이 장에서는 사용자가 OKM Manager GUI 대신 명령줄에서 백업 실행, 키 내보내기, 키 가져오기, 데이터 장치 나열 등의 작업을 수행할 수 있는 명령줄 유틸리티를 설명합니다.
다음 명령줄 유틸리티를 사용할 수 있습니다.
주:
OKM 명령줄 유틸리티는 Backup 명령줄 유틸리티보다 우선합니다. Oracle은 가능하면 언제나 OKM 명령줄 유틸리티를 사용할 것을 권장합니다.OKM 명령줄 유틸리티를 사용하여 다음 작업을 수행할 수 있습니다.
자동 백업 일정 잡기
OKM 코어 보안 백업
키 가져오기 및 내보내기
키 폐기
감사 이벤트 나열
데이터 장치 나열
여러 에이전트 만들기 또는 수정
Backup 명령줄 유틸리티와 달리 이 유틸리티는 사용자 이름과 문장암호 대신 X.509 인증서를 사용하여 자신을 유효한 OKM 사용자로 인증하므로 명령줄에서 문장암호를 입력할 필요가 없습니다.
다음 표는 이러한 기능을 수행할 수 있는 역할을 설명합니다.
표 12-1 OKM 명령줄 유틸리티 - 사용자 역할 액세스 권한
| 작업: | 역할: |
|---|---|
|
백업 |
백업 운영자 |
|
OKM 코어 보안 백업 |
보안 관리자 |
|
키 가져오기/내보내기 |
운영자 |
|
키 폐기 |
운영자 |
|
감사 이벤트 나열 |
모든 역할각주 1 |
|
데이터 장치 나열 |
운영자/준수 관리자 |
|
에이전트 만들기 |
운영자 |
|
에이전트 기본 키 그룹 설정/변경 |
준수 관리자 |
|
에이전트 등록 정보 변경 |
운영자 |
|
에이전트 나열 |
운영자/준수 관리자 |
각주 1 에이전트 ID, 데이터 장치 ID 또는 키 ID를 지정할 경우 운영자 또는 준수 관리자 역할이 있어야 합니다.
이 유틸리티는 동일한 설치 프로그램을 사용하여 OKM Manager GUI와 함께 설치됩니다.
주:
링크-로컬 IPv6 주소를 입력하려는 경우 OKM 명령줄 유틸리티를 실행하고 링크-로컬 IPv6 주소를 지정하십시오. 주소 끝에 영역 ID(예: ”%4”)를 포함시키십시오. 초기 설정을 위해 필요한 단계는 "영역 ID를 사용하는 IPv6 주소"를 참조하십시오.Solaris를 사용 중이고 ASCII로 표현할 수 없는 문자를 지정하거나 표시하려는 경우 적합한 Solaris 로케일이 Solaris 시스템에 설치되고 이 로케일을 사용하도록 환경이 구성되어 있는지 확인하십시오. 자세한 내용은 Solaris locale(1) 및 localeadm(1M) 매뉴얼 페이지를 참조하십시오.
okm -v | --version | --help | -h
okm backup [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] ] | --oper=username [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] --kma=networkaddress --output=dirname
okm backupcs [ [ [ --cacert=filename ] [ --usercert=filename ]]
[ --directory=dirname ] | --oper=username ]
[ --retries=retries ] [ --timeout=timeout ]
[ --verbose=boolean ]
--kma=networkaddress
okm createagent[ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] [ --description=description ] [ --site=siteid ] [ --keygroup=defaultkeygroupid ] [ --onetimepassphrase=boolean ] --kma=networkaddress --agent=agentid --passphrase=agentpassphrase
okm currload [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] ] | --oper=username [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] --output=filename --kma=networkaddress
okm destroykeys [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] --kma=networkaddress --duids=filename | --all=true --keystate=keystate --comment="text"
okm export [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --retries=retries ] [ --timeout=timeout ] [ --listwait=waittime ] [ --verbose=boolean ] --filter=filter | --duids=filename --kma=networkaddress --output=filename --partner=transferpartnerid
okm import [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] ] | --oper=username [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] [ --overrideeuiconflict=boolean ] --kma=networkaddress --input=filename --partner=transferpartnerid --keygroup=keygroupid
okm listagentperformance [ [ [ --cacert=filename ] [ --usercert=filename ] ]
[ --directory=dirname ] | --oper=username ]
[ --filter=filter ]
[ --retries=retries ] [ --timeout=timeout ]
[ --listwait=waittime ] [ --verbose=boolean ]
[ --output=filename ]
[ --startdate=date ] [ --enddate=date ]
[ --localtimezone=boolean ]
[ --rateinterval=rateinterval ]
--kma=networkaddress
okm listagents[ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --retries=retries ] [ --timeout=timeout ] [ --listwait=waittime ] [ --verbose=boolean ] [ --filter=filter ] [ --output=filename ] --kma=networkaddress
okm listauditevents [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | [ --oper=username ] [ --filter=filter ] [ --localtimezone=boolean ] [ --maxcount=count ] [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] [ --output=filename ] [ --agentids=agentids | --dataunitids=dataunitds | --keyids=keyids ] --kma=networkaddress
okm listdu [ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] ] | --oper=username [ --filter=filter ] [ --retries=retries ] [ --timeout=timeout ] [ --listwait=waittime ] [ --verbose=boolean ] [ --output=filename ] --kma=networkaddress
okm listdukeycount[ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --filter=filter ] [ --retries=retries ] [ --timeout=timeout ] [ --listwait=waittime ] [ --verbose=boolean ] [ --output=filename ] --kma=networkaddress --duids=filename | --all=true
okm listkeys [ [ [ --cacert=filename ] [ --usercert=filename ] ]
[ --directory=dirname ] | --oper=username ]
[ --filter=filter ]
[ --retries=retries ] [ --timeout=timeout ]
[ --listwait=waittime ] [ --verbose=boolean ]
[ --output=filename ]
--kma=networkaddress
okm listkmaperformance [ [ [ --cacert=filename ] [ --usercert=filename ] ]
[ --directory=dirname ] | --oper=username ]
[ --filter=filter ]
[ --retries=retries ] [ --timeout=timeout ]
[ --listwait=waittime ] [ --verbose=boolean ]
[ --output=filename ]
[ --startdate=date ] [ --enddate=date ]
[ --localtimezone=boolean ]
[ --rateinterval=rateinterval ]
--kma=networkaddress
okm modifyagent[ [ [ --cacert=filename ] [ --usercert=filename ] ] [ --directory=dirname ] | --oper=username ] [ --retries=retries ] [ --timeout=timeout ] [ --verbose=boolean ] [ --description=description ] | [ --site=siteid ] | [ --keygroup=defaultkeygroupid ] | [ --passphrase=agentpassphrase ] | [ --enabled=boolean ] | [ --onetimepassphrase=boolean ] --kma=networkaddress --agent=agentid
다음은 OKM 명령줄 유틸리티 하위 명령입니다.
backup
backup 하위 명령은 OKM 데이터의 백업을 생성하고 지정된 출력 디렉토리의 백업 데이터 파일 및 백업 키 파일로 이 백업을 다운로드합니다.
backupcs
backupcs 하위 명령은 OKM 코어 보안의 백업을 생성하고 이 백업을 출력 파일에 저장합니다.
createagent
createagent 하위 명령은 새 에이전트를 만듭니다.
destroykeys
destroykeys 하위 명령은 비활성화되거나 노출된 키를 폐기합니다.
export
export 하위 명령은 OKM과 설정된 전송 파트너에 대한 보안 키 파일을 만듭니다. 데이터 장치 목록과 연결된 모든 키는 이 키 파일을 사용하여 내보내고 키 파일을 서명하는 AES-256비트 키를 사용하여 보호됩니다. 이 데이터 장치 목록은 제공된 필터 문자열 또는 파일 이름의 결과입니다. 그런 다음 이 키 파일은 import 하위 명령을 사용하여 전송 파트너의 OKM으로 키를 가져오는 데 사용할 수 있습니다. kms 명령의 단일 실행으로 최대 1,000개의 데이터 장치를 내보낼 수 있습니다.
import
import 하위 명령은 OKM과 설정된 전송 파트너에 대한 보안 키 파일을 읽습니다. 키 및 연결된 데이터 장치는 이 키 파일을 사용하여 가져옵니다. 가져오는 OKM의 키 전송 개인 키는 키 파일을 검증하는 데 사용됩니다. 이 파일은 export 하위 명령을 사용하여 다른 OKM에서 이전에 가져온 파일이어야 합니다.
listagents
listagents 하위 명령은 에이전트 및 해당 등록 정보의 목록을 생성합니다. 목록은 에이전트의 하위 세트만 포함하는 특정 보고서를 생성하도록 필터링할 수 있습니다.
listauditevents
listauditevents 하위 명령은 감사 이벤트를 나열합니다.
listdu
listdu 하위 명령은 데이터 장치 및 해당 등록 정보를 나열합니다. 이 하위 명령은 export 하위 명령을 실행하기 전에 실행하여 지정된 필터를 사용하여 내보낸 데이터 장치를 확인할 수 있습니다(있는 경우).
modifyagent
modifyagent 하위 명령은 기본 키 그룹을 포함하여 기존 에이전트의 등록 정보를 변경합니다. 또한 다음 옵션 중 적어도 하나를 지정해야 합니다.
--enabled
--site
--description
--keygroup
--passphrase
--onetimepassphrase
아래의 옵션의 목록은 긴 옵션 이름과 짧은 옵션 이름을 나타냅니다. 긴 옵션 이름은 등호(=)로 값과 구분되고, 짧은 옵션 이름은 공백으로 값과 구분됩니다.
다음 옵션은 사용자 인증에 사용됩니다.
주:
--cacert, --directory 및 --usercert 옵션과 함께 이 유틸리티를 실행하기 전에 사용자는 먼저 Root CA 및 사용자 X.509 인증서를 OKM Manager GUI에서 내보내야 합니다.--agent=agentid
짧은 이름: -B
만들거나 수정할 에이전트 ID를 지정합니다. 이 에이전트 ID는 1 ~ 64자 사이여야 합니다.
--cacert=filename
짧은 이름: -a
이 유틸리티가 OKM에서 자신을 인증하는 데 사용할 OKM Root CA X.509 인증서 PEM 파일을 지정합니다. 지정하지 않을 경우 --directory 옵션으로 지정된 디렉토리에서 ca.crt 파일을 찾습니다. 이 옵션은 --oper 옵션과 함께 사용할 수 없습니다.
--description=description
짧은 이름: -R
만들거나 수정 중인 에이전트의 설명을 지정합니다. 설명은 1 ~ 64자 사이여야 합니다.
--directory=dirname
짧은 이름: -d
OKM Root CA X.509 인증서가 포함된 PEM 파일 및 OKM 사용자 X.509 인증서가 포함된 PEM 파일을 검색할 디렉토리를 지정합니다. 지정하지 않을 경우 현재 작업 디렉토리에서 인증서 파일을 찾습니다. 이 옵션은 --oper 옵션과 함께 사용할 수 없습니다.
--enddate
짧은 이름: -e UTC(협정 세계시) 또는 로컬 시간(localtimezone 옵션이 true인 경우)으로 값을 표현한 YYYY-MM-DD hh:mm:ss 형식으로 성능 질의의 종료 날짜와 시간을 지정합니다. 기본값은 현재입니다.
--localtimezone 짧은 이름: -L 입력 및 출력 시간이 UTC(협정 세계시) 대신 로컬 시간대인지 결정하는 부울 값을 지정합니다. 이 설정은 감사 이벤트 시간 기록의 시작/종료 날짜 및 표시와 같은 입력 값 해석에 영향을 줍니다. 부울 값은 "true" 또는 "false"가 될 수 있습니다.
--oper=username
짧은 이름: -b
이 유틸리티가 OKM에서 자신을 인증하는 데 사용할 OKM 사용자 ID를 지정합니다. 지정할 경우 인증서가 사용되지 않으므로 사용자의 문장암호를 물어봅니다. 이 옵션은 --cacert, --usercert 및 --directory 옵션과 함께 사용할 수 없습니다.
--rateinterval 짧은 이름: -I 비율 표시 간격을 지정합니다. 요청 비율은 선택한 비율 표시 간격으로 추정되고 선택한 간격당 평균 요청 수로 표시됩니다(예: 일당 추정 평균 키 만들기 요청 수). 가능한 값은 "second," "minute," "hour," "day," "week," "month," "year" 또는 "entire"입니다. "entire"를 선택하면 비율 대신 각 요청 유형 수가 표시됩니다. 기본값은 "entire"입니다.
--startdate 짧은 이름: -s UTC(협정 세계시) 또는 로컬 시간(localtimezone 옵션이 true인 경우)으로 값을 표현한 YYYY-MM-DD hh:mm:ss 형식으로 성능 질의의 시작 날짜와 시간을 지정합니다. 기본값은 데이터 수집 시작 시간입니다.
--usercert=filename
짧은 이름: -u
이 유틸리티가 OKM에서 자신을 인증하는 데 사용할 OKM 사용자의 CA X.509 인증서 PEM 파일을 지정합니다. 이 인증서 파일에는 사용자의 개인 키도 포함되어 있어야 합니다. 지정하지 않을 경우 --directory 옵션으로 지정된 디렉토리에서 clientkey.pem 파일을 찾습니다. 이 옵션은 --oper 옵션과 함께 사용할 수 없습니다.
다음 목록은 추가 옵션을 나타냅니다.
--agentids=agentids
짧은 이름: -A
연결된 감사 이벤트에 대한 콤마로 구분된 에이전트 ID 목록을 지정합니다. 각 에이전트 ID는 1 ~ 64자 사이여야 합니다. 이 옵션을 지정하려면 OKM 사용자에게 운영자 또는 준수 관리자 역할이 있어야 합니다. 이 옵션은 --dataunitids 및 --keyids 옵션과 함께 사용할 수 없습니다.
--all=true
짧은 이름: -l
이 유틸리티가 모든 데이터 장치에 대해 --keystate 옵션으로 지정된 모든 비활성화되거나 노출된 키를 폐기함을 나타냅니다. 이 옵션은 --duids 옵션과 함께 사용할 수 없습니다.
--comment=”text”
짧은 이름: -C
키 폐기에 대한 설명을 지정합니다. 이 설명은 1 ~ 64자 사이여야 합니다.
--dataunitids=dataunitds
짧은 이름: -D
연결된 감사 이벤트에 대한 콤마로 구분된 데이터 장치 ID 목록을 지정합니다. 각 데이터 장치 ID는 32자의 16진수여야 합니다. 이 옵션을 지정하려면 OKM 사용자에게 운영자 또는 준수 관리자 역할이 있어야 합니다. 이 옵션은 --agentids 및 --keyids 옵션과 함께 사용할 수 없습니다.
--duids=filename
짧은 이름: -i
키 내보내기 또는 폐기의 경우 이 옵션은 줄당 하나씩 줄바꿈으로 구분하여 데이터 장치 ID 세트가 포함된 파일 이름을 지정합니다. 각 데이터 장치 ID는 32자의 16진수여야 합니다. destroykeys 하위 명령에서 특정 데이터 장치에 비활성화되거나 노출된 키가 없을 경우 해당 데이터 장치는 무시됩니다. 지정된 파일이 비어 있을 경우 destroykeys 하위 명령은 모든 데이터 장치에 대한 모든 비활성화되거나 노출된 키를 폐기합니다(--all 옵션 참조). 이 옵션은 --filter 및 --all 옵션과 함께 사용할 수 없습니다.
--filter=filter
짧은 이름: -f
표시하거나 내보낼 데이터 장치 ID 목록 또는 표시할 감사 이벤트 목록을 생성하도록 처리된 필터 문자열을 지정합니다. 공백이 포함된 경우 문자열을 작은 따옴표로 묶어야 합니다(Windows는 큰 따옴표)("예" 참조).
데이터 장치 및 키의 수에 따라 내보내기 시간이 늘어나므로 일반적으로 데이터 장치 세트를 줄이는 필터를 지정해야 합니다.
export 하위 명령에서 이 옵션은 --duids 옵션과 함께 사용할 수 없습니다.
export 및 listdu 하위 명령에서 이 필터 문자열의 구문은 다음과 같습니다.
DUState=state[, Exported=boolean ][, Imported=boolean]
[, DataUnitID=duid][, ExternalTag=tag]
[, ExternalUniqueID=euid]
DUState=state
여기서 state는 ”normal,” ”needs-rekey” 또는 ”normal+needs-rekey”가 될 수 있습니다. DUState 필터가 지정되지 않은 경우 기본값은 ”DUState=normal+needs-rekey”입니다.
Exported=boolean
여기서 boolean은 ”true” 또는 ”false”가 될 수 있습니다. Exported 필터 조건이 지정되지 않은 경우 데이터 장치 선택에서 내보낸 상태를 고려하지 않으므로 내보낸 데이터 장치와 아직 내보내지 않은 데이터 장치를 선택할 수 있습니다.
Imported=boolean
여기서 boolean은 ”true” 또는 ”false”가 될 수 있습니다. Imported 필터 조건이 지정되지 않은 경우 데이터 장치 선택에서 가져온 상태를 고려하지 않으므로 가져온 데이터 장치와 아직 가져오지 않은 데이터 장치를 선택할 수 있습니다.
DataUnitID=duid
여기서 duid는 데이터 장치 ID입니다.
ExternalTag=tag
여기서 tag는 외부 태그입니다(LTO 테이프 드라이브의 경우 만들어진 데이터 장치에 대해 공백으로 32자를 추가해야 함).
ExternalUniqueID=euid
여기서 euid는 외부 고유 ID입니다.
listagentperformance 하위 명령에서 이 필터 문자열의 구문은 다음과 같습니다.
AgentID=agentid[, SiteID=siteid][, DefaultKeyGroupID=kgid]
AgentID=agentid
여기서 agentid는 에이전트 이름입니다. 일부 에이전트는 이 필드에 대한 값에 후행 공백을 제공하므로 CLI에서는 이 필드에서 일치할 때 "starts with" 연산자를 사용합니다(equality 대신).
SiteID=siteid
여기서 siteid는 사이트 ID입니다.
DefaultKeyGroupID=kgid
여기서 kgid는 키 그룹 ID입니다.
listauditevents 하위 명령에서 이 필터 문자열의 구문은 다음과 같습니다.
StartDate=date[, EndDate=date ][, Severity=text]
[, Operation=text][, Condition=text] [, Class=text]
[, RetentionTerm=text] [, KMAName=kmaname]
[, EntityID=entityid][, EntityNetworkAddress=netaddress]
[, SortOrder=order][, ShowShortTerm=boolean]
StartDate=date
여기서 date는 YYYY-MM-DD hh:mm:ss 형식이며 UTC 시간을 나타냅니다.
EndDate=date
여기서 date는 YYYY-MM-DD hh:mm:ss 형식이며 UTC 시간을 나타냅니다.
Severity=text
여기서 text는 감사 심각도 문자열(예: ”Error”)입니다.
Operation=text
여기서 text는 감사 작업 문자열(예: ”Retrieve Root CA Certificate”)입니다.
Condition=text
여기서 text는 감사 조건 문자열(예: ”Success”)입니다.
Class=text
여기서 text는 감사 클래스 문자열(예: ”Security Violation”)입니다.
RetentionTerm=text
여기서 text는 감사 보존 기간 문자열(예: ”MEDIUM TERM RETENTION”)입니다.
KMAName=kmaname
여기서 kmaname은 KMA 이름입니다.
EntityID=entityid
여기서 entityid는 엔티티 ID입니다.
EntityNetworkAddress=netaddress
여기서 netaddress는 IP 주소 또는 호스트 이름입니다.
SortOrder=order
여기서 order는 ”asc” 또는 ”desc”가 될 수 있습니다. 기본적으로 감사 이벤트는 만든 날짜를 기준으로 내림차순으로 표시됩니다.
ShowShortTerm=boolean
여기서 boolean은 ”true” 또는 ”false”가 될 수 있습니다. 기본적으로 보존 기간이 짧은 감사 이벤트는 표시되지 않습니다.
listkeys 하위 명령에서 이 필터 문자열의 구문은 다음과 같습니다.
KeyState=state[, KeyID=keyid][, KeyGroupID=kgid] [, Exported=boolean][, Imported=boolean] [, Revoked=boolean]
KeyState=state 여기서 state는 gen, ready, pnp, proc, deact, comp, dest 중 하나가 될 수 있습니다.
KeyID=keyid 여기서 keyid는 키 ID입니다.
KeyGroupID=kgid 여기서 kgid는 키 그룹 ID입니다.
Exported=boolean 여기서 boolean은 "true" 또는 "false"가 될 수 있습니다.
Imported=boolean 여기서 boolean은 "true" 또는 "false"가 될 수 있습니다.
Revoked=boolean 여기서 boolean은 "true" 또는 "false"가 될 수 있습니다.
listkmaperformance 하위 명령에서 이 필터 문자열의 구문은 다음과 같습니다.
KMAName=kmaname[, SiteID=siteid]
KMAName=kmaname 여기서 kmaname은 KMA 이름입니다.
SiteID=siteid 여기서 siteid는 사이트 ID입니다.
--help
짧은 이름: -h
도움말 정보를 표시합니다.
--input=filename
짧은 이름: -i
데이터 장치 및 키를 가져올 파일 이름을 지정합니다. 이 파일은 키 전송 파일이라고도 합니다.
--keygroup=keygroupid
짧은 이름: -g
OKM에 정의된 키 그룹의 ID를 지정합니다.
--keyids=keyids
짧은 이름: -K
연결된 감사 이벤트에 대한 콤마로 구분된 키 ID 목록을 지정합니다. 이 옵션을 지정하려면 OKM 사용자에게 운영자 또는 준수 관리자 역할이 있어야 합니다. 이 옵션은 --agentids 및 --dataunitids 옵션과 함께 사용할 수 없습니다.
--keystate=keystate
짧은 이름: -s
폐기할 키의 상태를 지정합니다. keystate 값은 비활성화된 키의 경우 ”deact”, 노출된 키의 경우 ”comp”, 또는 비활성화되거나 노출된 키의 경우 ”deact+comp”가 될 수 있습니다.
--kma=networkaddress
짧은 이름: -k
요청을 실행할 KMA의 네트워크 주소를 지정합니다. 네트워크 주소는 호스트 이름, IPv4 주소 또는 IPv6 주소가 될 수 있습니다.
--listwait=waittime
짧은 이름: -w
export 및 listdu 하위 명령으로 실행되는 데이터 장치 나열 요청 사이의 시간(초)을 지정합니다. 기본값은 2입니다.
--localtimezone=boolean
짧은 이름: -L
UTC(협정 세계시) 대신 로컬 시간대로 감사 이벤트의 시간 기록을 표시합니다. 또한 StartDate 및 EndDate 필터도 로컬 시간으로 해석됩니다.
--maxcount=count
짧은 이름: -c
나열할 최대 감사 이벤트 수를 지정합니다. 기본값은 20,000입니다.
--onetimepassphrase=boolean
짧은 이름: -O
인증을 위해 등록 문장암호를 한 번만 사용할 수 있는지 여부를 결정하는 부울 값을 지정합니다. 부울 값은 "true" 또는 "false"가 될 수 있습니다.
--output=filename 또는 dirname
짧은 이름: -o
결과가 저장되는 파일 이름을 지정합니다. 이러한 결과는 backup 및 backupcs 요청 시 백업, export 요청 시 키 전송 파일, listdu 요청 시 데이터 장치 및 해당 등록 정보 목록, listauditevents 요청 시 감사 이벤트 목록입니다. listdu 및 listauditevents 요청에서 stdout에 대해 기본값인 ”-”을 지정할 수도 있습니다. backup 요청에서 이 옵션은 백업 데이터 파일 및 백업 키 파일이 다운로드되는 디렉토리를 지정합니다.
--overrideeuiconflict=boolean
짧은 이름: -O
기존 데이터 장치가 가져오는 데이터 장치와 동일한 외부 고유 ID를 가지는 충돌을 처리하기 위한 부울 값을 지정합니다. 이 값이 "true"이면 기존 데이터 장치가 업데이트되어 외부 고유 ID가 지워지고 가져오는 데이터 장치가 외부 고유 ID를 유지합니다. 그렇지 않은 경우 가져오기 요청을 실패합니다. 부울 값은 "true" 또는 "false"가 될 수 있습니다.
--partner=transferpartnerid
짧은 이름: -p
OKM에 정의되고 내보낸 키를 전송하거나 수신할 수 있는 전송 파트너의 ID를 지정합니다.
--passphrase=passphrase
짧은 이름: -P
만들거나 수정 중인 에이전트에 대한 문장암호를 지정합니다. 문장암호는 8 ~ 64자 사이여야 합니다. 문장암호는 OKM 문장암호 규칙을 따라야 합니다.
--rclientcert=filename
짧은 이름: -C
이 KMA에 대해 인증 기관에서 발행한 X.509 인증서 PEM 파일을 지정합니다.
--rclientkey=filename
짧은 이름: -K
클라이언트 인증서 파일과 쌍을 이루는 개인 키 파일을 지정합니다.
--rclientpassword=password
짧은 이름: -P
개인 키를 보호하는 문장암호(있는 경우)를 지정합니다.
--retries=retries
짧은 이름: -r
KMA가 사용 중인 경우 이 유틸리티가 KMA에 연결을 시도하는 횟수를 지정합니다. 기본값은 60입니다.
--server=networkaddress
짧은 이름: -S
원격 syslog 시스템의 네트워크 주소(IP 주소 또는 DNS가 구성된 경우 호스트 이름)를 지정합니다.
--site=siteid
짧은 이름: -S
만들거나 수정 중인 에이전트에 대한 사이트 ID를 지정합니다. 이 사이트 ID는 1 ~ 64자 사이여야 합니다.
--timeout=timeout
짧은 이름: -t
이러한 재시도 사이의 시간 초과 값(초)을 지정합니다. 기본값은 60입니다.
--verbose=boolean
짧은 이름: -n
이 유틸리티가 요청 처리 중 진행 상태를 포함한 상세 정보 출력을 생성하도록 지정합니다. 부울 값은 "true" 또는 "false"가 될 수 있습니다.
--version
짧은 이름: -v
명령줄 사용법을 표시합니다.
이러한 예는 단일 명령줄을 나타냅니다. 경우에 따라 읽기 편의를 위해 명령줄이 여러 줄에 나타날 수 있습니다. Solaris 예에서 백슬래시는 명령줄의 계속을 나타냅니다.
다음 예에서는 인증을 위해 제공된 디렉토리의 ca.crt 및 clientkey.pem 파일에 있는 인증서를 사용하여 백업을 생성합니다.
Solaris:
okm backup --kma=mykma1 \
--directory/export/home/Joe/.sunw/kms/BackupOperatorCertificates \
--output=/export/home/KMSBackups
Windows:
okm backup --kma=mykma1
--directory=D:\KMS\Joe\BackupOperatorCertificates
--output=D:\KMS\KMSBackups
다음 예에서는 인증을 위해 OKM 사용자의 사용자 ID와 문장암호를 사용하여 백업을 생성합니다.
Solaris:
okm backup -k mykma1 -o /export/home/KMSBackups -b Joe
Windows:
okm backup -k mykma1 -o D:\KMS\KMSBackups -b Joe
다음 예에서는 인증을 위해 현재 작업 디렉토리의 ca.pem 및 op.pem 파일에 있는 인증서를 사용하여 키를 내보냅니다.
Solaris:
okm export -k 10.172.88.88 -d "." -a ca.pem -u op.pem \
-f "DUState = normal+needs-rekey, Exported = false" \
-o Partner.dat -p Partner
Windows:
okm export -k 10.172.88.88 -d "." -a ca.pem -u op.pem
-f "DUState = normal+needs-rekey, Exported = false"
-o Partner.dat -p Partner
다음 예에서는 인증을 위해 OKM 사용자의 사용자 ID와 문장암호를 사용하여 키를 내보냅니다.
Solaris:
okm export --kma=mykma1 --oper=tpFreddy \
--filter="Exported = false" --output=Partner.dat \
--partner=Partner
Windows:
okm export --kma=mykma1 --oper=tpFreddy
--filter="Exported = false" --output=Partner.dat
--partner=Partner
다음 예에서는 인증을 위해 현재 작업 디렉토리의 ca.crt 및 clientkey.pem 파일에 있는 인증서를 사용하여 키를 가져옵니다.
Solaris:
okm import --kma=10.172.88.88 --directory="." \
--input=DRKeys.dat --partner=Partner \
--keygroup=OpenSysBackupKeyGroup
Windows:
okm import --kma=10.172.88.88 --directory="."
--input=DRKeys.dat --partner=Partner
--keygroup=OpenSysBackupKeyGroup
다음 예에서는 인증을 위해 OKM 사용자의 사용자 ID와 문장암호를 사용하여 키를 가져옵니다.
Solaris:
okm import --kma=mykma1 --oper=Joe --input=DRKeys.dat \
--partner=Partner --keygroup=OpenSysBackupKeyGroup
Windows:
okm import --kma=mykma1 --oper=Joe --input=DRKeys.dat
--partner=Partner --keygroup=OpenSysBackupKeyGroup
다음 예에서는 인증을 위해 제공된 디렉토리의 ca.crt 및 clientkey.pem 파일에 있는 인증서를 사용하여 데이터 장치를 나열합니다.
Solaris:
okm listdu --kma=10.172.88.88 \
--directory=/export/home/Joe/.sunw/kms/OperatorCertificates \
--output=/export/home/KMSDataUnits
Windows:
okm listdu --kma=10.172.88.88
--directory=D:\KMS\Joe\OperatorCertificates
--output=D:\KMS\KMSDataUnits
다음 예에서는 인증을 위해 OKM 사용자의 사용자 ID와 문장암호를 사용하여 데이터 장치를 나열합니다.
Solaris:
okm listdu -k mykma1 -b Joe -f "Exported=false" \
--output=/export/home/KMSDataUnits
Windows:
okm listdu -k mykma1 -b Joe -f "Exported=false"
--output=D:\KMS\KMSDataUnits
다음 예에서는 인증을 위해 제공된 디렉토리의 ca.crt 및 clientkey.pem 파일에 있는 인증서를 사용하여 감사 이벤트를 나열합니다.
Solaris:
okm listauditevents --kma=10.172.88.88 \
--directory=/export/home/Joe/.sunw/kms/OperatorCertificates \
--filter=Severity=Error \
--output=/export/home/KMSAuditEvents
Windows:
okm listauditevents --kma=10.172.88.88
--directory=D:\KMS\Joe\OperatorCertificates
--filter=Severity=Error
--output=D:\KMS\KMSAuditEvents
다음 예에서는 인증을 위해 OKM 사용자의 사용자 ID와 문장암호를 사용하여 감사 이벤트를 나열합니다.
Solaris:
okm listauditevents -k mykma1 -b Joe -f "Severity=Error" \
--output=/export/home/KMSAuditEvents
Windows:
okm listauditevents -k mykma1 -b Joe -f "Severity=Error"
--output=D:\KMS\KMSAuditEvents
다음 예에서는 인증을 위해 제공된 디렉토리의 ca.crt 및 clientkey.pem 파일에 있는 인증서를 사용하여 모든 노출된 키를 폐기합니다.
Solaris:
okm destroykeys --kma=10.172.88.88 \
--directory=/export/home/Joe/.sunw/kms/OperatorCertificates \
--all=true --keystate=comp \
--comment="Joe destroyed compromised keys"
Windows:
okm destroykeys --kma=10.172.88.88
--directory=D:\KMS\Joe\OperatorCertificates
--all=true --keystate=comp
--comment="Joe destroyed compromised keys"
다음 예에서는 인증을 위해 OKM 사용자의 사용자 ID와 문장암호를 사용하여 데이터 장치 ID 목록과 연결된 비활성화된 키를 폐기합니다.
Solaris:
okm destroykeys -k mykma1 -b Joe -i DeactivatedDUIDs.txt \
-s deact -C "Joe destroyed deactivated keys"
Windows:
okm destroykeys -k mykma1 -b Joe -i DeactivatedDUIDs.txt
-s deact -C "Joe destroyed deactivated keys"
다음 예에서는 인증을 위해 제공된 디렉토리의 ca.crt 및 clientkey.pem 파일에 있는 인증서를 사용하여 코어 보안을 백업합니다.
Solaris:
okm backupcs --kma=10.172.88.88 \
--directory=/export/home/Joe/.sunw/kms/SecurityOfficerCertificates \
--output=/export/home/KMSCoreSecurity.xml
Windows:
okm backupcs --kma=10.172.88.88
--directory=D:\KMS\Joe\SecurityOfficerCertificates
--output=D:\KMS\KMSCoreSecurity.xml
다음 예에서는 인증을 위해 OKM 사용자의 사용자 ID와 문장암호를 사용하여 코어 보안을 백업합니다.
Solaris:
okm backupcs -k mykma1 -b Joe -o /export/home/KMSCoreSecurity.xml
Windows:
okm backupcs -k mykma1 -b Joe -o D:\KMS\KMSCoreSecurity.xml
다음은 Solaris 또는 Windows에서 사용자 정의하고 실행할 수 있는 몇 가지 기본적인 perl 스크립트입니다. 이러한 예에서는 모두 인증서 기반 인증을 사용하며 Root CA 인증서 및 사용자의 인증서가 현재 작업 디렉토리에 있어야 합니다.
주:
perl 스크립트는 OKM 명령줄 유틸리티와 함께 설치되지 않습니다. perl 스크립트에서 OKM 명령줄 유틸리티를 실행하려는 경우 텍스트 편집기를 사용하여 여기에 표시된 perl 스크립트 중 하나와 유사한 스크립트를 만드십시오.listdu.pl
#!/opt/csw/bin/perl
## the kms CLI utility must be in your path
$cmd="okm";
$KMA="kma1.example.com";
$FILTER="--filter=Exported=false";
$DIRECTORY=".";
$OUTPUT="listdu.txt";
system("$cmd listdu --verbose=true --directory=$DIRECTORY --kma=$KMA $FILTER
--output=$OUTPUT")
export.pl
#!/opt/csw/bin/perl
## the kms CLI utility must be in your path
$cmd="okm";
$KMA="kma1.example.com";
$TP="DestinationPartner";
$FILTER="Exported=false";
$OUTPUT="$TP.dat";
system("$cmd export --verbose=true --kma=$KMA --directory=. --filter=$FILTER
--partner=$TP --output=$OUTPUT");
import.pl
#!/opt/csw/bin/perl
## the kms CLI utility must be in your path
$cmd="okm";
$KMA="kma1.example.com";
$TP="SourceTransferPartner";
$KEYGROUP="MyKeyGroup";
$INPUT="../aberfeldy/KeyBundle.dat";
system("$cmd import --verbose=true --kma=$KMA --directory=. --partner=$TP
--keygroup=$KEYGROUP --input=$INPUT");
backup.pl
#!/opt/csw/bin/perl
## the following must be in your path
$cmd="okm";
$KMA="kma1.example.com";
$DIRECTORY=".";
$OUTPUT=".";
system("$cmd backup --verbose=true --directory=$DIRECTORY --kma=$KMA
--output=$OUTPUT")
Backup 명령줄 유틸리티를 사용하여 Backup List 메뉴 대신 명령줄에서 백업을 실행할 수 있습니다. 자동 백업 일정을 잡을 수도 있습니다.
이 유틸리티는 동일한 설치 프로그램을 사용하여 OKM Manager GUI와 함께 설치됩니다.
주:
링크-로컬 IPv6 주소를 입력하려는 경우 Backup 명령줄 유틸리티를 실행하고 링크-로컬 IPv6 주소를 지정하십시오. 주소 끝에 영역 ID(예: "%4")를 포함시키십시오.초기 설정을 위해 필요한 단계는 "영역 ID를 사용하는 IPv6 주소"를 참조하십시오.
OKM_Backup [-UserID userid] [-Passphrase passphrase] -KMAIPAddress IPaddress -BackupFilePath pathname [-Retries retries] [-Timeout timeout]
OKMBackupUtility [-UserID userid] [-Passphrase passphrase] -KMAIPAddress IPaddress -BackupFilePath pathname [-Retries retries] [-Timeout timeout]
userid
백업 운영자 사용자 ID입니다. 이 사용자는 백업 운영자여야 합니다.
passphrase
사용자 ID에 대한 문장암호입니다.
userid 또는 passphrase 값이 지정되지 않을 경우 이러한 값을 물어봅니다.
IPaddress
백업을 실행할 KMA 관리 네트워크 주소입니다.
pathname
백업 파일 및 백업 키 파일이 시스템에 다운로드되어야 하는 위치입니다.
retries
KMA가 사용 중인 경우 이 유틸리티가 KMA에 연결을 시도하는 횟수입니다. 기본값은 60입니다.
timeout
이러한 항목 사이의 시간 초과 값(초)입니다. 기본값은 60입니다.
다음 예에서는 백업 파일(형식: OKM-Backup-backupid-timestamp.dat) 및 백업 키 파일(형식: OKM-BackupKey-backupid-timestamp.xml)을 만듭니다.
OKM_Backup -UserID MyBackupOperator \
-KMAIPAddress 10.0.60.172 \
-BackupFilePath /tmp/MyKMSDownloads
OKM Backup Utility Version 3.0.0 (build2020)
Copyright (c) 2007, 2013, Oracle and/or its affiliates. All Rights Reserved.
Enter Passphrase:
주:
문장암호는 -Passphrase 매개변수를 사용하여 명령줄에서 선택적으로 지정할 수 있습니다.