日本-日本語

製品  >  ソフトウェア  >  OpenVMS  >  マニュアル

OpenVMS マニュアル


≫ 

OpenVMS V7.3-2
ライブラリ

タイトルページ
目次
まえがき
第 1 章:ACL エディタ
第 2 章:会計情報ユーティリティ
第 3 章:ディスク構造分析ユーティリティ
第 4 章:監査分析ユーティリティ
第 5 章:登録ユーティリティ
第 6 章:AUTOGENコマンド・プロシージャ
第 7 章:バックアップ・ユーティリティ
第 8 章:Crash Log Utility Extractor
第 9 章:DECeventユーティリティ
第 10 章:ERFユーティリティ
第 11 章:INSTALLユーティリティ
第 12 章:LAN制御プログラム・ユーティリティ
第 13 章:LAT制御プログラム・ユーティリティ
第 14 章:ログ・マネージャ制御プログラム・ユーティリティ
第 15 章:MONITORユーティリティ
第 16 章:PPPユーティリティ
第 17 章:PRODUCTユーティリティ
第 18 章:SCA Control Programユーティリティ
第 19 章:SHOW CLUSTERユーティリティ
第 20 章:System Generationユーティリティ
第 21 章:SYSMANユーティリティ
第 22 章:XA Gateway Control Programユーティリティ
付録 A:ACLエディタのキーパッド編集コマンド
付録 B:ACL エディタのカスタマイズ
付録 C:プログラマのための会計情報
付録 D:ANALYZE
/DISK_STRUCTURE
- 段階チェック
付録 E:ANALYZE
/DISK_STRUCTURE
- 使用量ファイル
付録 F:セキュリティ監査メッセージの形式
付録 G:BACKUP 修飾子の組み合わせ方
付録 H:MONITOR におけるレコード形式
付録 I:SHOW CLUSTER キーパッド・コマンド
付録 J:システム・パラメータ
付録 K:SYSGEN によるデバイス設定
索引
PDF    Vol.1   Vol.2
OpenVMS ホーム
OpenVMS | HPE 日本(日本ヒューレット・パッカード株式会社)

OpenVMS
システム管理ユーティリティ・リファレンス・マニュアル


目次 索引

第 1 章
ACL (アクセス制御リスト) エディタ



1.1 ACLエディタについて

アクセス制御リスト・エディタ(ACLエディタ)は,アクセス制御リスト(ACL)の作成と保守で使用するスクリーン・エディタです。ACLは,アクセス制御エントリ(ACE)の集まりです。ACEは,オブジェクトへのアクセスを特定のユーザまたは特定のユーザ・グループに対して許可または禁止します。(ACEのエントリと表示形式についての説明は, 第 1.3 節 を参照してください。)ACLを使用すれば,省略時の UIC (ユーザ識別コード)に基づく保護よりも厳密にアクセスを制御できます。

ACE内に格納できるACEの数やACEの文字数に制限はありません。ただし,ACLが大きくなると,オブジェクトへのアクセスに時間がかかります。実際には,ACLのサイズはメモリの容量で限定されます。

ACL内でのACEの順序は重要です。個々のユーザに対してオブジェクトのアクセスを許可または禁止するACEは,ユーザの属するクラスに対するACEの前に格納しなければなりません。たとえば,あるシステム・オブジェクトに対して,SMITHというユーザには読み込みアクセスを許可し,その他のユーザにはすべてのアクセスを禁止する場合,その他のユーザのACEの前にユーザSMITHのACEを格納しなければなりません。

ACLを指定できるオブジェクト・クラスは次のとおりです。

機能
コモン・イベント・フラグ・クラスタ
デバイス
ファイル
グループ・グローバル・セクション
論理名テーブル
キュー
資源ドメイン
セキュリティ・クラス
システム・グローバル・セクション
ボリューム



1.2 ACLエディタの使用法の要約

アクセス制御リスト・エディタ(ACLエディタ)は,指定したオブジェクトに対するアクセス制御リスト(ACL)を作成または変更します。

形式

EDIT/ACL オブジェクト指定


パラメータ



オブジェクト指定

アクセス制御リストを作成または変更するオブジェクトを指定します。存在しないアクセス制御リストを指定した場合には,新しいアクセス制御リストが作成されます。

指定できるオブジェクト・クラスは次のとおりです。

機能
コモン・イベント・フラグ・クラスタ
デバイス
ファイル
グループ・グローバル・セクション
論理名テーブル
キュー
資源ドメイン
セキュリティ・クラス
システム・グローバル・セクション
ボリューム

省略時のオブジェクト・クラスはファイルです。ファイルは, Files-11 オン・ディスク構造レベル 2 または 5 でフォーマットされたボリユーム上のファイルでなければなりません。ファイル以外のオブジェクトを指定する場合には, /CLASS修飾子を使用して,オブジェクト・クラスを指定しなければなりません。

ACLエディタでは,省略時のファイル・タイプは設定されていません。ACLエディタがヌル・ファイル・タイプを使用しないようにするには,コマンド行にファイル・タイプを指定しなければなりません。オブジェクトがディレクトリの場合には, .DIRファイル・タイプを指定します。

オブジェクト指定でワイルドカード文字を使用することはできません。




使用法の要約

ACLエディタでACLを作成または変更できるオブジェクトは,自分で所有しているオブジェクト,制御アクセスが可能なオブジェクト,BYPASS,GRPPRV, SYSPRVなどの特権によってアクセスが可能なオブジェクトです。 ACLエディタを起動するには,DCLのEDIT/ACLコマンドを使用します。ACLを編集するオブジェクトの名前をコマンド行に指定してください。たとえば, INVENTORY.DATファイルのACLを作成する場合は,次のコマンドを入力します。


$ EDIT/ACL INVENTORY.DAT

EDIT/ACLコマンドまたはSET SECURITY/EDITコマンドを使用して ACLエディタを起動できます。SET SECURITYコマンドについての詳しい説明は,『OpenVMS DCL ディクショナリ』および『OpenVMS Guide to System Security』を参照してください。

省略時の設定では,ACLエディタはファイルのACLを作成し,変更します。ファイル以外のオブジェクトのACLを作成するには(たとえば,キューのACLを作成する場合), ACLエディタを起動するときに,オブジェクト・クラスを指定しなければなりません。 たとえば,次のコマンドは,DAPRというディスクのACLを作成するためにACLエディタを起動します。


$ EDIT/ACL/OBJECT_TYPE=DEVICE DAPR

オブジェクトのACLがすでに存在する場合には,ACLエディタはそのACLを表示します。キーパッド編集コマンドを使用して,ACL内の1つ以上のACEを追加,置換,または削除できます( 付録 A.1 節 を参照)。編集セッションを終了するには,Ctrl/Zを押します。編集結果を保存せずに編集セッションを終了する場合には,GOLDキー(PF1)を押し,Ctrl/Zを押します。

ACLエディタで使用できるキーパッド編集コマンドについての説明は, 付録 A を参照してください。ACLセクション・ファイルを変更してACLエディタを変更する方法については, 付録 B を参照してください。

注意

DCLプロンプト($)に対してコマンドを入力したり,ACLを直接起動する他に,ACLエディタへの呼び出し可能インタフェース(ACLEDIT$EDITルーチン)を使用して ACLを変更することもできます。ACLEDIT$EDITルーチンの使い方については,『OpenVMS Utility Routines Manual』を参照してください。



この節では,次のアクセス制御エントリ(ACE)のエントリと表示形式について説明します。

  • オブジェクトのセキュリティ監査に使用するアラームACE

  • オブジェクトのセキュリティ監査に使用する監査ACE

  • ディレクトリに作成した新規ファイルの所有権アクセスを設定するための作成者ACE

  • ディレクトリ構造全体に対して省略時の保護コードを設定する省略時の保護ACE

  • オブジェクト・アクセス制御に使用する識別子ACE

  • 保護されたサブシステム・アクセス制御に使用するサブシステムACE

これらのACEの使用法については,『OpenVMS Guide to System Security』を参照してください。上記以外のACEも使用できます。たとえば,アプリケーションでアプリケーションACE を使用すれば,あるファイルに関連するアプリケーション固有の情報を格納できます。 ACEの格納のために使用する内部形式については,『OpenVMS Programming Concepts Manual』を参照してください。

アラームACE

アラーム・メッセージをすべてのセキュリティ・オペレータ・ターミナルに送信するためのアクセス基準を指定します。

省略時の設定では,ACLアラームは許可されています。しかし,アラームはシステム・セキュリティ監査ログ・ファイルに書き込まれません。アラームACEによって保護されるファイルが存在し,メッセージをログ・ファイルに記録したい場合には,アラームACEのかわりに監査ACEを使用してください。


形式

(ALARM=SECURITY [,OPTIONS=属性],
ACCESS=アクセス・タイプ[+アクセス・タイプ...])


パラメータ



オプション

次の属性を指定します。

Default 同一ディレクトリ内に作成されたすべてのファイルの ACLにACEを登録することを指定する。エントリが伝搬される場合には,Default属性は,作成されたファイルのACEから削除される。この属性はディレクトリ・ファイルに対してのみ使用できる。
Hidden このACEを追加したアプリケーションだけがACEを変更しなければならないことを示す。Hidden属性は,どのACEタイプに対しても使用できるが,アプリケーションACEを隠すことを目的にしている。隠しACEを削除または変更するには,SET SECURITYコマンドを使用しなければならない。

DCLのSHOW SECURITYコマンドまたはDIRECTORY/SECURITYコマンドで隠しACEを表示するには,SECURITY特権が必要である。また,DCLのSET SECURITYコマンドで隠しACEを変更または削除する場合にも, SECURITY特権が必要である。 ACLエディタがACEを表示するのは, ACEの変更を容易にするためではなく,ACL内でのACEの相対的な位置を示すためである。隠しACEを作成するには,アプリケーションで $SET_SECURITYシステム・サービスを起動する。

Protected 誤って削除されないようにACEを保護する。保護されたACEを削除するには,次のいずれかの方法を使用しなければならない。

  • ACLエディタを使用する方法。

  • 削除するときにACEを明示的に指定する方法。

    ACEを指定して削除するには, SET SECURITY/ACL=(ace)/DELETEコマンドを使用する。

  • 保護されたACEと保護されないACEのすべてを削除する方法。

    すべてのACEを削除するには,SET SECURITY/ACL/DELETE=ALLコマンドを使用する。

次のコマンドを使用しても,保護されたACEを削除できない。

Nopropagate 通常はACEを伝搬する操作でACEをコピーできないことを示す。たとえば,SET SECURITY/LIKEコマンドやSET SECURITY/DEFAULTコマンドでは, ACEをコピーできない。
None 属性がエントリに適用されないことを示す。OPTIONS=Noneを使用して ACLエントリを作成することは可能であるが,属性は表示されない。None属性と組み合わせて他の属性を指定した場合には,他の属性の方が優先する。None属性を指定することは,フィールドを省略することと同じである。



アクセス

対象となるオブジェクト・クラスに対して有効なアクセス権を指定します。指定できるアクセス・タイプについては,『OpenVMS Guide to System Security』を参照してください。アラームACEを有効にするには,アクセス・タイプとともにキーワードとしてSUCCESS とFAILUREのどちらか一方,または両方を指定しなければなりません。たとえば,監査基準が「オブジェクトに対する書き込みアクセス権取得の失敗」である場合には,次のアラームACEを指定します。


(ALARM=SECURITY, ACCESS=WRITE+FAILURE) 

監査ACE

監査メッセージがシステム・セキュリティ監査ログ・ファイルに書き込まれるアクセス基準を指定します。メッセージが記録されるのは,DCLの SET AUDIT/AUDIT/ENABLE=ACLコマンドを使用してACL監査が許可されている場合だけです。

形式

(AUDIT=SECURITY [,OPTIONS=属性]
,ACCESS=アクセス・タイプ [+アクセス・タイプ...])


パラメータ



オプション

次のいずれかの属性を指定します。

Default 同一ディレクトリ内に作成されたすべてのファイルの ACLにACEを登録することを指定する。エントリが伝搬される場合には,Default属性は,作成されたファイルのACEから削除される。この属性はディレクトリ・ファイルに対してのみ使用できる。
Hidden このACEを追加したアプリケーションだけがACEを変更しなければならないことを示す。Hidden属性は,どのACEタイプに対しても使用できるが,アプリケーションACEを隠すことを目的にしている。隠しACEを削除または変更するには,SET SECURITYコマンドを使用しなければならない。

DCLのSHOW SECURITYコマンドまたはDIRECTORY/SECURITYコマンドで隠しACEを表示するには,SECURITY特権が必要である。また,DCLのSET SECURITYコマンドで隠しACEを変更または削除する場合にも, SECURITY特権が必要である。 ACLエディタがACEを表示するのは, ACEの変更を容易にするためではなく,ACL内でのACEの相対的な位置を示すためである。隠しACEを作成するには,アプリケーションで $SET_SECURITYシステム・サービスを起動する。

Protected 誤って削除されないようにACEを保護する。保護されたACEを削除するには,次のいずれかの方法を使用しなければならない。

  • ACLエディタを使用する方法。

  • 削除するときにACEを明示的に指定する方法。

    ACEを指定して削除するには, SET SECURITY/ACL=(ace)/DELETEコマンドを使用する。

  • 保護されたACEと保護されないACEのすべてを削除する方法。

    すべてのACEを削除するには,SET SECURITY/ACL/DELETE=ALLコマンドを使用する。

次のコマンドを使用しても,保護されたACEを削除できない。

Nopropagate 通常はACEを伝搬する操作でACEをコピーできないことを示す。たとえば,SET SECURITY/LIKEコマンドやSET SECURITY/DEFAULTコマンドでは, ACEをコピーできない。
None 属性がエントリに適用されないことを示す。OPTIONS=Noneを使用して ACLエントリを作成することは可能であるが,属性は表示されない。None属性と組み合わせて他の属性を指定した場合には,他の属性の方が優先する。None属性を指定することは,フィールドを省略することと同じである。



アクセス

対象となるオブジェクト・クラスに対して有効なアクセス権を指定します。指定できるアクセス・タイプについては,『OpenVMS Guide to System Security』を参照してください。監査ACEを有効にするには,アクセス・タイプとともにキーワードとしてSUCCESSとFAILUREのどちらか一方,または両方を指定しなければなりません。たとえば,監査基準が「オブジェクトに対する書き込みアクセス権の取得の失敗」である場合には,次の監査ACEを指定します。


(AUDIT=SECURITY,ACCESS=WRITE+FAILURE) 

作成者ACE

作成者ACEを割り当てるディレクトリ内に作成されたファイルの ACLに特別なACEを追加します。作成者ACEが適用されるのは,次の条件が満足される場合だけです。

  • 作成するファイルが,ファイルを作成するプロセスのユーザ識別コード(UIC)によって所有されていないこと。

  • ファイルを作成するプロセスがシステム特権を持たないこと。

たとえば,Resource属性が割り当てられた汎用識別子を持つプロセスが,その識別子によって所有されるディレクトリにファイルを作成する場合には,上記の2つの条件がどちらも満足されます。この場合,システムは新しいファイルのACLの先頭に特別なACEを追加します。親ディレクトリのACLに作成者ACEが登録されている場合には,システムは作成者ACEに指定されたアクセス権を新しいACEに伝搬します。ディレクトリに作成者ACEが登録されていない場合には,システムは制御アクセス権と所有者アクセス権を組み合わせた特別なACEを割り当てます。ACCESS=NONEを指定した作成者ACEを登録すると,特別なACEは追加されません。

作成者ACEはディレクトリ・ファイルにのみ有効です。

詳しくは『OpenVMS Guide to System Security』を参照してください。


形式

(CREATOR [,OPTIONS= 属性[+属性...]]
,ACCESS=アクセス・タイプ[+アクセス・タイプ...])


パラメータ



オプション

次のいずれかの属性を指定します。

Protected 誤って削除されないようにACEを保護する。保護されたACEを削除するには,次のいずれかの方法を使用しなければならない。

  • ACLエディタを使用する方法。

  • 削除するときにACEを明示的に指定する方法。

    ACEを指定して削除するには, SET SECURITY/ACL=(ace)/DELETEコマンドを使用する。

  • 保護されたACEと保護されないACEのすべてを削除する方法。

    すべてのACEを削除するには,SET SECURITY/ACL/DELETE=ALLコマンドを使用する。

次のコマンドを使用しても,保護されたACEを削除できない。

Nopropagate 通常はACEを伝搬する操作でACEをコピーできないことを示す。たとえば,SET SECURITY/LIKEコマンドやSET SECURITY/DEFAULTコマンドでは, ACEをコピーできない。
None 属性がエントリに適用されないことを示す。OPTIONS=Noneを使用して ACLエントリを作成することは可能であるが,属性は表示されない。None属性と組み合わせて他の属性を指定した場合には,他の属性の方が優先する。None属性を指定することは,フィールドを省略することと同じである。



アクセス

ファイルに対して有効なアクセス・タイプ(読み込み,書き込み,実行,削除,制御)を指定します。


目次 索引

印刷用画面へ
プライバシー 本サイト利用時の合意事項