リファレンス ガイド › ユーティリティ › pwextractor ユーティリティ -- 特権アカウント パスワードを抽出します。

pwextractor ユーティリティ -- 特権アカウント パスワードを抽出します。

pwextractor ユーティリティはデータベースから特権アカウントのパスワードを抽出します。 特権アカウントのパスワードをバックアップする場合、または SAM が利用可能ではないため特権アカウントをチェックアウトできない場合、pwextractor を使用することができます。

pwextractor を使用するには、以下が必要になります。

• データベース テーブルへのアクセス権
• データベースにアクセスするために SAM で使用するアカウントのユーザ名およびパスワード

  注： これらのクレデンシャルは、エンタープライズ管理サーバをインストールする際に使用します。

Microsoft SQL Server データベースを使用しており、そのデータベースの認証モデルが Windows 認証である場合、pwextractor を使用するときには、以下のことを行う必要があります。

• sqljdbc_auth.dll ファイルが JAVA_HOME¥bin ディレクトリ内にあることを確認します。
• pwextractor -url 形式を使用します。
• JDBC URL 文字列中に「integratedSecurity=true;」を指定します。

注： pwextractor -url 形式を使用できるのは、Windows コンピュータにエンタープライズ管理サーバをインストールしており、かつ、Microsoft SQL Server データベースを使用している場合のみです。 sqljdbc_auth.dll ファイルの詳細については、Microsoft SQL Server ドキュメントを参照してください。

pwextractor は、以下のディレクトリに配置されています。

ACServerInstallDir/IAM Suite/Access Control/tools/pwextractor

このコマンドの形式は以下のようになります。

pwextractor -h hostname [-r port] -d {database | schema} -t {mssql | oracle} -l login -p password -f filename [-k key_file]

JDBC データベースが対象の場合のコマンド形式は以下のとおりです。 この形式が有効なのは、Windows コンピュータにエンタープライズ管理サーバをインストールしており、かつ、Microsoft SQL Server データベースを使用している場合のみです。

pwextractor -url url -f filename [-k key_file]

-h hostname

データベース ホストの名前を定義します。

-r port

データベースが通信するポート番号を定義します。

-d {database | schema}

以下を定義します：

• （MS SQL）データベース名を定義します。
• （Oracle）スキーマ名を定義します。

-t {mssql | oracle}

データベース タイプを指定します。

値： mssql、Oracle

-l login

データベースにアクセスするために SAM で使用するアカウントのユーザ名を定義します。

-p password

データベースにアクセスするために SAM で使用するアカウントのパスワードを定義します。

-f filename

出力ファイルのディレクトリ パスおよびファイル名を定義します。 既存のファイルを指定すると、pwextractor によって既存のファイルが新しく出力されたファイルに置き換えられます。

[-backup | -restore]

-backup

ツールがデータベースからの PUPM アカウント パスワードのバックアップに使用されることを定義します。

-restore

ツールがソース データベースから送信先サーバに取得された SAM アカウント パスワードのリストアに使用されることを定義します。

注： ツールの実行には、–backup または –restore のいずれかが必要です。

-account_pwd

ツールがすべての SAM アカウントのパスワードの抽出またはリストアを目的としていることを定義します。

注： このオプションは必須です。

-cleartext

抽出されたパスワードが平文で格納されることを定義します。 このオプションがスキップされる場合、パスワードはデータベース列で利用可能な、暗号化された形式で格納されます。

注： -restore オプションを使用する場合は、このオプションは必須ではありありません。

-k key_file

パスワードの暗号化に使用した暗号化ファイルの完全パスおよびファイル名を定義します。

-url url

データベースにアクセスするために使用する JDBC URL 文字列を定義します。

形式： jdbc:sqlserver://servername:port[;property=value]

例： jdbc:sqlserver://localhost:1433;selectMethod=cursor;DatabaseName=mydb;user=sa;password=mypwd;

例： Microsoft SQL Server データベース から SAM パスワードを抽出する

以下の例では、ホスト myhost.example.com 上にある、mydb という名前の Microsoft SQL Server データベースから SAM パスワードを抽出しています。 エンタープライズ管理サーバは Windows コンピュータ上にあり、暗号化ファイルは C:¥FIPSkey.dat にあります。 pwextractor は出力を C:¥accounts.txt ファイルに書き込みます。

• 次の例は、データベース認証モードが SQL Server 認証であるときにパスワードを抽出します。

  pwextractor.bat -backup -account_pwd -h hostname -r 1433 -d databasename -t mssql -l sp1 -p capassword -f C:¥accounts1.txt -k "E:¥FIPSkey.dat"
  

• 次の例は、データベース認証モードが Windows 認証であるときにパスワードを抽出します。

  pwextractor.bat -url jdbc:sqlserver://myhost.example.com:1433;selectMethod=cursor;DatabaseName=mydb;user=sa;password=mypwd;integratedSecurity=true; -f C:¥accounts.txt -k "C:¥FIPSkey.dat"
  

注： 作成された最終テキスト ファイルには、区切り文字値 @!~ が含まれます。

詳細情報：

手動パスワード抽出