C Oracle Internet Directoryを使用したLabel Security用コマンドライン・ツール
Oracle Label Securityには、Oracle Internet Directoryを使用するためのコマンドライン・ツールが用意されています。
- Oracle Label Securityのコマンドライン・ツールについて
Oracle Label SecurityをOracle Internet Directoryと併用する場合、ディレクトリに格納されるラベル・セキュリティ属性を作成および変更できます。 - Oracle Label Securityカテゴリ別のコマンド
Oracle Label Securityのコマンドは、ポリシー、レベル、グループなどのカテゴリに分けることができます。 - olsadmintoolコマンド・リファレンス
olsadmintool
コマンドは、エンタープライズ・ユーザーをOracle Label Securityポリシーの管理グループに追加するなどのタスクを実行します。 - olsadmintoolコマンドの関連パラメータ
olsadmintool
パラメータを使用するための一連のガイドラインに従う必要があります。 - olsadmintoolユーティリティの使用例
Oracle Internet Directory環境でOracle Label Securityを設定するには、olsadmintool
コマンドを使用します。 - olsoidsyncコマンド・リファレンス
Theolsoidsync
コマンドは、Oracle Internet Directoryからポリシー情報をプルしてデータベースに移入します(ブートストラップ)。
親トピック: 「付録」
C.1 Oracle Label Securityのコマンドライン・ツールについて
Oracle Label SecurityをOracle Internet Directoryと併用する場合、ディレクトリに格納されるラベル・セキュリティ属性を作成および変更できます。
これらのコマンドによってディレクトリ内のエントリの更新、挿入および削除が実行され、コマンドは、$ORACLE_HOME/bin/olsadmintool
からコールするolsadmintool
という名前のスクリプトを介して実装されます。olsadmintool
に加えて、olsoidsync
コマンドを使用してブートストラップ操作を実行できます。
ノート:
Oracle Label Securityの管理に、Oracle Enterprise Managerで提供されるグラフィカル・ユーザー・インタフェースも使用できます。詳細は、Oracle Enterprise Managerのヘルプを参照してください。
C.2 Oracle Label Securityのカテゴリ別のコマンド
Oracle Label Securityのコマンドは、ポリシー、レベル、グループなどのカテゴリに分けることができます。
表C-1は、すべてのコマンドとその参照先をカテゴリ別に示しています。
これらのコマンドの一部は、Oracle Label SecurityをOracle Internet Directoryなしで使用したときに、示された目的で使用されるPL/SQLプロシージャを置き換えます。すでにOracle Internet Directoryを追加するOracle Label Securityを使用しているサイトでは、これらのPL/SQLプロシージャの使用を新規コマンドの使用に切り替える必要があります。
表C-1 Oracle Label Securityカテゴリ別のコマンド
コマンドのカテゴリ | コマンド | 置き換えられるPL/SQL文 |
---|---|---|
ポリシー |
|
|
ポリシー |
|
|
ポリシー |
|
|
ポリシー |
なし、新規 |
|
ポリシー |
なし、新規 |
|
ポリシー内のレベル |
|
|
ポリシー内のレベル |
|
|
ポリシー内のレベル |
|
|
ポリシー内のグループ |
|
|
ポリシー内のグループ |
|
|
ポリシー内のグループ |
|
|
ポリシー内のグループ |
|
|
ポリシー内の区分 |
|
|
ポリシー内の区分 |
|
|
ポリシー内の区分 |
|
|
データ・ラベル |
|
|
データ・ラベル |
|
|
データ・ラベル |
|
|
ユーザー |
なし、新規 |
|
ユーザー |
|
|
プロファイル |
複数のメソッドの使用を置換え。脚注1 |
|
プロファイル |
なし、新規 |
|
プロファイル |
なし、新規 |
|
プロファイル |
なし、新規 |
|
ポリシー管理者 |
なし、新規 |
|
ポリシー管理者 |
なし、新規 |
|
監査 |
|
|
監査 |
|
|
ヘルプ |
なし、新規 |
脚注1
SA_USER_ADMIN
内の複数のメソッドを置換え: SET_LEVELS
、SET_USER_PRIVILEGES
およびSET_DEFAULT_LABEL
C.3 olsadmintoolコマンド・リファレンス
olsadmintool
コマンドは、エンタープライズ・ユーザーをOracle Label Securityポリシーの管理グループに追加するなどのタスクを実行します。
olsadmintool
は、コマンドラインから実行する必要があります。
- olsadmintoolコマンドについて
コマンド・プロンプトからolsadmintool
コマンドを実行し、特殊文字を使用して特定の操作を実行できます。 - olsadmintool addadmin
olsadmintool addadmin
コマンドは、エンタープライズ・ユーザーをポリシーの管理グループに追加します。 - olsadmintool addpolcreator
olsadmintool addpolcreator
コマンドは、指定したユーザーに対してポリシーの作成を許可します。 - olsadmintool adduser
olsadmintool adduser
コマンドは、ポリシー内のプロファイルにエンタープライズ・ユーザーを追加します。 - olsadmintool altercompartent
olsadmintool altercompartment
コマンドは、区分の詳細名を変更します。 - olsadmintool altergroup
olsadmintool altergroup
コマンドは、グループ・コンポーネントまたは親グループの詳細名を変更します。 - olsadmintool altergroupparent
olsadmintool altergroupparent
コマンドは、グループの親グループを変更または削除します。 - olsadmintool alterlabel
olsadmintool alterlabel
コマンドは、ラベル・タグに関連付けられているラベルを定義する文字列を変更します。 - olsadmintool alterlevel
olsadmintool alterlevel
コマンドは、レベルの詳細名を変更します。 - olsadmintool alterpolicy
olsadmintool alterpolicy
コマンドは、ポリシーのオプションを変更します。 - olsadmintool audit
olsadmintool olsadmintool audit
コマンドは、ポリシーの監査オプションを設定します。 - olsadmintool createcompartment
olsadmintool createcompartment
コマンドは、新規の区分コンポーネントを作成します。 - olsadmintool creategroup
olsadmintool creategroup
コマンドは、新規のグループ・コンポーネントを作成します。 - olsadmintool createlabel
olsadmintool createlabel
コマンドは、有効なデータ・ラベルを作成します。 - olsadmintool createlevel
olsadmintool createlevel
コマンドは、新規のレベル・コンポーネントを作成します。 - olsadmintool createprofile
olsadmintool createprofile
コマンドは、新規のプロファイルを作成します。 - olsadmintool createpolicy
olsadmintool createpolicy
コマンドは、ポリシーを作成します。 - olsamindtool describeprofile
olsadmintool describeprofile
コマンドを使用すると、ポリシー・プロファイルの内容を参照できます。 - olsadmintool dropadmin
olsadmintool dropadmin
コマンドは、エンタープライズ・ユーザーをポリシーの管理グループから削除します。 - olsadmintool dropcompartment
olsadmintool dropcompartment
コマンドは、区分コンポーネントを削除します。 - olsadmintool dropgroup
olsadmintool dropgroup
コマンドは、グループ・コンポーネントを削除します。 - olsadmintool droplabel
olsadmintool droplabel
コマンドは、ポリシーからラベルを削除します。 - olsadmintool droplevel
olsadmintool droplevel
コマンドは、指定したポリシーからレベル・コンポーネントを削除します。 - olsadmintool droppolicy
olsadmintool droppolicy
コマンドは、ポリシーを削除します。 - olsadmintool dropprofile
olsadmintool dropprofile
コマンドは、指定したプロファイルを削除します。 - olsadmintool droppolcreator
olsadmintool droppolcreator
コマンドは、指定したユーザーに対するポリシー作成許可を取り消します。 - olsadmintool dropuser
olsadmintool dropuser
コマンドは、指定したポリシーの指定したプロファイルからユーザーを削除します。 - olsadmintool --help
olsadmintool
command_name
-- help
コマンドは、指定したコマンドのヘルプ情報を表示します。 - olsadmintool listprofile
olsadmintool listprofile
コマンドは、指定したポリシー内の全プロファイルのリストを表示します。 - olsadmintool noaudit
olsadmintool noaudit
コマンドは、ポリシーの監査オプションを取り消します。
C.3.1 olsadmintoolコマンドについて
コマンド・プロンプトからolsadmintool
コマンドを実行し、特殊文字を使用して特定の操作を実行できます。
olsadmintool
コマンドでは、一部のパラメータはオプションです。オプションのパラメータは、大カッコなどで囲んで示されています。最も一般的な2つの例が[ -b
admin context
]
and [-p
port
]
で、コマンドの管理コンテキストまたはOracle Internet Directoryへの接続に使用するポートを指定することはオプションであることを示します。(デフォルト・ポートは389です。)
単一のダッシュで始まるb
、h
、p
、D
およびw
を除き、すべてのパラメータには2つのダッシュ(スペースなしの--
)を使用する必要があります。2つのダッシュは、使用する名前またはパラメータの完全または長いバージョンを指定する必要があることを示します。このような名前またはパラメータにスペースが含まれている場合は、"これは極端に長い名前またはパラメータです。"のように二重引用符で囲む必要があります。
親トピック: olsadmintoolコマンド・リファレンス
C.3.2 olsadmintool addadmin
olsadmintool addadmin
コマンドは、エンタープライズ・ユーザーをポリシーの管理グループに追加します。
これにより、ユーザーは指定したポリシーのメタデータを作成、変更または削除できます。ポリシー名および新規管理者のDNを指定する必要があります。このグループには、エンタープライズ・ユーザーのみを含める必要があります。
構文
olsadmintool addadmin --polname policy_name --admindn admin_DN [ -b admin_context] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool addadmin --polname defense --admindn "cn=scott,c=us"
-h sales_west -D cn=lbacsys -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.3 olsadmintool addpolcreator
olsadmintool addpolcreator
コマンドは、指定したユーザーに対してポリシーの作成を許可します。
ユーザーのDNを指定する必要があります。
構文
olsadmintool addpolcreator --userdn user_DN [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool addpolcreator --userdn "cn=scott" -h sales_west -D cn=lbacsys -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.4 olsadmintool adduser
olsadmintool adduser
コマンドは、ポリシー内のプロファイルにエンタープライズ・ユーザーを追加します。
プロファイル名、ポリシー名およびユーザーDNを指定する必要があります。脚注2 エンタープライズ・ユーザーは、データベースに接続するための追加の機能を持つ標準的なOracle Internet Directoryユーザーです。プロファイルに追加するユーザーは、エンタープライズ・ユーザーである必要があります。
構文
olsadmintool adduser --polname policy_name --profname profile_name --userdn enterprise_user_DN[ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool adduser --polname tradesecret --profname topsales --userdn "cn=perot"
-b "cn=EDS" -h ford -p 1890 -D cn=lbacsys -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.5 olsadmintool altercompartent
olsadmintool altercompartment
コマンドは、区分の詳細名を変更します。
ポリシー名、区分の短縮名および新規の詳細名を指定する必要があります。
構文
olsadmintool altercompartment --polname policy_name --shortname short_compartment_name --longname new_long_compartment_name [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool altercompartment --polname defense --shortname A --longname "Allied
Forces" -h sales_west -D cn=defense_admin -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.6 olsadmintool altergroup
olsadmintool altergroup
コマンドは、グループ・コンポーネントまたは親グループの詳細名を変更します。
ポリシー名とグループの短縮名および詳細名を指定する必要があります。
構文
olsadmintool altergroup --polname policy_name --shortname short_group_name --longname "new_long_group_name" [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool altergroup --polname defense --shortname US --longname "United States
of America" -h sales_west -D cn=defense_admin -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.7 olsadmintool altergroupparent
olsadmintool altergroupparent
コマンドは、グループの親グループを変更または削除します。
ポリシー名およびグループの短縮名と、親グループの短縮名またはclearparent
フラグのどちらか一方を指定する必要があります。
構文
olsadmintool altergroupparent --polname policy_name --shortname short_group_name [--parentname new_parent_group_name ] [--clearparent] --longname "new_long_group_name" [--parentname new_short_group_name ] [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool altergroupparent --polname defense --shortname US --parentname "Earth" -h sales_west -p 5678 -D cn=defense_admin -w bind_password olsadmintool altergroupparent --polname defense --shortname US --clearparent -h sales_west -p 5678 -D cn=defense_admin -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.8 olsadmintool alterlabel
olsadmintool alterlabel
コマンドは、ラベル・タグに関連付けられているラベルを定義する文字列を変更します。
ポリシー名、ラベルの数値タグおよびラベルを表す新規文字列を指定する必要があります。
構文
olsadmintool alterlabel --polname policy_name --tag tag_number --value new_label_value [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool alterlabel --polname defense --tag 100 --value "TS:A:US" -h sales_west -D cn=defense_admin -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.9 olsadmintool alterlevel
olsadmintool alterlevel
コマンドは、レベルの詳細名を変更します。
ポリシー名、レベルの短縮名および新規の詳細名を指定する必要があります。
構文
olsadmintool alterlevel --polname policy_name --shortname short_level_name --longname "new_long_level_name" [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool alterlevel --polname defense --shortname TS
--longname "VERY TOP SECRET" -h sales_west -D cn=defense_admin -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.10 olsadmintool alterpolicy
olsadmintool alterpolicy
コマンドは、ポリシーのオプションを変更します。
ポリシー名と新規オプションを指定する必要があります。
構文
olsadmintool alterpolicy --name policy_name --options new_options [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
ここでは次のように指定します。
-
new_options
は、INVERSE_GROUP
、HIDE
、LABEL_DEFAULT
、LABEL_UPDATE
、CHECK_CONTROL
、READ_CONTROL
、WRITE_CONTROL
、INSERT_CONTROL
、DELETE_CONTROL
、UPDATE_CONTROL
、ALL_CONTROL
、NO_CONTROL
の任意の組合せです
例
olsadmintool alterpolicy --name defense --options "READ_CONTROL,INSERT_CONTROL"
-h sales_west -D cn=defense_admin -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.11 olsadmintool audit
olsadmintool olsadmintool audit
コマンドは、ポリシーの監査オプションを設定します。
ポリシー名、監査するオプション、監査のタイプおよび監査対象となる成功のタイプを指定する必要があります。
構文
olsadmintool audit --polname policy_name --options audit_option_name --type audit_option_type --success audit_success_type [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
ここでは次のように指定します。
-
audit_option
は、APPLY
、REMOVE
、SET
、PRIVILEGE
の任意の組合せです -
type
は、session
またはaccess
です -
success
は、successful
、not successful
またはboth
です
例
olsadmintool audit --polname defense --options "APPLY,PRIVILEGE" --type session
--success success -h sales_west -D cn=defense_admin -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.12 olsadmintool createcompartment
olsadmintool createcompartment
コマンドは、新規の区分コンポーネントを作成します。
ポリシー名と、区分のタグの数値、短縮名および詳細名を指定する必要があります。
構文
olsadmintool createcompartment --polname policy_name --tag tag_number --shortname short_compartment_name --longname <"long_compartment_name"> [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool createcompartment --polname defense --tag 100 --shortname A
--longname Alpha -h sales_west -D cn=defense_admin -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.13 olsadmintool creategroup
olsadmintool creategroup
コマンドは、新規のグループ・コンポーネントを作成します。
ポリシー名と、グループのタグの数値、短縮名、詳細名および親グループ名(オプション)を指定する必要があります。
構文
olsadmintool creategroup --polname policy_name --tag tag_number --shortname short_group_name --longname <"long_group_name"> [--parentname parent_group_name] [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool creategroup --polname defense --tag 55 --shortname US
--longname "United States" -h sales_west -D cn=defense_admin -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.14 olsadmintool createlabel
olsadmintool createlabel
コマンドは、有効なデータ・ラベルを作成します。
ポリシー名、作成するラベルの数値タグおよびラベルを表す文字列を指定する必要があります。
構文
olsadmintool createlabel --polname policy_name --tag tag_number --value label_value [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool createlabel --polname defense --tag 100 --value "TS:A,B:US,CA"
-h sales_west -D cn=defense_admin -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.15 olsadmintool createlevel
olsadmintool createlevel
コマンドは、新規のレベル・コンポーネントを作成します。
ポリシー名、タグの数値、レベルの短縮名および詳細名を指定する必要があります。
構文
olsadmintool createlevel --polname policy_name --tag tag_number --shortname short_level_name --longname <"long_level_name"> [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool createlevel --polname defense --tag 100 --shortname TS
--longname "TOP SECRET" -h sales_west -D cn=defense_admin -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.16 olsadmintool createprofile
olsadmintool createprofile
コマンドは、新規のプロファイルを作成します。
ポリシー名、プロファイル名、および権限またはラベルのどちらか(あるいはその両方)を指定する必要があります。(ユーザー・プロファイルにはNULLのラベル情報またはNULLの権限情報を指定できますが、同時に両方にNULLは指定できません。)ラベルの場合は、このプロファイル内のユーザーがデータの読取りに使用できる最大ラベル、このプロファイル内のユーザーがデータの書込みに使用できる最大ラベル、このプロファイル内のユーザーがデータの書込みに使用できる最小ラベル、読取り用のデフォルト・ラベルおよび書込み用のデフォルト行ラベルを指定します。権限の場合は、このプロファイルのメンバーの権限をカンマで区切ったリストを引用符で囲みます。
構文
olsadmintool createprofile --polname policy_name --profname profile_name --maxreadlabel max_read_label --maxwritelabel max_write_label --minwritelabel min_read_label --defreadlabel default_read_label --defrowlabel default_row_label --privileges privileges_separated_by_comma [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool createprofile --polname topsecret --profname topsales
--maxreadlabel "TS:A,B:US,CA" --maxwritelabel "TS:A,B:US,CA"
--minwritelabel "C" --defreadlabel "TS:A,B:US,CA"
--defrowlabel "C:A,B:US,CA"
--privileges "READ,COMPACCESS,WRITEACROSS"
-b EDS -h ford -p 1890 -D cn=lbacsys -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.17 olsadmintool createpolicy
olsadmintool createpolicy
コマンドは、ポリシーを作成します。
ポリシー名、ラベル列名およびオプションを指定する必要があります。
構文
olsadmintool createpolicy --name policy_name --colname column_name --options options_separated_by_commas [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
ここでは次のように指定します。
-
new_options
は、INVERSE_GROUP
、HIDE
、LABEL_DEFAULT
、LABEL_UPDATE
、CHECK_CONTROL
、READ_CONTROL
、WRITE_CONTROL
、INSERT_CONTROL
、DELETE_CONTROL
、UPDATE_CONTROL
、ALL_CONTROL
、NO_CONTROL
の任意の組合せです
例
olsadmintool createpolicy --name defense --colname defense_col
--options "READ_CONTROL,UPDATE_CONTROL" -h sales_west -p 389 -D cn=defense_admin
-w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.18 olsamindtool describeprofile
olsadmintool describeprofile
コマンドを使用すると、ポリシー・プロファイルの内容を参照できます。
ポリシー名とプロファイル名を指定する必要があります。
構文
olsadmintool describeprofile --polname policy_name --profname profile_name [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool describeprofile --polname defense --profname contractors
-h sales_west -D cn=defense_admin -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.19 olsadmintool dropadmin
olsadmintool dropadmin
コマンドは、エンタープライズ・ユーザーをポリシーの管理グループから削除します。
つまり、ユーザーは指定したポリシーのメタデータの作成、変更または削除を行えなくなります。ポリシー名、および管理グループから削除する管理者のDNを指定する必要があります。
構文
olsadmintool dropadmin --polname policy_name --admindn admin_DN [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool dropadmin --polname defense --admindn "cn=scott,c=us"
-h sales_west -D cn=lbacsys -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.20 olsadmintool dropcompartment
olsadmintool dropcompartment
コマンドは、区分コンポーネントを削除します。
ポリシー名と区分の短縮名を指定する必要があります。
構文
olsadmintool dropcompartment --polname policy_name --shortname short_compartment_name [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool dropcompartment --polname defense --shortname A
-h sales_west -D cn=defense_admin -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.21 olsadmintool dropgroup
olsadmintool dropgroup
コマンドは、グループ・コンポーネントを削除します。
ポリシー名とグループの短縮名を指定する必要があります。
構文
olsadmintool dropgroup --polname policy_name --shortname short_group_name [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool dropgroup --polname defense --shortname US
-h sales_west -D cn=defense_admin -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.22 olsadmintool droplabel
olsadmintool droplabel
コマンドは、ポリシーからラベルを削除します。
ポリシー名とラベルを表す文字列を指定する必要があります。
構文
olsadmintool droplabel --polname policy_name --value label_value -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool droplabel --polname defense --value "TS:A:US"
h sales_west -D cn=defense_admin -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.23 olsadmintool droplevel
olsadmintool droplevel
コマンドは、指定したポリシーからレベル・コンポーネントを削除します。
ポリシー名とレベルの短縮名を指定する必要があります。
構文
olsadmintool droplevel --polname policy_name --shortname short_level_name [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool droplevel --polname defense --shortname TS
-h sales_west -D cn=defense_admin -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.24 olsadmintool droppolicy
olsadmintool droppolicy
コマンドは、ポリシーを削除します。
削除するポリシーの名前を指定する必要があります。Oracle Label SecurityのOracle Internet Directory対応のインストールについては、「Oracle Internet Directory対応Oracle Label Securityでのポリシーのサブスクライブ」を参照してください。
構文
olsadmintool droppolicy --name policy_name [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool droppolicy --name defense -h sales_west -D cn=defense_admin -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.25 olsadmintool dropprofile
olsadmintool dropprofile
コマンドは、指定したプロファイルを削除します。
ポリシー名と削除するプロファイルの名前を指定する必要があります。
ノート:
プロファイルを削除すると、削除したプロファイル内のユーザー全員について、そのポリシーから認可が削除されます。これらのユーザーは、そのポリシーで保護されているデータを表示できなくなります。
構文
olsadmintool dropprofile --polname policy_name --profname profile_name [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool dropprofile --name defense --profname employees
-h sales_west -D cn=defense_admin -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.26 olsadmintool droppolcreator
olsadmintool droppolcreator
コマンドは、指定したユーザーに対するポリシー作成許可を取り消します。
ユーザーのDNを指定する必要があります。
構文
olsadmintool droppolcreator --userdn user_DN [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool droppolcreator --userdn "cn-scott,c=us"
-b UA -h sales_west -p 1890 -D bind_DN -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.27 olsadmintool dropuser
olsadmintool dropuser
コマンドは、指定したポリシーの指定したプロファイルからユーザーを削除します。
ポリシー名、プロファイル名およびユーザーのDNを指定する必要があります。
構文
olsadmintool dropuser --polname policy_name --profname profile_name --userdn enterprise_user_DN [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool dropuser --polname defense --profname contractors
--userdn "cn=hanssen,c=us" -h sales_west -D cn=defense_admin -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.28 olsadmintool --help
olsadmintool
command_name
-- help
コマンドは、指定したコマンドのヘルプ情報を表示します。
構文
olsadmintool
command_name
--help
親トピック: olsadmintoolコマンド・リファレンス
C.3.29 olsadmintool listprofile
olsadmintool listprofile
コマンドは、指定したポリシー内の全プロファイルのリストを表示します。
ポリシー名を指定する必要があります。
構文
olsadmintool listprofile --polname policy_name [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
例
olsadmintool listprofile --polname defense -b CIA
-h sales_west -D cn=defense_admin -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.3.30 olsadmintool noaudit
olsadmintool noaudit
コマンドは、ポリシーの監査オプションを取り消します。
ポリシー名と監査外にするオプションを指定する必要があります。
構文
olsadmintool noaudit --polname policy_name --options audit_option_name [ -b admin_context ] -h OID_host [-p port] -D bind_DN -w bind_password
ここでは次のように指定します。
-
audit_option_name
は、APPLY
、REMOVE
、SET
、PRIVILEGE
の任意の組合せです
例
olsadmintool noaudit --polname defense --options "APPLY,PRIVILEGES" -h sales_west
-D cn=defense_admin -w bind_password
親トピック: olsadmintoolコマンド・リファレンス
C.4 olsadmintoolコマンドの関連パラメータ
olsadmintool
パラメータを使用するための一連のガイドラインに従う必要があります。
- olsadmintoolコマンドの関連パラメータについて
すべてのolsadmintool
コマンドでは、接続パラメータを指定する必要があります。 - olsadmintoolパラメータのサマリー
olsadmintool
には、ポリシー、管理、監査などの様々なカテゴリのニーズに対応するためのパラメータがあります。
C.4.1 olsadmintoolコマンドの関連パラメータについて
すべてのolsadmintool
コマンドでは、接続パラメータを指定する必要があります。
これらのパラメータには、OIDホスト、バインドDN、バインド・パスワードおよびOracle Internet Directoryへの接続に使用するポート(オプション)が含まれます。デフォルトのポートは389です。
すべてのolsadmintool
コマンドでは、必要に応じて-b
フラグを使用してサブスクライバ/管理コンテキストを指定できます。
ポートや管理コンテキストなどのパラメータ指定がオプションであることは、パラメータが大カッコで囲まれていることで示されています。最も一般的な2つの例が、[ -b admin
context
]
および[-p
port
]
です。
各コマンドでは、ホスト、バインドDNおよびパスワードの指定は必須で、必要に応じて管理コンテキストも指定できるため、表C-2では、これらの接続パラメータすべてをグループとして表すために省略形CONを使用しています。
[ -b admin_context ] h OID_host [-p port] -D bind_DN Enter bind password: bind_password
親トピック: olsadmintoolコマンドの関連パラメータ
C.4.2 olsadmintoolパラメータのサマリー
olsadmintool
には、ポリシー、管理、監査などの様々なカテゴリのニーズに対応するためのパラメータがあります。
表C-2は、コマンドをカテゴリ別にまとめたものです。
-
ポリシー: ポリシーまたはそのコンポーネント(レベル、グループおよび区分)の作成、変更または削除
-
データ・ラベル: データ・ラベルの作成、変更または削除
-
管理者およびポリシー作成者: 管理者およびポリシー作成者の追加または削除
-
ユーザー: プロファイルに対するユーザーの追加または削除
-
監査オプション: ポリシーの監査内容を示すオプションの設定
-
プロファイル: プロファイルの作成、リスト、記述または削除
-
デフォルトの読取りまたは行ラベル: デフォルトの読取りまたは行ラベルの設定
表C-2および表C-3の列見出しにはパラメータのみが示され、必須の先行キーワードは示されていません。たとえば、表C-2では、policyname
とcolumn-name
はcreatepolicy
コマンドのパラメータで、必須の先行キーワード(--name
および--colname
)は示されていません。
表C-2および表C-3のサマリーに列見出しとして使用されている個々のパラメータの説明は、表C-2を参照してください。
この3つの表の凡例は次のとおりです。
-
OptionsPはポリシー施行オプションを意味します。つまり、次のエントリをカンマで区切った組合せを示します。
-
INVERSE_GROUP
-
HIDE
-
LABEL_DEFAULT
-
LABEL_UPDATE
-
CHECK_CONTROL
-
READ_CONTROL
-
WRITE_CONTROL
-
INSERT_CONTROL
-
DELETE_CONTROL
-
UPDATE_CONTROL
-
ALL_CONTROL
-
NO_CONTROL
-
-
OptionsAは監査オプションを意味します。つまり、エントリ
SET
、APPLY
、REMOVE
またはPRIVILEGE
をカンマで区切った組合せを示します。
表C-2 サマリー: olsadmintoolコマンドのパラメータ
コマンドのカテゴリ | コマンドとパラメータ | - | - | - | - | - | - |
---|---|---|---|---|---|---|---|
ポリシー |
コマンド |
policy name |
column- name |
optionsP |
CON |
- |
- |
ポリシー |
|
必須 |
必須 |
必須 |
必須 |
- |
- |
ポリシー |
|
必須 |
省略 |
必須 |
必須 |
- |
- |
ポリシー |
|
必須 |
省略 |
省略 |
必須 |
- |
- |
ポリシー内での作成: |
コマンド |
policy name |
tag |
short name |
long name |
CON |
parent name |
レベル |
olsadmintool |
必須 |
必須 |
必須 |
必須 |
必須 |
省略 |
グループ |
olsadmintool |
必須 |
必須 |
必須 |
必須 |
必須 |
[必須] |
区分 |
|
必須 |
必須 |
必須 |
必須 |
必須 |
省略 |
ポリシー内での変更: |
コマンド |
- |
- |
- |
- |
- |
- |
レベル |
|
必須 |
省略 |
未使用 |
未使用 |
未使用 |
省略 |
グループまたは親グループ |
|
必須 |
省略 |
必須 |
必須 |
必須 |
省略 |
グループまたは親グループ |
|
必須 |
省略 |
必須 |
省略 |
必須 |
[必須] |
グループまたは親グループ |
コマンド |
policy name |
tag |
short name |
long name |
CON |
parent name |
区分 |
|
必須 |
省略 |
必須 |
必須 |
必須 |
省略 |
ポリシー内での削除: |
コマンド |
- |
- |
- |
- |
- |
|
レベル |
|
必須 |
省略 |
必須 |
省略 |
必須 |
省略 |
グループ |
|
必須 |
省略 |
必須 |
省略 |
必須 |
省略 |
区分 |
|
必須 |
省略 |
必須 |
省略 |
必須 |
省略 |
データ・ラベル |
コマンド |
policy name |
tag |
value |
CON |
- |
- |
ラベルの作成 |
|
必須 |
必須 |
必須 |
必須 |
- |
- |
データ・ラベルの変更 |
|
必須 |
必須 |
必須 |
必須 |
- |
- |
データ・ラベルの削除 |
|
必須 |
省略 |
必須 |
必須 |
- |
- |
ポリシー管理者 |
コマンド |
policy name |
userDN |
CON |
- |
- |
- |
管理者の追加 |
|
必須 |
必須 |
必須 |
- |
- |
- |
管理者の削除 |
|
必須 |
必須 |
必須 |
- |
- |
- |
ポリシーの作成 |
|
省略 |
必須 |
必須 |
- |
- |
- |
ポリシーの作成 |
|
省略 |
必須 |
必須 |
- |
- |
- |
ユーザー |
コマンド |
policy name |
profile name |
userDN |
CON |
- |
- |
ユーザーの追加 |
|
必須 |
必須 |
必須 |
必須 |
- |
- |
ユーザーの削除 |
|
必須 |
必須 |
必須 |
必須 |
- |
- |
監査 |
|
必須 |
optionsA |
type |
success |
CON |
- |
監査 |
|
必須 |
必須 |
必須 |
必須 |
必須 |
- |
olsadmintoolのヘルプ |
|
省略 |
省略 |
省略 |
省略 |
省略 |
- |
表C-3 プロファイルとデフォルトのコマンド・パラメータのサマリー
プロファイルのアクション | プロファイル・コマンド | Policy Name | Profile Name | Max Read Label | Max Write Label | Min Write Label | Def Read Label | Def Row Label | privileges | CON |
---|---|---|---|---|---|---|---|---|---|---|
プロファイルの作成脚注3 |
|
必須 |
必須 |
必須 |
必須 |
必須 |
必須 |
必須 |
必須 |
必須 |
プロファイル・リストの表示 |
|
必須 |
省略 |
省略 |
省略 |
省略 |
省略 |
省略 |
省略 |
必須 |
プロファイルの記述 |
|
必須 |
必須 |
省略 |
省略 |
省略 |
省略 |
省略 |
省略 |
必須 |
プロファイルの削除 |
|
必須 |
必須 |
省略 |
省略 |
省略 |
省略 |
省略 |
省略 |
必須 |
脚注3
createprofile
では、権限とラベルの両方を指定する必要があります。profileでは、ラベルまたは権限、あるいはその両方を指定できます。
親トピック: olsadmintoolコマンドの関連パラメータ
C.5 olsadmintoolユーティリティの使用例
Oracle Internet Directory環境でOracle Label Securityを設定するには、olsadmintool
コマンドを使用します。
このリストには、各コマンドが読みやすいように複数行で示されていますが、実際のコマンドラインでは長い1行として発行されます。これらのコマンドすべての実行結果をまとめたものについては、最後の例の後の「前述の例の結果」を参照してください。
- 例: 他のユーザーをポリシー作成者として設定する
olsadmintool addpolcreator
コマンドでは、他のユーザーをポリシー作成者として許可できます。 - 例: 有効なオプションを指定してポリシーを作成する
olsadmintool createpolicy
コマンドでは、ポリシーを作成できます。 - 例: ポリシー管理者を作成する
olsadmintool addadmin
コマンドでは、ポリシー管理者を作成できます。 - 例: レベルを作成する
olsadmintool createlevel
コマンドでは、個々のレベルを作成できます。 - 例: 区分を作成する
olsadmintool createcompartment
コマンドでは、区分を作成できます。 - 例: グループを作成する
olsadmintool creategroup
では、グループを作成できます。 - 例: ラベルを作成する
olsadmintool createlabel
では、ラベルを作成できます。 - 例: プロファイルを作成する
olsadmintool createprofile
コマンドでは、プロファイルを作成できます。 - 例: プロファイルにユーザーを追加する
olsadmintool adduser
コマンドでは、ユーザーをプロファイルに追加できます。 - 例: プロファイルに別のユーザーを追加する
olsadmintool adduser
コマンドを使用すると、別のユーザーをプロファイルに追加できます。 - 例: 監査オプションを設定する
olsadmintool audit
コマンドでは、非統合監査環境で監査オプションを設定できます。 - これらの例の結果
一連のolsadmintool
コマンドを実行した結果、このサンプルOracle Label Securityサイトの構造は次のようになります。
C.5.1 例: 他のユーザーをポリシー作成者として設定する
olsadmintool addpolcreator
コマンドでは、他のユーザーをポリシー作成者として許可できます。
ORACLE_HOME/bin/olsadmintool addpolcreator --userdn "cn=psmith,c=us"
-b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=lbacsys,c=us" -w bind_password
親トピック: olsadmintoolユーティリティの使用例
C.5.2 例: 有効なオプションを指定してポリシーを作成する
olsadmintool createpolicy
コマンドでは、ポリシーを作成できます。
ORACLE_HOME/bin/olsadmintool createpolicy --name Policy1 --colname pol1
--options READ_CONTROL,WRITE_CONTROL -b "ou=Americas,o=Oracle,c=US"
-h sales_west -p 389 -D "cn=psmith,c=us" -w bind_password
ORACLE_HOME/bin/olsadmintool createpolicy --name Policy2 --colname pol2
--options READ_CONTROL -b "ou=Americas,o=Oracle,c=US"
-h sales_west -p 389 -D "cn=lbacsys,c=us" -w bind_password
親トピック: olsadmintoolユーティリティの使用例
C.5.3 例: ポリシー管理者を作成する
olsadmintool addadmin
コマンドでは、ポリシー管理者を作成できます。
ORACLE_HOME/bin/olsadmintool addadmin --polname Policy1
--admindn "cn=shwong,c=us" -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389
-D "cn=psmith,c=us" -w bind_password
ORACLE_HOME/bin/olsadmintool addadmin --polname Policy2
--admindn "cn=shwong,c=us" -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389
-D "cn=lbacsys,c=us" -w bind_password
親トピック: olsadmintoolユーティリティの使用例
C.5.4 例: レベルを作成する
olsadmintool createlevel
コマンドでは、個々のレベルを作成できます。
ORACLE_HOME/bin/olsadmintool createlevel --polname Policy1 --tag 100 --shortname TS --longname "TOP SECRET" -b "ou=Americas,o=Oracle, c=US" -h sales_west -p 389 -D "cn=shwong,c=us" -w bind_password ORACLE_HOME/bin/olsadmintool createlevel --polname Policy1 --tag 99 --shortname S --longname SECRET -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=shwong,c=us" -w bind_password ORACLE_HOME/bin/olsadmintool createlevel --polname Policy1 --tag 98 --shortname U --longname UNCLASSIFIED -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=shwong,c=us" -w bind_password
親トピック: olsadmintoolユーティリティの使用例
C.5.5 例: 区分を作成する
olsadmintool createcompartment
コマンドでは、区分を作成できます。
ORACLE_HOME/bin/olsadmintool createcompartment --polname Policy1 --tag 100 --shortname A --longname ALPHA -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 D "cn=shwong,c=us" -w bind_password ORACLE_HOME/bin/olsadmintool createcompartment --polname Policy1 --tag 99 --shortname B --longname BETA -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=shwong,c=us" -w bind_password
親トピック: olsadmintoolユーティリティの使用例
C.5.6 例: グループを作成する
olsadmintool creategroup
では、グループを作成できます。
ORACLE_HOME/bin/olsadmintool creategroup --polname Policy1 --tag 100 --shortname G1 --longname GROUP1 -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=shwong,c=us" -w bind_password ORACLE_HOME/bin/olsadmintool creategroup --polname Policy1 --tag 99 --shortname G2 --longname GROUP2 -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=shwong,c=us" -w bind_password ORACLE_HOME/bin/olsadmintool creategroup --polname Policy1 --tag 98 --shortname G3 --longname GROUP3 -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=shwong,c=us" -w bind_password
親トピック: olsadmintoolユーティリティの使用例
C.5.7 例: ラベルを作成する
olsadmintool createlabel
では、ラベルを作成できます。
ORACLE_HOME/bin/olsadmintool createlabel --polname Policy1 --tag 100 --value TS:A:G1 -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=shwong,c=us" -w bind_password ORACLE_HOME/bin/olsadmintool createlabel --polname Policy1 --tag 101 --value TS:A,B:G2 -b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=shwong,c=us" -w bind_password
親トピック: olsadmintoolユーティリティの使用例
C.5.8 例: プロファイルを作成する
olsadmintool createprofile
コマンドでは、プロファイルを作成できます。
ORACLE_HOME/bin/olsadmintool createprofile --polname Policy1 --profname Profile1
--maxreadlabel TS:A:G1 --maxwritelabel TS:A:G1 --minwritelabel U::
--defreadlabel U:A:G1 --defrowlabel U:A:G1 --privileges WRITEUP,READ
-b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=shwong,c=us" -w bind_password
親トピック: olsadmintoolユーティリティの使用例
C.5.9 例: プロファイルにユーザーを追加する
olsadmintool adduser
コマンドでは、ユーザーをプロファイルに追加できます。
ORACLE_HOME/bin/olsadmintool adduser --polname Policy1 --profname Profile1
--userdn cn=nina,ou=Asia,o=microsoft,l=seattle,st=WA,c=US
-b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=shwong,c=us" -w bind_password
親トピック: olsadmintoolユーティリティの使用例
C.5.10 例: プロファイルに別のユーザーを追加する
olsadmintool adduser
コマンドを使用すると、別のユーザーをプロファイルに追加できます。
ORACLE_HOME/bin/olsadmintool adduser --polname Policy1 --profname Profile1
--userdn cn=daniel,ou=France,o=oracle,l=madison,st=WI,c=US
-b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=shwong,c=us" -w bind_password
親トピック: olsadmintoolユーティリティの使用例
C.5.11 例: 監査オプションを設定する
olsadmintool audit
コマンドでは、非統合監査環境で監査オプションを設定できます。
ORACLE_HOME/bin/olsadmintool audit --polname Policy1 --option "SET,APPLY"
--type SESSION --success BOTH
-b "ou=Americas,o=Oracle,c=US" -h sales_west -p 389 -D "cn=shwong,c=us" -w bind_password
親トピック: olsadmintoolユーティリティの使用例
C.5.12 これらの例の結果
一連のolsadmintool
コマンドを実行した結果、このサンプルOracle Label Securityサイトの構造は次のようになります。
-
ポリシー作成者: ユーザー
psmith
-
ポリシー:
Policy1
およびPolicy2
-
ポリシー管理者: ユーザー
shwong
-
レベル、区分およびグループ: 表C-4を参照してください。
表C-4 olsadmintoolコマンドの使用によるラベル・コンポーネント定義
ラベル・コンポーネント | タグ | 短縮名 | 詳細名 |
---|---|---|---|
レベル |
100 |
TS |
TOP SECRET |
レベル |
99 |
S |
SECRET |
レベル |
98 |
U |
UNCLASSIFIED |
区分 |
100 |
A |
ALPHA |
区分 |
99 |
B |
BETA |
グループ |
100 |
G1 |
GROUP1 |
グループ |
99 |
G2 |
GROUP2 |
グループ |
98 |
G3 |
GROUP3 |
-
データ・ラベル: TS:A:G1の場合はタグ100、TS:A,B:G2の場合はタグ101。
-
ユーザー: US Oracle組織のAmericas組織の下位でWashington州Seattleに本拠を置くMicrosoft社Asiaグループに所属するNinaと、同じ組織の下位でWisconsin州Madisonに位置するオラクル社のFranceグループに所属するDaniel。
-
プロファイル: 表C-5を参照してください。
表C-5 olsadmintoolコマンドの使用によるProfile1の内容
プロファイル要素 | 目次 | 詳細名の拡張または意味 |
---|---|---|
MaxReadLabel |
TS:A:G1 |
TOP SECRET:ALPHA:GROUP1 |
MaxWriteLabel |
TS:A:G1 |
TOP SECRET:ALPHA:GROUP1 |
MinWriteLabel |
U:: |
UNCLASSIFIED(区分やグループへの限定なし) |
DefReadLabel |
U:A:G1 |
UNCLASSIFIED:ALPHA:GROUP1 |
DefRowLabel |
U:A:G1 |
UNCLASSIFIED:ALPHA:GROUP1 |
権限 |
WRITE_UP、READ |
ユーザーは任意の行を読み取って、書き込む行のレベルを上げることができます。 |
-
監査オプション:
SET
、APPLY
、SESSION
およびBOTH
親トピック: olsadmintoolユーティリティの使用例
C.6 olsoidsyncコマンド・リファレンス
olsoidsync
コマンドは、Oracle Internet Directoryからポリシー情報をプルしてデータベースに移入します(ブートストラップ)。
構文
olsoidsync --dbconnectstring "database_connect_string_in_host:port:sid_format" --dbuser database_user [-c] [-r] [-b admin_context] -h OID_host [-p port] -D bind_DN -w bind_password Enter Database password: database_user_password Enter bind password: bind_password
ここでは次のように指定します。
-c
は、データベース内の既存のポリシーをすべて削除し、Oracle Internet Directoryからのポリシー情報でデータベースをリフレッシュします。オプション。-r
は、データベース内の(ポリシー自体は削除せずに)すべてのポリシー・メタデータを削除し、Oracle Internet Directoryからの新規メタデータでポリシーをリフレッシュします。オプション。
この2つのスイッチを指定しなければ、Oracle Internet Directoryから新規ポリシーが作成されるのみで、リフレッシュ中にエラーが発生すると停止します。
例
olsoidsync --dbconnectstring sales_srvr:1521:ora101 --dbuser lbacsys -c
-b "ou=Americas,o=ExampleCorp,c=US" -h sales_srvr -D cn=policycreator -w bind_password
脚注の凡例
脚注2:コマンドに関する脚注 各コマンドでは、ディレクトリのホスト名、バインドDNおよびバインド・パスワードを指定する必要があります。どのコマンドでも、必要に応じてサブスクライバの管理コンテキスト(オプション)またはディレクトリのポート番号(オプション)、あるいはその両方を指定できます。これらのパラメータの詳細は、表C-2も参照してください。