Ce chapitre présente les utilitaires de ligne de commande permettant aux utilisateurs de lancer des sauvegardes, d'exporter et d'importer des clés, ainsi que de répertorier les unités de données depuis la ligne de commande au lieu de l'interface graphique utilisateur du gestionnaire OKM.
Les utilitaires de ligne de commande suivants sont disponibles :
Remarque:
L'utilitaire de ligne de commande OKM remplace l'utilitaire de ligne de commande de sauvegarde. Oracle vous recommande d'utiliser l'utilitaire de ligne de commande OKM dès que possible.L'utilitaire de ligne de commande OKM vous permet :
De programmer des sauvegardes automatiques
De sauvegarder la sécurité principale OKM
D'importer et d'exporter des clés
De détruire des clés
De répertorier les événements d'audit
De répertorier les unités de données
De créer ou modifier de multiples agents.
Contrairement à l'utilitaire de ligne de commande de sauvegarde, cet utilitaire peut utiliser des certificats X.509 pour s'authentifier en tant qu'utilisateur OKM valide au lieu de nécessiter la saisie d'un nom d'utilisateur et d'une phrase de passe.
Le tableau suivant présente les rôles pouvant effectuer les fonctions suivantes :
Tableau 12-1 Utilitaire de ligne de commande OKM - Accès au rôle d'utilisateur
Action: | Rôle : |
---|---|
Sauvegarder |
Opérateur de sauvegarde |
Sauvegarder la sécurité principale d'OKM |
Responsable de la sécurité |
Importer/Exporter des clés |
Opérateur |
Détruire des clés |
Opérateur |
Répertorier les événements d'audit |
Tous les rôlesBas de page 1 |
Répertorier les unités de données |
Opérateur/Agent de conformité |
Créer des agents |
Opérateur |
Définir/Modifier le groupe de clé par défaut d'un agent |
Agent de conformité |
Modifier les propriétés d'un agent |
Opérateur |
Répertorier les agents |
Opérateur/Agent de conformité |
Note de bas de page 1 Si vous indiquez des ID d'agent, des ID d'unité de données ou des ID de clé, vous devez avoir le rôle Opérateur ou Agent de conformité.
Cet utilitaire est installé avec l'interface graphique utilisateur du gestionnaire OKM à l'aide du même programme d'installation.
Remarque:
Si vous souhaitez saisir des adresses IPv6 link-local, appelez l'utilitaire de ligne de commande OKM et indiquez l'adresse IPv6 link-local . Ajoutez l'ID de zone (”%4”, par exemple) à la fin de l'adresse. Reportez-vous à la section "Adresses IPv6 avec ID de zone" pour connaître les étapes à suivre pour la configuration initiale.Si vous utilisez Solaris et que vous souhaitez saisir ou afficher des caractères ne pouvant pas être affichés au format ASCII, vérifiez que l'environnement linguistique Solaris approprié est installé sur votre système Solaris et que votre environnement est configuré pour utiliser cet environnement linguistique. Pour plus d'informations, reportez-vous aux pages de manuel environnement linguistique Solaris(1) et localeadm(1M).
okm -v | --version | --help | -h
okm backup [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] ] | --oper=username [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] --kma=networkaddress --output=dirname
okm backupcs [ [ [ --cacert=filename ] [ --usercert=filename ]] [ --directory=dirname ] | --oper=username ] [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] --kma=networkaddress
okm createagent[ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] [ --description=description ] [ --site=siteid ] [ --keygroup=defaultkeygroupid ] [ --onetimepassphrase=boolean ] --kma=networkaddress --agent=agentid --passphrase=agentpassphrase
okm currload [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] ] | --oper=username [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] --output=filename --kma=networkaddress
okm destroykeys [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] --kma=networkaddress --duids=filename | --all=true --keystate=keystate --comment="text"
okm export [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --retries=retries ] [ --timeout=timeout ] [ --listwait=waittime ] [ --verbose=boolean ] --filter=filter | --duids=filename --kma=networkaddress --output=filename --partner=transferpartnerid
okm import [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] ] | --oper=username [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] [ --overrideeuiconflict=boolean ] --kma=networkaddress --input=filename --partner=transferpartnerid --keygroup=keygroupid
okm listagentperformance [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --filter=filter ] [ --retries=retries ] [ --timeout=timeout ] [ --listwait=waittime ] [ --verbose=boolean ] [ --output=filename ] [ --startdate=date ] [ --enddate=date ] [ --localtimezone=boolean ] [ --rateinterval=rateinterval ] --kma=networkaddress
okm listagents[ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --retries=retries ] [ --timeout=timeout ] [ --listwait=waittime ] [ --verbose=boolean ] [ --filter=filter ] [ --output=filename ] --kma=networkaddress
okm listauditevents [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | [ --oper=username ] [ --filter=filter ] [ --localtimezone=boolean ] [ --maxcount=count ] [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] [ --output=filename ] [ --agentids=agentids | --dataunitids=dataunitds | --keyids=keyids ] --kma=networkaddress
okm listdu [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] ] | --oper=username [ --filter=filter ] [ --retries=retries ] [ --timeout=timeout ] [ --listwait=waittime ] [ --verbose=boolean ] [ --output=filename ] --kma=networkaddress
okm listdukeycount[ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --filter=filter ] [ --retries=retries ] [ --timeout=timeout ] [ --listwait=waittime ] [ --verbose=boolean ] [ --output=filename ] --kma=networkaddress --duids=filename | --all=true
okm listkeys [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --filter=filter ] [ --retries=retries ] [ --timeout=timeout ] [ --listwait=waittime ] [ --verbose=boolean ] [ --output=filename ] --kma=networkaddress
okm listkmaperformance [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --filter=filter ] [ --retries=retries ] [ --timeout=timeout ] [ --listwait=waittime ] [ --verbose=boolean ] [ --output=filename ] [ --startdate=date ] [ --enddate=date ] [ --localtimezone=boolean ] [ --rateinterval=rateinterval ] --kma=networkaddress
okm modifyagent[ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] [ --description=description ] | [ --site=siteid ] | [ --keygroup=defaultkeygroupid ] | [ --passphrase=agentpassphrase ] | [ --enabled=boolean ] | [ --onetimepassphrase=boolean ] --kma=networkaddress --agent=agentid
Vous trouverez ci-dessous une liste de sous-commandes de l'utilitaire de ligne de commande OKM.
backup
La sous-commande backup
génère une sauvegarde des données OKM et télécharge cette sauvegarde dans un fichier de données de sauvegarde et un fichier de clé de sauvegarde dans le répertoire de sortie indiqué.
backupcs
La sous-commande backupcs
génère une sauvegarde de la sécurité principale OKM et stocke cette sauvegarde dans un fichier de sortie.
createagent
La sous-commande createagent
crée un nouvel agent.
destroykeys
La sous-commande destroykeys
détruit les clés désactivées ou compromises.
export
La sous-commande export
crée un fichier de clés sécurisé pour un partenaire de transfert établi avec OKM. Toutes les clés associées à une liste d'unités de données sont exportées à l'aide de ce fichier de clés et sont protégées à l'aide d'une clé AES-256 bits qui signe le fichier de clés. Cette liste d'unités de données est le résultat de la chaîne de filtres ou du nom de fichier indiqués. Ce fichier de clés peut ensuite être utilisé pour importer les clés dans le logiciel OKM du partenaire de transfert à l'aide de la sous-commande import
. Jusqu'à 1 000 unités de données peuvent être exportées en un seul appel de la sous-commande kms
.
import
La sous-commande import
lit un fichier de clés sécurisé pour un partenaire de transfert établi avec le logiciel OKM. Les clés et leurs unités de données associées sont importées à l'aide de ce fichier de clés. La clé privée de transfert de clés du logiciel OKM à l'origine de l'importation est utilisée pour valider le fichier de clés. Ce fichier doit avoir été préalablement exporté d'un autre logiciel OKM à l'aide de la sous-commande export
.
listagents
La sous-commande listagents
génère une liste d'agents et de leurs propriétés. La liste peut être filtrée pour générer un rapport spécifique contenant uniquement un sous-ensemble d'agents.
listauditevents
La sous-commande listauditevents
dresse la liste des événements d'audit.
listdu
La sous-commande listdu
dresse la liste des unités de données et de leurs propriétés. Cette sous-commande peut être appelée avant l'exécution de la sous-commande export
afin de déterminer les unités de données exportées à l'aide du filtre indiqué (le cas échéant).
modifyagent
La sous-commande modifyagent
modifie les propriétés d'un agent existant, y compris son groupe de clés par défaut. Au moins une des options suivantes doit également être indiquée :
--enabled
--site
--description
--keygroup
--passphrase
--onetimepassphrase
Les listes d'options suivantes présentent la forme longue et courte des noms d'options. La forme longue d'un nom d'option est séparée de sa valeur par un signe égal (=) ; la forme courte d'un nom d'option est séparée de sa valeur par une espace.
Les options suivantes sont utilisées pour l'authentification des utilisateurs.
Remarque:
Les utilisateurs doivent au préalable exporter le certificat CA racine et les certificats utilisateur X.509 depuis l'interface graphique utilisateur du gestionnaire OKM avant d'appeler cet utilitaire avec les options--cacert
, --directory
et --usercert
.--agent=agentid
Nom abrégé : -B
Indique l'ID d'un agent à créer ou à modifier. Cet ID d'agent doit contenir entre 1 et 64 caractères.
--cacert=filename
Nom abrégé : -a
Indique un fichier PEM de certificat CA racine OKM X.509 pour l'authentification de cet utilitaire auprès du logiciel OKM. S'il n'est pas indiqué, l'utilitaire recherche un fichier ca.crt dans le répertoire indiqué par l'option --directory
. Cette option est mutuellement exclusive avec l'option --oper
.
--description=description
Nom abrégé : -R
Indique une description de l'agent en cours de création ou de modification. La description doit contenir entre 1 et 64 caractères.
--directory=dirname
Nom abrégé : -d
Indique un répertoire dans lequel rechercher un fichier PEM contenant un certificat CA racine OKM X.509 et un fichier PEM contenant un certificat X.509 d'utilisateur OKM. Si ce répertoire n'est pas indiqué, cet utilitaire recherche les fichiers de certificat dans le répertoire de travail courant. Cette option est mutuellement exclusive avec l'option --oper
.
--enddate
Nom abrégé : -e Indique la date et l'heure de fin d'une demande de performances au format AAAA-MM-JJ hh:mm:ss, représentant une valeur d'heure universelle (UTC) ou d'heure locale si l'option localtimezone est définie sur true. La valeur par défaut est la valeur actuelle.
--localtimezone Nom abrégé : -L Indique une valeur booléenne pour déterminer si les heures d'entrée et de sortie sont définies selon l'heure locale au lieu de l'heure universelle (UTC). Cela affecte l'interprétation des données d'entrée telles que les dates de début et de fin et l'affichage de l'horodatage des événements d'audit. La valeur booléenne peut être "true" ou "false."
--oper=username
Nom abrégé : -b
Indique l'ID de l'utilisateur OKM que cet utilitaire doit utiliser pour s'authentifier auprès du logiciel OKM. Si cette valeur est indiquée, elle demande la phrase de passe de l'utilisateur étant donné que l'authentification via les certificats n'est pas utilisée. Cette option est mutuellement exclusive avec les options --cacert
, --usercert
et --directory
.
--rateinterval Nom abrégé : -I Indique l'intervalle d'affichage de taux. Les taux de demandes seront extrapolés pour l'intervalle de taux sélectionné et affichés en tant que nombre moyen de demandes pour l'intervalle sélectionné (par exemple, nombre moyen extrapolé de demandes de création de clés par jour). Les valeurs possibles sont "second", "minute", "hour", "day", "week", "month" "year" ou "entire". La valeur "entire" affiche le nombre de chaque type de demande au lieu de leur taux. La valeur par défaut est "entire".
--startdate Nom abrégé : -s Indique la date et l'heure de début d'une demande de performance au format AAAA-MM-JJ hh:mm:ss, représentant une valeur d'heure universelle (UTC) ou d'heure locale si l'option localtimezone est définie sur true. La valeur par défaut correspond au début de la collecte de données.
--usercert=filename
Nom abrégé : -u
Indique un fichier PEM de certificat X.509 d'utilisateur OKM que cet utilitaire doit utiliser pour s'authentifier auprès du logiciel OKM. Ce fichier de certificat doit également contenir la clé privée de l'utilisateur. S'il n'est pas indiqué, l'utilitaire recherche un fichier clientkey.pem
dans le répertoire indiqué par l'option --directory
. Cette option est mutuellement exclusive avec l'option --oper
.
La liste suivante contient des options supplémentaires.
--agentids=agentids
Nom abrégé : -A
Indique une liste de valeurs séparées par des virgules des ID d'agents pour les événements d'audit associés. Chaque ID d'agent doit contenir entre 1 et 64 caractères. L'utilisateur du logiciel OKM doit avoir le rôle Opérateur ou Agent de conformité pour pouvoir indiquer cette option. Cette option est mutuellement exclusive avec les options --dataunitids
et --keyids
.
--all=true
Nom abrégé : -l
Indique que cet utilitaire détruit toutes les clés désactivées ou compromises, comme indiqué par l'option --keystate
, pour toutes les unités de données. Cette option est mutuellement exclusive avec l'option --duids
.
--comment=”text”
Nom abrégé : -C
Indique un commentaire décrivant la destruction de clé. Ce commentaire doit contenir entre 1 et 64 caractères.
--dataunitids=dataunitds
Nom abrégé : -D
Indique une liste de valeurs séparées par des virgules d'ID d'unités de données pour les événements d'audit associés. Chaque ID d'unité de données doit contenir 32 caractères hexadécimaux. L'utilisateur du logiciel OKM doit avoir le rôle Opérateur ou Agent de conformité pour pouvoir indiquer cette option. Cette option est mutuellement exclusive avec les options --agentids
et --keyids
.
--duids=filename
Nom abrégé : -i
Pour l'exportation ou la destruction d'une clé, cette option indique un nom de fichier contenant un ensemble d'ID d'unités de données, un par ligne, définis par les nouvelles lignes. Chaque ID d'unité de données doit contenir 32 caractères hexadécimaux. Sur la sous-commande destroykeys
, si une unité de données spécifique ne contient aucune clé désactivée ou compromise, cette unité de données est ignorée. Si le fichier indiqué est vide, la sous-commande destroykeys
détruit toutes les clés désactivées ou compromises pour toutes les unités de données (voir l'option --all
). Cette option est mutuellement exclusive avec les options --filter
et --all
.
--filter=filter
Nom abrégé : -f
Indique une chaîne de filtres traitée pour générer une liste d'ID d'unités de données à afficher ou à exporter ou une liste d'événements d'audit à afficher. La chaîne doit être placée entre guillemets (guillemets sous Windows) si elle contient des espaces (voir la section "Exemples").
La durée de l'exportation est proportionnelle au nombre d'unités de données et de clés, c'est pourquoi vous devez indiquer un filtre pour réduire l'ensemble d'unités de données.
Sur la sous-commande d'exportation, cette option est mutuellement exclusive avec l'option --duids
.
Sur les sous-commandes export
et listdu
, la syntaxe de cette chaîne de filtre est la suivante :
DUState=
state[, Exported=
boolean ][, Imported=
boolean]
[, DataUnitID=
duid][, ExternalTag=
tag]
[, ExternalUniqueID=
euid]
DUState=
state
Ici, state peut être défini sur ”normal,” ”needs-rekey,” or ”normal+needs-rekey.” Si le filtre DUState
n'est pas indiqué, la valeur par défaut est ”DUState=normal+needs-rekey.”
Exported=
boolean
Ici, boolean peut être défini sur ”true” ou ”false.” Si la condition de filtre Exported
n'est pas indiquée, la sélection des unités de données ne prend pas en compte l'état exporté. Les unités de données exportées et les unités de données n'ayant pas encore été exportées peuvent donc être sélectionnées.
Imported=
boolean
Ici, boolean peut être défini sur ”true” ou ”false.” Si la condition de filtre Imported
n'est pas indiquée, la sélection des unités de données ne prend pas en compte l'état importé. Les unités de données importées et les unités de données n'ayant pas encore été importées peuvent donc être sélectionnées.
DataUnitID=
duid
Ici, duid désigne un ID d'unité de données.
ExternalTag=
tag
Ici, tag désigne une balise externe (doit être complétée de 32 caractères avec des espaces pour les unités de données créées pour les lecteurs de bande LTO).
ExternalUniqueID=
euid
euid est un ID unique externe.
Sur la sous-commande listagentperformance, la syntaxe de cette chaîne de filtre est la suivante :
AgentID=agentid[, SiteID=siteid][, DefaultKeyGroupID=kgid]
AgentID=agentid
Ici, agentid est un nom d'agent. La CLI utilise l'opérateur "commence par" (au lieu de l'opérateur "égal à") lors de la mise en correspondance de ce champ lorsque certains agents ajoutent des espaces de fin à la valeur de ce champ.
SiteID=siteid
Ici, siteid désigne l'ID du site.
DefaultKeyGroupID=kgid
Ici, kgid désigne un ID de groupe de clés.
Sur la sous-commande listauditevents
, la syntaxe de cette chaîne de filtres est la suivante :
StartDate=
date[, EndDate=
date ][, Severity=
text]
[, Operation=
text][, Condition=
text] [, Class=
text]
[, RetentionTerm=
text] [, KMAName=
kmaname]
[, EntityID=
entityid][, EntityNetworkAddress=
netaddress]
[, SortOrder=
order][, ShowShortTerm=
boolean]
StartDate=
date
Ici, la date prend le format suivant : AAAA-MM-JJ hh:mm:ss et est exprimée selon l'heure universelle.
EndDate=
date
Ici, la date prend le format suivant : AAAA-MM-JJ hh:mm:ss et est exprimée selon l'heure universelle.
Severity=
text
Ici, text désigne une chaîne de gravité d'audit (”Error”, par exemple).
Operation=
text
Ici, text désigne une chaîne d'opération d'audit (”Retrieve Root CA Certificate”, par exemple).
Condition=
text
Ici, text désigne une chaîne de condition d'audit (”Success”, par exemple).
Class=
text
Ici, text désigne une chaîne de classe d'audit (”Security Violation”, par exemple).
RetentionTerm=
text
Ici, text désigne une chaîne de période de rétention d'audit (”MEDIUM TERM RETENTION”, par exemple).
KMAName=
kmaname
Ici, kmaname désigne un nom de KMA.
EntityID=
entityid
Ici, entityid désigne un ID d'entité.
EntityNetworkAddress=
netaddress
Ici, netaddress désigne une adresse IP ou un nom d'hôte.
SortOrder=
order
Ici, order peut être défini sur ”asc
” ou ”desc
.” Par défaut, les événements d'audit sont affichés par ordre décroissant selon la date de création.
ShowShortTerm=
boolean
Ici, boolean peut être défini sur ”true” ou ”false.” Par défaut, les événements d'audit ayant une courte période de rétention ne sont pas affichés.
Sur la sous-commande listkeys, la syntaxe de ce filtre est la suivante :
KeyState=state[, KeyID=keyid][, KeyGroupID=kgid] [, Exported=boolean][, Imported=boolean] [, Revoked=boolean]
KeyState=state Ici, state peut avoir l'une des valeurs suivantes : gen, ready, pnp, proc, deact, comp, dest
KeyID=keyid Ici, keyid désigne un ID de clé.
KeyGroupID=kgid Ici, kgid désigne un ID de groupe de clés.
Exported=boolean Ici, boolean peut avoir la valeur "true" ou "false".
Imported=boolean Ici, boolean peut avoir la valeur "true" ou "false".
Revoked=boolean Ici, boolean peut avoir la valeur "true" ou "false".
Sur la sous-commande listkmaperformance, la syntaxe de cette chaîne de filtres est la suivante :
KMAName=kmaname[, SiteID=siteid]
KMAName=kmaname Ici, kmaname désigne un nom de KMA.
SiteID=siteid Ici, siteid désigne un ID de site.
--help
Nom abrégé : -h
Affiche des informations d'aide.
--input=filename
Nom abrégé : -i
Indique le nom du fichier à partir duquel importer les unités de données et les clés. Ce fichier est également appelé fichier de transfert de clés.
--keygroup=keygroupid
Nom abrégé : -g
Indique l'ID d'un groupe de clés définir dans le logiciel OKM.
--keyids=keyids
Nom abrégé : -K
Indique une liste de valeurs séparées par des virgules des ID de clés pour les événements d'audit associés. L'utilisateur du logiciel OKM doit avoir le rôle Opérateur ou Agent de conformité pour pouvoir indiquer cette option. Cette option est mutuellement exclusive avec les options --agentids
et --dataunitids
.
--keystate=keystate
Nom abrégé : -s
Indique l'état des clés à détruire. La valeur de keystate peut être ”deact”
pour les clés désactivées, ”comp
” pour les clés compromises ou ”deact+comp
” pour les clés désactivées ou compromises.
--kma=networkaddress
Nom abrégé : -k
Indique l'adresse réseau du KMA pour créer la demande. L'adresse réseau peut être un nom d'hôte, une adresse IPv4 ou une adresse IPv6.
--listwait=waittime
Nom abrégé : -w
Indique le nombre de secondes entre les demandes Répertorier les unités de données créées par les sous-commandes export
et listdu
. La valeur par défaut est 2.
--localtimezone=boolean
Nom abrégé : -L
Affiche les horodatages des événements d'audit dans le fuseau horaire local au lieu de l'heure universelle (UTC). Les filtres StartDate et EndDate sont interprétés comme étant exprimés en heure locale.
--maxcount=count
Nom abrégé : -c
indique le nombre maximal d'événements d'audit à répertorier. The default value is La valeur par défaut est 20 000.
--onetimepassphrase=boolean
Nom abrégé : -O
Indique une valeur booléenne pour déterminer si la phrase de passe d'inscription peut être utilisée une seule fois pour l'authentification. La valeur booléenne peut être définie sur "true" ou "false".
--output=filename ou dirname
Nom abrégé : -o
Indique le nom du fichier dans lequel sont stockés les résultats. Ces résultats sont la sauvegarde sur les demandes backup
et backupcs
, le fichier de transfert de clés sur les demandes export
, une liste de unités de données et de leurs propriétés sur les demandes listdu
et une liste des événements d'audit sur les demandes listauditevents
. Sur les demandes listdu
et listauditevents
, ”-” peut être indiqué pour stdout
, qui est également la valeur par défaut. Sur les demandes backup
, cette option indique le répertoire dans lequel le fichier de données de sauvegarde et le fichier de clés de sauvegarde sont téléchargés.
--overrideeuiconflict=boolean
Nom abrégé : -O
Indique une valeur booléenne pour déterminer si vous souhaitez ignorer un conflit lorsqu'une unité de données existante possède le même ID unique externe qu'une unité de données importée. Si cette valeur est définie sur "true", l'unité de données existante est mise à jour pour effacer son ID unique externe et l'unité de données d'importation conserve son ID unique externe. Sinon, la demande d'importation échoue. La valeur booléenne peut être "true" ou "false."
--partner=transferpartnerid
Nom abrégé : -p
Indique l'ID du partenaire de transfert défini dans OKM et pouvant envoyer ou recevoir des clés exportées.
--passphrase=passphrase
Nom abrégé : -P
indique une phrase de passe pour l'agent en cours de création ou de modification. Les phrases de passe peuvent contenir entre 8 et 64 caractères. Les phrases de passe doivent suivre les règles de phrases de passe OKM.
--rclientcert=filename
Nom abrégé : -C
Indique un fichier de certificat X.509 généré par une autorité de certification pour ce KMA.
--rclientkey=filename
Nom abrégé : -K
Indique un fichier de clés privé accompagnant le fichier de certificat client.
--rclientpassword=password
Nom abrégé : -P
Indique un mot de passe (le cas échéant) protégeant la clé privée.
--retries=retries
Nom abrégé : -r
Indique le nombre de tentatives de connexion de cet utilitaire au KMA, si le KMA est occupé. La valeur par défaut est 60.
--server=networkaddress
Nom abrégé : -S
Indique l'adresse réseau (adresse IP ou, si le protocole DNS est configuré, le nom d'hôte) du système syslog distant.
--site=siteid
Nom abrégé : -S
Indique l'ID de site de l'agent en cours de création ou de modification. Cet ID de site doit contenir entre 1 et 64 caractères.
--timeout=timeout
Nom abrégé : -t
Indique la valeur du délai d'attente en secondes entre chacune de ces tentatives. La valeur par défaut est 60.
--verbose=boolean
Nom abrégé : -n
Indique que cet utilitaire génère une sortie détaillée comprenant l'état de progression lors du traitement de la demande. la valeur booléenne peut être définie sur "true" ou "false".
--version
Nom abrégé : -v
Affiche l'utilisation de la ligne de commande.
Les exemples suivants présentent une seule ligne de commande. Dans certains cas, la ligne de commande est affichée sur plusieurs lignes pour assurer une meilleure lisibilité. Dans les exemples concernant Solaris, les barres obliques inversées indiquent la suite de la ligne de commande.
Les exemples suivants génèrent une sauvegarde à l'aide de certificats dans les fichiers ca.crt et clientkey.pem dans le répertoire indiqué à des fins d'authentification.
Solaris :
okm backup --kma=mykma1 \ --directory/export/home/Joe/.sunw/kms/BackupOperatorCertificates \ --output=/export/home/KMSBackups
Windows :
okm backup --kma=mykma1 --directory=D:\KMS\Joe\BackupOperatorCertificates --output=D:\KMS\KMSBackups
Les exemples suivants génèrent une sauvegarde à l'aide de l'ID utilisateur et de la phrase de passe d'un utilisateur du logiciel OKM à des fins d'authentification.
Solaris :
okm backup -k mykma1 -o /export/home/KMSBackups -b Joe
Windows :
okm backup -k mykma1 -o D:\KMS\KMSBackups -b Joe
les exemples suivants exportent des clés à l'aide des certificats dans les fichiers ca.pem et op.pem dans le répertoire de travail courant à des fins d'authentification.
Solaris :
okm export -k 10.172.88.88 -d "." -a ca.pem -u op.pem \ -f "DUState = normal+needs-rekey, Exported = false" \ -o Partner.dat -p Partner
Windows :
okm export -k 10.172.88.88 -d "." -a ca.pem -u op.pem -f "DUState = normal+needs-rekey, Exported = false" -o Partner.dat -p Partner
Les exemples suivants exportent des clés à l'aide de l'ID utilisateur et de la phrase de passe d'un utilisateur OKM à des fins d'authentification.
Solaris :
okm export --kma=mykma1 --oper=tpFreddy \ --filter="Exported = false" --output=Partner.dat \ --partner=Partner
Windows :
okm export --kma=mykma1 --oper=tpFreddy --filter="Exported = false" --output=Partner.dat --partner=Partner
Les exemples suivants importent des clés à l'aide des certificats dans les fichiers ca.crt et clientkey.pem dans le répertoire de travail courant à des fins d'authentification.
Solaris :
okm import --kma=10.172.88.88 --directory="." \ --input=DRKeys.dat --partner=Partner \ --keygroup=OpenSysBackupKeyGroup
Windows :
okm import --kma=10.172.88.88 --directory="." --input=DRKeys.dat --partner=Partner --keygroup=OpenSysBackupKeyGroup
Les exemples suivants importent des clés à l'aide de l'ID utilisateur et de la phrase de passe d'un utilisateur OKM à des fins d'authentification.
Solaris :
okm import --kma=mykma1 --oper=Joe --input=DRKeys.dat \ --partner=Partner --keygroup=OpenSysBackupKeyGroup
Windows :
okm import --kma=mykma1 --oper=Joe --input=DRKeys.dat --partner=Partner --keygroup=OpenSysBackupKeyGroup
Les exemples suivants dressent la liste des unités de données à l'aide des certificats des fichiers ca.crt et clientkey.pem dans le répertoire indiqué à des fins d'authentification.
Solaris :
okm listdu --kma=10.172.88.88 \ --directory=/export/home/Joe/.sunw/kms/OperatorCertificates \ --output=/export/home/KMSDataUnits
Windows :
okm listdu --kma=10.172.88.88 --directory=D:\KMS\Joe\OperatorCertificates --output=D:\KMS\KMSDataUnits
Les exemples suivants dressent la liste des unités de données à l'aide de l'ID utilisateur et de la phrase de passe d'un utilisateur OKM à des fins d'authentification.
Solaris :
okm listdu -k mykma1 -b Joe -f "Exported=false" \ --output=/export/home/KMSDataUnits
Windows :
okm listdu -k mykma1 -b Joe -f "Exported=false" --output=D:\KMS\KMSDataUnits
Les exemples suivants dressent la liste des événements d'audit à l'aide des certificats des fichiers ca.crt et clientkey.pem dans le répertoire indiqué à des fins d'authentification.
Solaris :
okm listauditevents --kma=10.172.88.88 \ --directory=/export/home/Joe/.sunw/kms/OperatorCertificates \ --filter=Severity=Error \ --output=/export/home/KMSAuditEvents
Windows :
okm listauditevents --kma=10.172.88.88 --directory=D:\KMS\Joe\OperatorCertificates --filter=Severity=Error --output=D:\KMS\KMSAuditEvents
Les exemples suivants dressent la liste des événements d'audit à l'aide de l'ID utilisateur et de la phrase de passe d'un utilisateur OKM à des fins d'authentification.
Solaris :
okm listauditevents -k mykma1 -b Joe -f "Severity=Error" \ --output=/export/home/KMSAuditEvents
Windows :
okm listauditevents -k mykma1 -b Joe -f "Severity=Error" --output=D:\KMS\KMSAuditEvents
Les exemples suivants détruisent toutes les clés compromises à l'aide des certificats des fichiers ca.crt et clientkey.pem dans le répertoire indiqué à des fins d'authentification.
Solaris :
okm destroykeys --kma=10.172.88.88 \ --directory=/export/home/Joe/.sunw/kms/OperatorCertificates \ --all=true --keystate=comp \ --comment="Joe destroyed compromised keys"
Windows :
okm destroykeys --kma=10.172.88.88 --directory=D:\KMS\Joe\OperatorCertificates --all=true --keystate=comp --comment="Joe destroyed compromised keys"
Les exemples suivants détruisent les clés désactivées associées à une liste d'ID d'unités de données à l'aide de l'ID utilisateur et de la phrase de passe d'un utilisateur OKM à des fins d'authentification.
Solaris :
okm destroykeys -k mykma1 -b Joe -i DeactivatedDUIDs.txt \ -s deact -C "Joe destroyed deactivated keys"
Windows :
okm destroykeys -k mykma1 -b Joe -i DeactivatedDUIDs.txt -s deact -C "Joe destroyed deactivated keys"
Les exemples suivants sauvegardent la sécurité principale à l'aide des certificats des fichiers ca.crt et clientkey.pem dans le répertoire indiqué à des fins d'authentification.
Solaris :
okm backupcs --kma=10.172.88.88 \ --directory=/export/home/Joe/.sunw/kms/SecurityOfficerCertificates \ --output=/export/home/KMSCoreSecurity.xml
Windows :
okm backupcs --kma=10.172.88.88 --directory=D:\KMS\Joe\SecurityOfficerCertificates --output=D:\KMS\KMSCoreSecurity.xml
Les exemples suivants sauvegardent la sécurité principale à l'aide de l'ID utilisateur et de la phrase de passe d'un utilisateur OKM à des fins d'authentification.
Solaris :
okm backupcs -k mykma1 -b Joe -o /export/home/KMSCoreSecurity.xml
Windows :
okm backupcs -k mykma1 -b Joe -o D:\KMS\KMSCoreSecurity.xml
Les valeurs de fermeture suivantes sont retournées :
0 Successful completion >0 An error occurred
Les scripts perl de base suivants peuvent être personnalisés et exécutés sous Solaris ou Windows. Ces exemples utilisent tous une authentification basée sur les certificats et nécessitent que le certificat d'autorité de certification racine et le certificat d'utilisateur se trouvent dans le répertoire de travail courant.
Remarque:
Les scripts perl ne sont pas installés avec l'utilitaire de ligne de commande OKM. Si vous souhaitez appeler l'utilitaire de ligne de commande OKM depuis un script perl, utilisez un éditeur de texte pour créer en créer un qui soit similaire à l'un des scripts perl présentés ici.listdu.pl
#!/opt/csw/bin/perl ## the kms CLI utility must be in your path $cmd="okm"; $KMA="kma1.example.com"; $FILTER="--filter=Exported=false"; $DIRECTORY="."; $OUTPUT="listdu.txt"; system("$cmd listdu --verbose=true --directory=$DIRECTORY --kma=$KMA $FILTER --output=$OUTPUT")
export.pl
#!/opt/csw/bin/perl ## the kms CLI utility must be in your path $cmd="okm"; $KMA="kma1.example.com"; $TP="DestinationPartner"; $FILTER="Exported=false"; $OUTPUT="$TP.dat"; system("$cmd export --verbose=true --kma=$KMA --directory=. --filter=$FILTER --partner=$TP --output=$OUTPUT");
import.pl
#!/opt/csw/bin/perl ## the kms CLI utility must be in your path $cmd="okm"; $KMA="kma1.example.com"; $TP="SourceTransferPartner"; $KEYGROUP="MyKeyGroup"; $INPUT="../aberfeldy/KeyBundle.dat"; system("$cmd import --verbose=true --kma=$KMA --directory=. --partner=$TP --keygroup=$KEYGROUP --input=$INPUT");
backup.pl
#!/opt/csw/bin/perl ## the following must be in your path $cmd="okm"; $KMA="kma1.example.com"; $DIRECTORY="."; $OUTPUT="."; system("$cmd backup --verbose=true --directory=$DIRECTORY --kma=$KMA --output=$OUTPUT")
L'utilitaire de ligne de commande de sauvegarde vous permet de lancer une sauvegarde depuis la ligne de commande au lieu de la lancer depuis le menu Backup List (Liste des sauvegardes). Vous pouvez également programmer des sauvegardes automatiques.
Cet utilitaire est installé avec l'interface graphique utilisateur du gestionnaire OKM à l'aide du même programme d'installation.
Remarque:
Si vous souhaitez saisir des adresses IPv6 link-local, appelez l'utilitaire de sauvegarde et indiquez l'adresse IPv6 link-local. Ajoutez l'ID de zone ("%4", par exemple) à la fin de l'adresse.Reportez-vous à la section "Adresses IPv6 avec ID de zone" pour connaître les étapes à suivre pour la configuration initiale.
OKM_Backup [-UserID userid] [-Passphrase passphrase] -KMAIPAddress IPaddress -BackupFilePath pathname [-Retries retries] [-Timeout timeout]
OKMBackupUtility [-UserID userid] [-Passphrase passphrase] -KMAIPAddress IPaddress -BackupFilePath pathname [-Retries retries] [-Timeout timeout]
userid
ID utilisateur de l'opérateur de sauvegarde. Il doit s'agir d'un opérateur de sauvegarde.
passphrase
Phrase de passe de l'ID utilisateur.
Si la valeur du userid ou de la passphrase n'est pas indiquée, l'utilitaire vous demande de saisir ces valeurs.
IPaddress
Adresse réseau de gestion des KMA sur laquelle lancer la sauvegarde.
pathname
Emplacement de téléchargement du fichier de sauvegarde et du fichier de clés de sauvegarde sur votre système.
retries
Nombre de tentatives de connexion de cet utilitaire au KMA, si le KMA est occupé. La valeur par défaut est 60.
timeout
Valeur du délai d'attente en secondes entre chacune de ces tentatives. La valeur par défaut est 60.
L'exemple suivant crée un fichier de sauvegarde (format : OKM-Backup-backupid-timestamp.dat) et un fichier de clés de sauvegarde (format: OKM-BackupKey-backupid-timestamp.xml).
OKM_Backup -UserID MyBackupOperator \ -KMAIPAddress 10.0.60.172 \ -BackupFilePath /tmp/MyKMSDownloads OKM Backup Utility Version 3.0.0 (build2020) Copyright (c) 2007, 2013, Oracle and/or its affiliates. All Rights Reserved. Enter Passphrase:
Remarque:
La phrase de passe peut également être indiquée sur la ligne de commande à l'aide du paramètre -Passphrase.