次のコマンドを使用して、makebootconfigプロセスの前または後にsecurityconfig
ツールを実行することもできます。
java -jar KVHOME/lib/kvstore.jar securityconfig
securityconfigを使用したセキュリティ構成の作成、追加、削除またはマージの詳細は、次の各項を参照してください。
config create
コマンドを使用して、セキュリティ構成を作成できます。
config create -root <secroot> [ -secdir <security dir> ] [ -pwdmgr { pwdfile | wallet } ] -param [client:|ha:|internal:|]<param>=<value> ]
説明:
-root <secroot>
セキュリティ構成が作成されるディレクトリを指定します。このディレクトリが完全なKVROOTである必要はありませんが、ディレクトリは存在する必要があります。
-secdir <security dir>
セキュリティ構成を保持するKVROOT内のディレクトリの名前を指定します。これは、指定されたsecrootに対して相対的な名前で指定する必要があります。指定しない場合、デフォルト値は"security"です。
-pwdmgr [ pwdfile | wallet ]
キーストアへのアクセスなどに必要なパスワードの保持に使用されるパスワード・マネージャ・メカニズムを示します。
ここでは、-pwdmgrに次のオプションを指定できます。
-pwdmgr pwdfile
パスワード・ストアが読取り保護されたクリアテキストのパスワード・ファイルであることを示します。これはOracle NoSQL Database CEデプロイメントにのみ使用できるオプションです。代替実装を指定できます。pwdfile
の操作の詳細は、「パスワード・ストア・ファイル」を参照してください。
-pwdmgr wallet
パスワード・ストレージ・メカニズムとしてOracle Walletを指定します。このオプションは、Oracle NoSQL Database EEバージョンでのみ使用できます。Oracle Wallet
の操作の詳細は、「Oracle Wallet」を参照してください。
-param [client:|ha:|internal:|]<param>=<value>]
構成デフォルトの上書きを可能にする反復可能な引数。この値は、"truststore"などの単純パラメータまたは"client:serverKeyAlias"などの修飾パラメータのいずれかとなります。修飾形式で指定した場合、修飾子("client"など)がセキュリティ構成内のトランスポートを指定し、割当はそのトランスポート固有のものとなります。単純形式の場合、パラメータのタイプに応じて、securityParams構造またはファイル内のすべてのトランスポートに適用されます。
securityconfigによるセキュリティ構成の詳細は、「既存のインストールへのセキュリティの追加」を参照してください。
config add-security
コマンドを使用して、前に作成したセキュリティ構成を追加できます。
config add-security -root <kvroot> [-secdir <security dir>] [-config <config.xml>]
このコマンドの実行中、securityconfig
ツールにより参照先ファイルの存在が検証され、セキュリティ構成を参照するために指定のブートストラップ構成ファイルが更新されます。このプロセスは通常、KVStoreインスタンスが停止した状態で実行されるものであり、ストアの各ストレージ・ノード上で実行される必要があります。
説明:
-root <kvroot>
KVStoreルート・ディレクトリを引数として指定する必要があります。
-secdir <security dir>
セキュリティ構成を保持するKVROOT内のディレクトリの名前を指定します。これは、KVROOTに対して相対的な名前で指定する必要があります。指定しない場合、デフォルト値は"security"です。
-config <config.xml>
更新されるブートストラップ構成ファイルを指定します。これは、KVROOTに対して相対的な名前で指定する必要があります。指定しない場合、デフォルト値は"config.xml"です。
なんらかの理由で既存のインストールのセキュリティを無効にする場合、config remove-security
コマンドを使用できます。
config remove-security -root <kvroot> [-config <config.xml>]
このコマンドの実行中、securityconfig
ツールにより、セキュリティ構成を参照するために指定のブートストラップ構成ファイルが更新されます。このプロセスは通常、KVStoreインスタンスが停止した状態で実行されるものであり、ストアの各ストレージ・ノード上で実行される必要があります。
説明:
-root <kvroot>
KVStoreルート・ディレクトリを引数として指定する必要があります。
-config <config.xml>
更新されるブートストラップ構成ファイルを指定します。これは、KVROOTに対して相対的な名前で指定する必要があります。指定しない場合、デフォルト値は"config.xml"です。
トラストストア・エントリをあるセキュリティ構成から別のセキュリティ構成にマージする場合、config merge-trust
コマンドを使用します。このコマンドは、特にSSLキー/証明書の更新が必要な場合に、セキュリティ保守を実行する際に便利です。詳細は、「SSLキー/証明書の更新ガイドライン」を参照してください。
config merge-trust -root <secroot> [-secdir <security dir>] -source-root <secroot> [-source-secdir <security dir>]
このコマンドの実行中、securityconfig
ツールにより参照先ファイルの存在が検証され、ソース・セキュリティ構成からプライマリ・セキュリティ構成に信頼エントリが結合されます。
説明:
-root <secroot>
更新されるセキュリティ構成が含まれるディレクトリを指定します。このディレクトリが完全なKVROOTである必要はありませんが、ディレクトリが存在し、既存のセキュリティ構成が含まれる必要があります。
-secdir <security dir>
セキュリティ構成を保持するsecroot内のディレクトリの名前を指定します。これは、secrootに対して相対的な名前で指定する必要があります。指定しない場合、デフォルト値は"security"です。
-source-root <secroot>
新規信頼情報を提供するセキュリティ構成が含まれるディレクトリを指定します。このディレクトリが完全なKVROOTである必要はありませんが、ディレクトリが存在し、既存のセキュリティ構成が含まれる必要があります。
-source-secdir <security dir>
新規信頼情報を提供するソースsecroot内のsecurityディレクトリの名前を指定します。指定しない場合、デフォルト値は"security"です。