En este capítulo, se describen las utilidades de la línea de comandos que permiten que los usuarios inicien copias de seguridad, exporten claves, importen claves y enumeren unidades de datos desde la línea de comandos en lugar de la GUI de OKM Manager.
Están disponibles las siguientes utilidades de la línea de comandos:
Nota:
La utilidad de la línea de comandos de OKM reemplaza la utilidad de la línea de comandos de copia de seguridad. Oracle recomienda utilizar la utilidad de la línea de comandos de OKM siempre que sea posible.La utilidad de la línea de comandos de OKM le permite:
Programar copias de seguridad automáticas
Realizar copias de seguridad básica de OKM
Importar y exportar claves
Destruir claves
Enumerar eventos de auditoría
Enumerar unidades de datos
Crear o modificar varios agentes
A diferencia de la utilidad de la línea de comandos de copia de seguridad, esta utilidad puede usar certificados X.509, en lugar de un nombre de usuario y una frase de contraseña, para autenticarse como un usuario de OKM válido; por lo tanto, no es necesario que introduzca una frase de contraseña en la línea de comandos.
En la siguiente tabla, se describen los roles que pueden llevar a cabo estas funciones:
Tabla 12-1 Utilidad de la línea de comandos de OKM - Acceso de roles de usuario
| Acción: | Rol: |
|---|---|
|
Realizar copias de seguridad |
Operador de copias de seguridad |
|
Realizar copias de seguridad básica de OKM |
Responsable de la seguridad |
|
Importar/exportar claves |
Operador |
|
Destruir claves |
Operador |
|
Enumerar eventos de auditoría |
Todos los rolesPie 1 |
|
Enumerar unidades de datos |
Operador/responsable del cumplimiento |
|
Crear agentes |
Operador |
|
Configurar/cambiar el grupo de claves predeterminado del agente |
Responsable del cumplimiento |
|
Cambiar las propiedades del agente |
Operador |
|
Enumerar agentes |
Operador/responsable del cumplimiento |
Nota a Pie de Página 1 Si especifica ID de agentes, ID de unidades de datos o ID de claves, debe tener el rol de operador o responsable de cumplimiento.
Esta utilidad se instala con la GUI de OKM Manager mediante el mismo instalador.
Nota:
Si desea introducir direcciones IPv6 locales de enlace, invoque la utilidad de la línea de comandos de OKM y especifique la dirección IPv6 local de enlace. Incluya el ID de zona (por ejemplo, "%4") al final de la dirección. Consulte "Direcciones IPv6 con ID de zona" para conocer los pasos que debe seguir para la configuración inicial.Si utiliza Solaris y desea especificar o visualizar caracteres que no pueden ser representados en ASCII, asegúrese de que la configuración regional de Solaris adecuada se haya instalado en el sistema Solaris y de que el entorno haya sido configurado para usar esta configuración regional. Consulte las páginas del comando man locale(1) y localeadm(1M) de Solaris para obtener más información.
okm -v | --version | --help | -h
okm backup [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] ] | --oper=username [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] --kma=networkaddress --output=dirname
okm backupcs [ [ [ --cacert=filename ] [ --usercert=filename ]]
[ --directory=dirname ] | --oper=username ]
[ --retries=retries ] [ --timeout=timeout ]
[ --verbose=boolean ]
--kma=networkaddress
okm createagent[ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] [ --description=description ] [ --site=siteid ] [ --keygroup=defaultkeygroupid ] [ --onetimepassphrase=boolean ] --kma=networkaddress --agent=agentid --passphrase=agentpassphrase
okm currload [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] ] | --oper=username [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] --output=filename --kma=networkaddress
okm destroykeys [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] --kma=networkaddress --duids=filename | --all=true --keystate=keystate --comment="text"
okm export [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --retries=retries ] [ --timeout=timeout ] [ --listwait=waittime ] [ --verbose=boolean ] --filter=filter | --duids=filename --kma=networkaddress --output=filename --partner=transferpartnerid
okm import [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] ] | --oper=username [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] [ --overrideeuiconflict=boolean ] --kma=networkaddress --input=filename --partner=transferpartnerid --keygroup=keygroupid
okm listagentperformance [ [ [ --cacert=filename ] [ --usercert=filename ] ]
[ --directory=dirname ] | --oper=username ]
[ --filter=filter ]
[ --retries=retries ] [ --timeout=timeout ]
[ --listwait=waittime ] [ --verbose=boolean ]
[ --output=filename ]
[ --startdate=date ] [ --enddate=date ]
[ --localtimezone=boolean ]
[ --rateinterval=rateinterval ]
--kma=networkaddress
okm listagents[ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --retries=retries ] [ --timeout=timeout ] [ --listwait=waittime ] [ --verbose=boolean ] [ --filter=filter ] [ --output=filename ] --kma=networkaddress
okm listauditevents [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | [ --oper=username ] [ --filter=filter ] [ --localtimezone=boolean ] [ --maxcount=count ] [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] [ --output=filename ] [ --agentids=agentids | --dataunitids=dataunitds | --keyids=keyids ] --kma=networkaddress
okm listdu [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] ] | --oper=username [ --filter=filter ] [ --retries=retries ] [ --timeout=timeout ] [ --listwait=waittime ] [ --verbose=boolean ] [ --output=filename ] --kma=networkaddress
okm listdukeycount[ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --filter=filter ] [ --retries=retries ] [ --timeout=timeout ] [ --listwait=waittime ] [ --verbose=boolean ] [ --output=filename ] --kma=networkaddress --duids=filename | --all=true
okm listkeys [ [ [ --cacert=filename ] [ --usercert=filename ] ]
[ --directory=dirname ] | --oper=username ]
[ --filter=filter ]
[ --retries=retries ] [ --timeout=timeout ]
[ --listwait=waittime ] [ --verbose=boolean ]
[ --output=filename ]
--kma=networkaddress
okm listkmaperformance [ [ [ --cacert=filename ] [ --usercert=filename ] ]
[ --directory=dirname ] | --oper=username ]
[ --filter=filter ]
[ --retries=retries ] [ --timeout=timeout ]
[ --listwait=waittime ] [ --verbose=boolean ]
[ --output=filename ]
[ --startdate=date ] [ --enddate=date ]
[ --localtimezone=boolean ]
[ --rateinterval=rateinterval ]
--kma=networkaddress
okm modifyagent[ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] [ --description=description ] | [ --site=siteid ] | [ --keygroup=defaultkeygroupid ] | [ --passphrase=agentpassphrase ] | [ --enabled=boolean ] | [ --onetimepassphrase=boolean ] --kma=networkaddress --agent=agentid
A continuación, se presentan subcomandos de la utilidad de la línea de comandos de OKM.
backup
El subcomando backup genera una copia de seguridad de los datos de OKM y descarga esta copia de seguridad en un archivo de copia de seguridad y un archivo de clave de copia de seguridad en el directorio de salida especificado.
backupcs
El subcomando backupcs genera una copia de seguridad básica de OKM y almacena esta copia de seguridad en un archivo de salida.
createagent
El subcomando createagent crea un nuevo agente.
destroykeys
El subcomando destroykeys destruye las claves desactivadas o comprometidas.
export
El subcomando export crea un archivo de claves seguro para un socio de transferencia establecido con OKM. Todas las claves asociadas con una lista de unidades de datos se exportan utilizando este archivo de claves y se protegen mediante una clave AES de 256 bits que firma el archivo de claves. La lista de unidades de datos es el resultado del nombre del archivo o la cadena del filtro determinado. Este archivo de claves se puede utilizar para importar las claves en OKM del socio de transferencia con el subcomando import. Se pueden exportar hasta 1000 unidades de datos en una sola invocación del comando kms.
import
El subcomando import lee un archivo de claves seguro para un socio de transferencia establecido con OKM. Las claves y los datos asociados se importan utilizando este archivo de claves. La clave privada para transferencia de claves del OKM para importación se utiliza para validar el archivo de claves. Este archivo debe haber sido exportado anteriormente desde otro OKM mediante el subcomando export.
listagents
El subcomando listagents genera una lista de agentes y sus propiedades. La lista puede filtrarse para generar un informe específico que contenga solamente un subconjunto de agentes.
listauditevents
El subcomando listauditevents enumera eventos de auditoría.
listdu
El subcomando listdu enumera las unidades de datos y sus propiedades. Este subcomando se puede invocar antes de ejecutar el subcomando export para determinar las unidades de datos que se exportan utilizando el filtro especificado (si existe uno).
modifyagent
El subcomando modifyagent cambia las propiedades de un agente existente, incluido el grupo de claves predeterminado. También debe especificarse al menos una de las siguientes opciones:
--enabled
--site
--description
--keygroup
--passphrase
--onetimepassphrase
La siguiente lista de opciones muestra el nombre largo y el nombre corto de la opción. Un nombre largo de la opción está separado del valor con un signo igual (=); un nombre corto de la opción está separado del valor con un espacio.
Las siguientes opciones se utilizan para la autenticación de usuarios.
Nota:
Los usuarios primero deben exportar los certificados X.509 de usuario y de la autoridad de certificación root desde la GUI de OKM Manager antes de invocar esta utilidad con las opciones--cacert, --directory y --usercert.--agent=agentid
Nombre corto: -B
Especifica un ID de agente que se creará o modificará. Este ID de agente debe tener entre 1 y 64 caracteres, inclusive.
--cacert=filename
Nombre corto: -a
Especifica un archivo PEM de certificado X.509 de la autoridad de certificación root de OKM que esta utilidad usará para autenticarse con OKM. Si no se especifica, la utilidad busca un archivo ca.crt en el directorio especificado por la opción --directory. Esta opción y la opción --oper son mutuamente excluyentes.
--description=description
Nombre corto: -R
Especifica una descripción del agente que se creará o modificará. La descripción debe tener entre 1 y 64 caracteres, inclusive.
--directory=dirname
Nombre corto: -d
Especifica un directorio en el cual buscar un archivo PEM que contenga el certificado X.509 de la autoridad de certificación root de OKM y un archivo PEM que contenga un certificado X.509 del usuario de OKM. Si no se especifica, esta utilidad busca los archivos del certificado en el directorio de trabajo actual. Esta opción y la opción --oper son mutuamente excluyentes.
--enddate
Nombre corto: -e Especifica la fecha y la hora de finalización de una consulta de rendimiento con el formato: YYYY-MM-DD hh:mm:ss, que representa un valor en el formato de hora universal coordinada (UTC) o una hora local si la opción localtimezone es verdadera. El valor predeterminado es el presente.
--localtimezone Nombre corto: -L Especifica un valor booleano para determinar si las horas de entrada y de salida están en el formato de zona horaria local en lugar de hora universal coordinada (UTC). Esto afecta la interpretación de los valores de entrada, como las fecha de inicio y de finalización, y la visualización de registros de hora de los eventos de auditoría. El valor booleano puede ser "true" o "false".
--oper=username
Nombre corto: -b
Especifica el ID de usuario de OKM que esta utilidad usará para autenticarse con OKM. Si se especifica, solicita la frase de contraseña del usuario, ya que no se utilizan certificados. Esta opción y las opciones --cacert, --usercert y --directory son mutuamente excluyentes.
--rateinterval Nombre corto: -I Especifica el intervalo de visualización de la frecuencia. Las frecuencias de solicitudes se extrapolarán en el intervalo de visualización de la frecuencia seleccionado y se visualizarán como el número promedio de solicitudes en ese intervalo seleccionado (por ejemplo, número promedio extrapolado de solicitudes de creación de claves por día). Los valores posibles son "second," "minute," "hour," "day," "week," "month," "year" o "entire". Si se selecciona "entire", se mostrarán los recuentos de cada tipo de solicitud en lugar de las frecuencias. El valor predeterminado es "entire".
--startdate Nombre corto: -s Especifica la fecha y la hora de inicio de una consulta de rendimiento con el formato: YYYY-MM-DD hh:mm:ss, que representa un valor en el formato de hora universal coordinada (UTC) o una hora local si la opción localtimezone es verdadera. El valor predeterminado es el inicio de la recopilación de datos.
--usercert=filename
Nombre corto: -u
Especifica un archivo PEM de certificado X.509 del usuario de OKM que esta utilidad usará para autenticarse con OKM. Este archivo de certificado también debe contener la clave privada del usuario. Si no se especifica, la utilidad busca un archivo clientkey.pem en el directorio especificado por la opción --directory. Esta opción y la opción --oper son mutuamente excluyentes.
La siguiente lista muestra opciones adicionales.
--agentids=agentids
Nombre corto: -A
Especifica una lista separada por comas de ID de agentes para los eventos de auditoría asociados. Cada ID de agente debe tener entre 1 y 64 caracteres. El usuario de OKM debe tener el rol de operador o responsable del cumplimiento para poder especificar esta opción. Esta opción y las opciones --dataunitids y --keyids son mutuamente excluyentes.
--all=true
Nombre corto: -l
Indica que esta utilidad destruye todas las claves desactivadas o comprometidas, según lo indicado por la opción --keystate, para todas las unidades de datos. Esta opción y la opción --duids son mutuamente excluyentes.
--comment=”text”
Nombre corto: -C
Especifica un comentario que describe la destrucción de claves. Este comentario debe tener entre 1 y 64 caracteres.
--dataunitids=dataunitds
Nombre corto: -D
Especifica una lista separada por comas de ID de unidades de datos para los eventos de auditoría asociados. Cada ID de unidad de datos debe tener 32 caracteres hexadecimales. El usuario de OKM debe tener el rol de operador o responsable del cumplimiento para poder especificar esta opción. Esta opción y las opciones --agentids y --keyids son mutuamente excluyentes.
--duids=filename
Nombre corto: -i
Para la exportación o la destrucción de claves, esta opción especifica un nombre de archivo que contiene un conjunto de ID de unidades de datos, uno por línea, delimitados por cada línea nueva. Cada ID de unidad de datos debe tener 32 caracteres hexadecimales. En el subcomando destroykeys, si una unidad de datos determinada no tiene ninguna clave desactivada o comprometida, se ignora esa unidad de datos. Si el archivo especificado está vacío, el subcomando destroykeys destruye todas las claves desactivadas o comprometidas para todas las unidades de datos (consulte la opción --all). Esta opción y las opciones --filter y --all son mutuamente excluyentes.
--filter=filter
Nombre corto: -f
Especifica una cadena de filtro que se procesa para generar una lista de ID de unidades de datos para mostrar o exportar o una lista de eventos de auditoría para mostrar. La cadena debe estar encerrada por comillas (comillas dobles en Windows) si contiene espacios en blanco (consulte "Ejemplos").
El tiempo que tarda la exportación es proporcional al número de claves y unidades de datos, de modo que, generalmente, debe especificar un filtro que reduzca el conjunto de unidades de datos.
En el subcomando export, esta opción y la opción --duids son mutuamente excluyentes.
En los subcomandos export y listdu, la sintaxis de esta cadena de filtro es:
DUState=state[, Exported=boolean ][, Imported=boolean]
[, DataUnitID=duid][, ExternalTag=tag]
[, ExternalUniqueID=euid]
DUState=state
Donde state puede ser "normal", "needs-rekey" o "normal+needs-rekey". Si no se especifica el filtro DUState, el valor predeterminado es "DUState=normal+needs-rekey".
Exported=boolean
Donde boolean puede ser "true" o "false". Si no se especifica la condición de filtro Exported, la selección de la unidad de datos no considera el estado de exportación, de modo que las unidades de datos exportadas y las que aún no se exportaron son elegibles para selección.
Imported=boolean
Donde boolean puede ser "true" o "false". Si no se especifica la condición de filtro Imported, la selección de la unidad de datos no considera el estado de importación, de modo que las unidades de datos importadas y las que aún no se importaron son elegibles para selección.
DataUnitID=duid
Donde duid es un ID de unidad de datos.
ExternalTag=tag
Donde tag es una etiqueta externa (debe completarse hasta llegar a 32 caracteres con espacios para las unidades de datos creadas para unidades de cinta LTO).
ExternalUniqueID=euid
Donde euid es un ID único externo.
En el subcomando listagentperformance, la sintaxis de esta cadena de filtro es:
AgentID=agentid[, SiteID=siteid][, DefaultKeyGroupID=kgid]
AgentID=agentid
Donde agentid es un nombre de agente. La CLI utiliza el operador "starts with" (en lugar de un operador de igualdad) al buscar coincidencias con este campo, ya que algunos agentes usan espacios en blanco para completar el valor de este campo.
SiteID=siteid
Donde siteid es un ID de sitio.
DefaultKeyGroupID=kgid
Donde kgid es un ID de grupo de claves.
En el subcomando listauditevents, la sintaxis de esta cadena de filtro es:
StartDate=date[, EndDate=date ][, Severity=text]
[, Operation=text][, Condition=text] [, Class=text]
[, RetentionTerm=text] [, KMAName=kmaname]
[, EntityID=entityid][, EntityNetworkAddress=netaddress]
[, SortOrder=order][, ShowShortTerm=boolean]
StartDate=date
Donde date tiene el formato: YYYY-MM-DD hh:mm:ss y representa el horario UTC.
EndDate=date
Donde date tiene el formato: YYYY-MM-DD hh:mm:ss y representa el horario UTC.
Severity=text
Donde text es una cadena de gravedad de auditoría (p. ej., "Error").
Operation=text
Donde text es una cadena de operación de auditoría (p. ej., "Retrieve Root CA Certificate").
Condition=text
Donde text es una cadena de condición de auditoría (p. ej., "Success").
Class=text
Donde text es una cadena de clase de auditoría (p. ej., "Security Violation").
RetentionTerm=text
Donde text es una cadena de plazo de retención de auditoría (p. ej., "MEDIUM TERM RETENTION").
KMAName=kmaname
Donde kmaname es un nombre de dispositivo de gestión de claves.
EntityID=entityid
Donde entityid es un ID de entidad.
EntityNetworkAddress=netaddress
Donde netaddress es una dirección IP o nombre de host.
SortOrder=order
Donde order puede ser "asc" o "desc". De forma predeterminada, los eventos de auditoría se muestran en orden descendente según la fecha de creación.
ShowShortTerm=boolean
Donde boolean puede ser "true" o "false". De forma predeterminada, no se muestran los eventos de auditoría que tienen una retención a largo plazo.
En el subcomando listkeys, la sintaxis de esta cadena de filtro es:
KeyState=state[, KeyID=keyid][, KeyGroupID=kgid] [, Exported=boolean][, Imported=boolean] [, Revoked=boolean]
KeyState=state Donde state puede ser uno de los siguientes valores: gen, ready, pnp, proc, deact, comp, dest
KeyID=keyid Donde keyid es un ID de clave.
KeyGroupID=kgid Donde kgid es un ID de grupo de claves.
Exported=boolean Donde boolean puede ser "true" o "false".
Imported=boolean Donde boolean puede ser "true" o "false".
Revoked=boolean Donde boolean puede ser "true" o "false".
En el subcomando listkmaperformance, la sintaxis de esta cadena de filtro es:
KMAName=kmaname[, SiteID=siteid]
KMAName=kmaname Donde kmaname es el nombre de un dispositivo de gestión de claves.
SiteID=siteid Donde siteid es un ID de sitio.
--help
Nombre corto: -h
Muestra información de ayuda.
--input=filename
Nombre corto: -i
Especifica el nombre del archivo desde el cual se importarán las unidades de datos y las claves. Este archivo también se conoce como archivo de transferencia de claves.
--keygroup=keygroupid
Nombre corto: -g
Especifica el ID de un grupo de claves definido para OKM.
--keyids=keyids
Nombre corto: -K
Especifica una lista separada por comas de ID de claves para los eventos de auditoría asociados. El usuario de OKM debe tener el rol de operador o responsable del cumplimiento para poder especificar esta opción. Esta opción y las opciones --agentids y --dataunitids son mutuamente excluyentes.
--keystate=keystate
Nombre corto: -s
Especifica el estado de las claves que se destruirán. El valor de keystate puede ser "deact" para las claves desactivadas,"comp" para las claves comprometidas o "deact+comp" para las claves desactivadas o comprometidas.
--kma=networkaddress
Nombre corto: -k
Especifica la dirección de red del dispositivo de gestión de claves que emitirá la solicitud. La dirección de red puede ser un nombre de host, una dirección IPv4 o una dirección IPv6.
--listwait=waittime
Nombre corto: -w
Especifica el número de segundos entre las solicitudes de enumeración de unidades de datos emitidas por los subcomandos export y listdu. El valor predeterminado es 2.
--localtimezone=boolean
Nombre corto: -L
Muestra los registros de hora de los eventos de auditoría en el formato de zona horaria local en lugar de hora universal coordinada (UTC). Además, se interpreta que los filtros StartDate y EndDate están en la hora local.
--maxcount=count
Nombre corto: -c
Especifica el número máximo de eventos de auditoría que se enumerarán. El valor predeterminado es 20.000.
--onetimepassphrase=boolean
Nombre corto: -O
Especifica un valor booleano para determinar si la frase de contraseña de inscripción se puede usar solamente una vez para la autenticación. El valor booleano puede ser "true" o "false".
--output=filename o dirname
Nombre corto: -o
Especifica el nombre del archivo donde se almacenan los resultados. Estos resultados corresponden a la copia de seguridad en las solicitudes backup y backupcs, al archivo de transferencia de claves en las solicitudes export, a una lista de las unidades de datos y sus propiedades en las solicitudes listdu y a una lista de eventos de auditoría en las solicitudes listauditevents. En las solicitudes listdu y listauditevents, se puede especificar "-" para stdout, que también es el valor predeterminado. En las solicitudes backup, esta opción especifica el directorio donde se descarga el archivo de datos de copia de seguridad y el archivo de clave de copia de seguridad.
--overrideeuiconflict=boolean
Nombre corto: -O
Especifica un valor booleano para determinar si se debe reemplazar un conflicto cuando una unidad de datos existente tiene el mismo ID único externo que una unidad de datos que se está importando. Si este valor es "true", la unidad de datos existente se actualiza para eliminar el ID único externo y la unidad de datos que se está importando conserva su ID único externo. De lo contrario, falla la solicitud de importación. El valor booleano puede ser "true" o "false".
--partner=transferpartnerid
Nombre corto: -p
Especifica el ID del socio de transferencia definido para OKM y elegible para enviar o recibir claves exportadas.
--passphrase=passphrase
Nombre corto: -P
Especifica una frase de contraseña para el agente que se creará o modificará. Las frases de contraseña pueden tener de 8 a 64 caracteres, inclusive. Las frases de contraseña deben seguir las reglas de frases de contraseña de OKM.
--rclientcert=filename
Nombre corto: -C
Especifica un archivo PEM de certificado X.509 emitido por una autoridad de certificación para este dispositivo de gestión de claves.
--rclientkey=filename
Nombre corto: -K
Especifica un archivo de clave privada que acompaña el archivo de certificado del cliente.
--rclientpassword=password
Nombre corto: -P
Especifica una contraseña (si hay alguna) que protege el archivo de clave privada.
--retries=retries
Nombre corto: -r
Especifica el número de veces que esta utilidad se intenta conectar al dispositivo de gestión de claves, si este último está ocupado. El valor predeterminado es 60.
--server=networkaddress
Nombre corto: -S
Especifica la dirección de red (dirección IP o si DNS está configurado, nombre de host) del sistema syslog remoto.
--site=siteid
Nombre corto: -S
Especifica el ID de sitio para el agente que se creará o modificará. Este ID de sitio debe tener entre 1 y 64 caracteres, inclusive.
--timeout=timeout
Nombre corto: -t
Especifica el valor de timeout, en segundos, entre estos reintentos. El valor predeterminado es 60.
--verbose=boolean
Nombre corto: -n
Indica que esta utilidad genera una salida detallada, incluido el estado de progreso durante el procesamiento de la solicitud. El valor booleano puede ser "true" o "false".
--version
Nombre corto: -v
Muestra el uso de la línea de comandos.
Estos ejemplos muestran una sola línea de comandos. En algunos casos, la línea de comandos aparece en varias líneas para facilitar la lectura. En los ejemplos de Solaris, las barras diagonales inversas indican la continuación de la línea de comandos.
Los siguientes ejemplos generan una copia de seguridad utilizando certificados de los archivos ca.crt y clientkey.pem en el directorio determinado para autenticación.
Solaris:
okm backup --kma=mykma1 \
--directory/export/home/Joe/.sunw/kms/BackupOperatorCertificates \
--output=/export/home/KMSBackups
Windows:
okm backup --kma=mykma1
--directory=D:\KMS\Joe\BackupOperatorCertificates
--output=D:\KMS\KMSBackups
Los siguientes ejemplos generan una copia de seguridad utilizando el ID de usuario y la frase de contraseña de un usuario de OKM para autenticación.
Solaris:
okm backup -k mykma1 -o /export/home/KMSBackups -b Joe
Windows:
okm backup -k mykma1 -o D:\KMS\KMSBackups -b Joe
Los siguientes ejemplos exportan claves utilizando certificados de los archivos ca.pem y op.pem en el directorio de trabajo actual para autenticación.
Solaris:
okm export -k 10.172.88.88 -d "." -a ca.pem -u op.pem \
-f "DUState = normal+needs-rekey, Exported = false" \
-o Partner.dat -p Partner
Windows:
okm export -k 10.172.88.88 -d "." -a ca.pem -u op.pem
-f "DUState = normal+needs-rekey, Exported = false"
-o Partner.dat -p Partner
Los siguientes ejemplos exportan claves utilizando el ID de usuario y la frase de contraseña de un usuario de OKM para autenticación.
Solaris:
okm export --kma=mykma1 --oper=tpFreddy \
--filter="Exported = false" --output=Partner.dat \
--partner=Partner
Windows:
okm export --kma=mykma1 --oper=tpFreddy
--filter="Exported = false" --output=Partner.dat
--partner=Partner
Los siguientes ejemplos importan claves utilizando certificados de los archivos ca.crt y clientkey.pem en el directorio de trabajo actual para autenticación.
Solaris:
okm import --kma=10.172.88.88 --directory="." \
--input=DRKeys.dat --partner=Partner \
--keygroup=OpenSysBackupKeyGroup
Windows:
okm import --kma=10.172.88.88 --directory="."
--input=DRKeys.dat --partner=Partner
--keygroup=OpenSysBackupKeyGroup
Los siguientes ejemplos importan claves utilizando el ID de usuario y la frase de contraseña de un usuario de OKM para autenticación.
Solaris:
okm import --kma=mykma1 --oper=Joe --input=DRKeys.dat \
--partner=Partner --keygroup=OpenSysBackupKeyGroup
Windows:
okm import --kma=mykma1 --oper=Joe --input=DRKeys.dat
--partner=Partner --keygroup=OpenSysBackupKeyGroup
Los siguientes ejemplos enumeran unidades de datos utilizando certificados de los archivos ca.crt y clientkey.pem en el directorio determinado para autenticación.
Solaris:
okm listdu --kma=10.172.88.88 \
--directory=/export/home/Joe/.sunw/kms/OperatorCertificates \
--output=/export/home/KMSDataUnits
Windows:
okm listdu --kma=10.172.88.88
--directory=D:\KMS\Joe\OperatorCertificates
--output=D:\KMS\KMSDataUnits
Los siguientes ejemplos enumeran unidades de datos utilizando el ID de usuario y la frase de contraseña de un usuario de OKM para autenticación.
Solaris:
okm listdu -k mykma1 -b Joe -f "Exported=false" \
--output=/export/home/KMSDataUnits
Windows:
okm listdu -k mykma1 -b Joe -f "Exported=false"
--output=D:\KMS\KMSDataUnits
Los siguientes ejemplos enumeran eventos de auditoría utilizando certificados de los archivos ca.crt y clientkey.pem en el directorio determinado para autenticación.
Solaris:
okm listauditevents --kma=10.172.88.88 \
--directory=/export/home/Joe/.sunw/kms/OperatorCertificates \
--filter=Severity=Error \
--output=/export/home/KMSAuditEvents
Windows:
okm listauditevents --kma=10.172.88.88
--directory=D:\KMS\Joe\OperatorCertificates
--filter=Severity=Error
--output=D:\KMS\KMSAuditEvents
Los siguientes ejemplos enumeran eventos de auditoría utilizando el ID de usuario y la frase de contraseña de un usuario de OKM para autenticación.
Solaris:
okm listauditevents -k mykma1 -b Joe -f "Severity=Error" \
--output=/export/home/KMSAuditEvents
Windows:
okm listauditevents -k mykma1 -b Joe -f "Severity=Error"
--output=D:\KMS\KMSAuditEvents
Los siguientes ejemplos destruyen todas las claves comprometidas utilizando certificados de los archivos ca.crt y clientkey.pem en el directorio determinado para autenticación.
Solaris:
okm destroykeys --kma=10.172.88.88 \
--directory=/export/home/Joe/.sunw/kms/OperatorCertificates \
--all=true --keystate=comp \
--comment="Joe destroyed compromised keys"
Windows:
okm destroykeys --kma=10.172.88.88
--directory=D:\KMS\Joe\OperatorCertificates
--all=true --keystate=comp
--comment="Joe destroyed compromised keys"
Los siguientes ejemplos destruyen todas las claves desactivadas asociadas con una lista de ID de unidades de datos utilizando el ID de usuario y la frase de contraseña de un usuario de OKM para autenticación.
Solaris:
okm destroykeys -k mykma1 -b Joe -i DeactivatedDUIDs.txt \
-s deact -C "Joe destroyed deactivated keys"
Windows:
okm destroykeys -k mykma1 -b Joe -i DeactivatedDUIDs.txt
-s deact -C "Joe destroyed deactivated keys"
Los siguientes ejemplos realizan una copia de seguridad básica utilizando certificados de los archivos ca.crt y clientkey.pem en el directorio determinado para autenticación.
Solaris:
okm backupcs --kma=10.172.88.88 \
--directory=/export/home/Joe/.sunw/kms/SecurityOfficerCertificates \
--output=/export/home/KMSCoreSecurity.xml
Windows:
okm backupcs --kma=10.172.88.88
--directory=D:\KMS\Joe\SecurityOfficerCertificates
--output=D:\KMS\KMSCoreSecurity.xml
Los siguientes ejemplos realizan una copia de seguridad básica utilizando el ID de usuario y la frase de contraseña de un usuario de OKM para autenticación.
Solaris:
okm backupcs -k mykma1 -b Joe -o /export/home/KMSCoreSecurity.xml
Windows:
okm backupcs -k mykma1 -b Joe -o D:\KMS\KMSCoreSecurity.xml
Se devuelven los siguientes valores de salida:
0 Successful completion >0 An error occurred
A continuación, se presentan secuencias de comandos básicas que se pueden personalizar y ejecutar en Solaris o Windows. Todos estos ejemplos utilizan autenticación basada en certificados y requieren que el certificado de autoridad de certificación root y el certificado del usuario residan en el directorio de trabajo actual.
Nota:
Las secuencias de comandos perl no se instalan con la utilidad de la línea de comandos de OKM. Si desea invocar la utilidad de la línea de comandos de OKM desde una secuencia de comandos perl, use un editor de texto para crear una similar a las secuencias de comandos perl que se muestran aquí.listdu.pl
#!/opt/csw/bin/perl
## the kms CLI utility must be in your path
$cmd="okm";
$KMA="kma1.example.com";
$FILTER="--filter=Exported=false";
$DIRECTORY=".";
$OUTPUT="listdu.txt";
system("$cmd listdu --verbose=true --directory=$DIRECTORY --kma=$KMA $FILTER
--output=$OUTPUT")
export.pl
#!/opt/csw/bin/perl
## the kms CLI utility must be in your path
$cmd="okm";
$KMA="kma1.example.com";
$TP="DestinationPartner";
$FILTER="Exported=false";
$OUTPUT="$TP.dat";
system("$cmd export --verbose=true --kma=$KMA --directory=. --filter=$FILTER
--partner=$TP --output=$OUTPUT");
import.pl
#!/opt/csw/bin/perl
## the kms CLI utility must be in your path
$cmd="okm";
$KMA="kma1.example.com";
$TP="SourceTransferPartner";
$KEYGROUP="MyKeyGroup";
$INPUT="../aberfeldy/KeyBundle.dat";
system("$cmd import --verbose=true --kma=$KMA --directory=. --partner=$TP
--keygroup=$KEYGROUP --input=$INPUT");
backup.pl
#!/opt/csw/bin/perl
## the following must be in your path
$cmd="okm";
$KMA="kma1.example.com";
$DIRECTORY=".";
$OUTPUT=".";
system("$cmd backup --verbose=true --directory=$DIRECTORY --kma=$KMA
--output=$OUTPUT")
La utilidad de la línea de comandos de copia de seguridad le permite iniciar una copia de seguridad desde la línea de comandos en lugar del menú Backup List (Lista de copias de seguridad). También puede programar copias de seguridad automáticas.
Esta utilidad se instala con la GUI de OKM Manager mediante el mismo instalador.
Nota:
Si desea introducir direcciones IPv6 locales de enlace, invoque la utilidad de la línea de comandos de copia de seguridad y especifique la dirección IPv6 local de enlace. Incluya el ID de zona (por ejemplo, ”%4”) al final de la dirección.Consulte "Direcciones IPv6 con ID de zona" para conocer los pasos que debe seguir para la configuración inicial.
OKM_Backup [-UserID userid] [-Passphrase passphrase] -KMAIPAddress IPaddress -BackupFilePath pathname [-Retries retries] [-Timeout timeout]
OKMBackupUtility [-UserID userid] [-Passphrase passphrase] -KMAIPAddress IPaddress -BackupFilePath pathname [-Retries retries] [-Timeout timeout]
userid
El ID de usuario del operador de copias de seguridad. Debe ser un operador de copias de seguridad.
passphrase
La frase de contraseña para el ID de usuario.
Si no se especifica un valor para userid o passphrase, la utilidad le solicita estos valores.
IPaddress
La dirección de red de gestión del dispositivo de gestión de claves en la cual se inicia la copia de seguridad.
pathname
La ubicación donde deben descargarse el archivo de copia de seguridad y el archivo de clave de copia de seguridad en el sistema.
retries
El número de veces que esta utilidad se intenta conectar al dispositivo de gestión de claves, si este último está ocupado. El valor predeterminado es 60.
timeout
El valor de timeout, en segundos, entre estos reintentos. El valor predeterminado es 60.
El siguiente ejemplo crea un archivo de copia de seguridad (formato: OKM-Backup-backupid-timestamp.dat) y un archivo de clave de copia de seguridad (formato: OKM-BackupKey-backupid-timestamp.xml).
OKM_Backup -UserID MyBackupOperator \
-KMAIPAddress 10.0.60.172 \
-BackupFilePath /tmp/MyKMSDownloads
OKM Backup Utility Version 3.0.0 (build2020)
Copyright (c) 2007, 2013, Oracle and/or its affiliates. All Rights Reserved.
Enter Passphrase:
Nota:
De manera opcional, se puede especificar la frase de contraseña en la línea de comandos mediante el parámetro -Passphrase.