Go to main content
マニュアルページ セク ション 1M: シ ステム管理コマン ド

印刷ビューの終了

更新: 2016年12月6日
 
 

kmscfg(1M)

名前

kmscfg - PKCS#11 KMS プロバイダの構成

形式

kmscfg
kmscfg -p[rofile] Profile_Name
kmscfg -a[gent] Agent_ID
kmscfg -i[paddr] Agent_Address
kmscfg -t[imeout] Transaction_Timeout
kmscfg -f[ailover] Failover_Limit
kmscfg -d[iscovery] Discovery_Freq

説明

kmscfg コマンドは、Solaris 暗号化フレームワークで使用できるように PKCS#11 KMS プロバイダ (pkcs11_kms) を初期化するために使用します。KMS プロバイダが Oracle Key Manager (OKM) と通信するためには、いくつかの構成情報が使用できるようになっている必要があります。この構成データには、使用されるプロファイルの名前、OKM エージェントの名前、OKM アプライアンス (KMA) の IP アドレス、ほかのいくつかのパラメータ (「形式」を参照) などの情報が含まれています。

デフォルトでは、kmscfg はその構成情報を /var/user/$USERNAME/kms に格納します。このディレクトリが存在しない場合は、作成されます。構成が検出済みの場合、ユーザーが既存のデータをオーバーライドすることも可能です。デフォルトの場所は、KMSTOKEN_DIR 環境変数を使ってオーバーライドできます。これは、kmscfg を呼び出す前に設定する必要があります。

kmscfg を実行する前に、OKM 管理者はアプライアンスそのものに対して必要な初期化および構成手順を実行して、PKCS11 KMS コンシューマが使用する各プロファイルおよびエージェントを設定しておく必要があります。これらのプロファイルの構成手順は、Oracle の Web サイト (http://docs.oracle.com) にある『Oracle Key Manager Administration Guide』で入手できます。

管理者による KMA の構成が完了したら、Oracle Solaris クライアントで kmscfg を実行してプロバイダを初期化できるように、必要な識別情報 (プロファイル名、エージェント ID、IP アドレス) を提供する必要があります。

オプション

次に示すオプションがサポートされています。コマンド行にプロファイル、エージェント ID、または KMA アドレスを指定しない場合、kmscfg によってこれらの項目を入力するように求められます。

–a Agent_ID

OKM で構成されたユーザーエージェント ID。KMS トークンの構成に使用されます。プロファイルとエージェント ID が同じであることは珍しいことではありません (例: MyAgent)。

–d Discovery_Freq

クライアントが OKM クラスタでほかの KMA の使用状況を検出しようとする頻度 (単位は秒)。指定のない場合、Discovery_Freq はデフォルトの 600 秒 (10 分) になります。

–f Failover_Limit

クライアントが中止するまでに KMA との通信に失敗できる回数。指定のない場合、Failover_Limit はデフォルトの 3 になります。

–i Agent_Addr

KMA のアドレス。これは、IPv4 アドレス (xxx.xxx.xxx.xxx) でも IPv6 アドレスでもかまいません。クライアントで構成されたネームサービスによって解決できる名前であれば、完全修飾ホスト名も使用できます。OKM クラスタを使用している場合は、クラスタのメンバーのアドレスも指定できます。

–p Profile_Name

KMS トークンの構成に使用されるプロファイルの名前。プロファイル名とエージェント ID は同じである必要はありませんが、通常は同じにします。

–t Transaction_Timeout

個別の KMS コマンドのタイムアウト期間 (単位は秒)。指定のない場合、この値はデフォルトの 10 になります。

終了ステータス

要求された操作の完了後に、kmscfg は次のいずれかのステータス値を返して終了します。

0

終了に成功しました。

1

失敗。要求された操作を完了できませんでした。

ファイル

/var/user/$USERNAME/kms

デフォルトの KMS トークン構成ディレクトリ。

${KMSTOKEN_DIR}

代替の KMS トークン構成ディレクトリ。

属性

属性についての詳細は、マニュアルページの attributes(5) を参照してください。

属性タイプ
属性値
使用条件
/system/library/security/crypto/pkcs11_kms
インタフェースの安定性
流動的

関連項目

pktool(1), attributes(5), pkcs11_kms(5)

Oracle Key Manager Administration Guide』(http://docs.oracle.com)

PKCS#11 クライアントでは、Oracle Key Manager ソフトウェアバージョン 2.4 が OKM にインストールされている必要があります。

PKCS#11 クライアントが複数のシステムから同じエージェント ID を使用する場合は、そのエージェントをワンタイムパスフレーズフラグの設定なしで作成するようにしてください。このオプションは、一部のメンバーが 2.4 よりも前のバージョンの OKM ソフトウェアを実行している OKM クラスタでは使用できません。エージェントの作成方法については、『OKM Administration Guide』を参照してください。

PKCS#11 クライアントによる鍵の作成に使用する前に、OKM エージェントにはデフォルトの鍵グループが割り当てられている必要があります。デフォルトの鍵グループがエージェントに割り当てられていない場合、操作は CKR_PIN_INCORRECT エラーで失敗します。鍵グループをエージェントに割り当てる方法については、『OKM Administration Guide』を参照してください。

Copyright © 1993, 2015, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ