 詳細名の拡張または意味 |
---|---|---|
MaxReadLabel |
TS:A:G1 |
TOP SECRET:ALPHA:GROUP1 |
MaxWriteLabel |
TS:A:G1 |
TOP SECRET:ALPHA:GROUP1 |
MinWriteLabel |
U:: |
UNCLASSIFIED(区分やグループへの限定なし) |
DefReadLabel |
U:A:G1 |
UNCLASSIFIED:ALPHA:GROUP1 |
DefRowLabel |
U:A:G1 |
UNCLASSIFIED:ALPHA:GROUP1 |
権限 |
WRITE_UP、READ |
ユーザーは任意の行を読み取って、書き込む行のレベルを上げることができます。 |
監査オプション: SET
、APPLY
、SESSION
およびBOTH
脚注の凡例
脚注2:コマンドに関する脚注 各コマンドでは、ディレクトリのホスト名、バインドDNおよびバインド・パスワードを指定する必要があります。どのコマンドでも、必要に応じてサブスクライバの管理コンテキスト(オプション)またはディレクトリのポート番号(オプション)、あるいはその両方を指定できます。これらのパラメータの詳細は、表C-2も参照してください。