AIX 安全命令

文档选项 未显示需要 JavaScript 的文档选项 英文原文

级别： 中级

Uma Chandolu, 软件工程师, IBM
Puneet Mahajan, 软件工程师, IBM

2008 年 9 月 24 日

安全性是 IBM® AIX® 操作系统的一个重要方面。阅读这个有关 AIX 安全命令的快速参考指南以了解更多信息。

引言

AIX 提供了大量的命令来处理用户和组管理。本文讨论其中一些核心安全命令，并提供可用作便捷参考的列表。这些命令的行为在所有 AIX 版本中应该都是相同的。

命令

一般命令

如何在 AIX 上创建用户？

要在 AIX 上创建用户，可以输入以下命令：

mkuser <username> 
      

或者

useradd <username>

这两个命令都在 AIX 上创建该用户，并更新 /etc/passwd 文件中的用户信息。

如何设置用户密码？

passwd 命令设置用户的密码，并将用户的密码信息更新到 /etc/security/passwd 文件中。在使用 passwd 命令来为用户设置密码之后，它将设置 ADMCHK 标志，以便在用户下一次登录期间提示他们更改密码。

要设置密码，可以输入以下命令：

 passwd <username>

如何清除某个用户的 ADMCHK 标志？

要清除某个用户的 ADMCHK 标志和所有的密码标志，可以输入以下命令：

 pwdadm -c <username>

-c 标志清除用户的 ADMCHK 标志，并修改用户在 /etc/security/passwd 文件中的密码节。

如何在 AIX 上创建组？

可以使用 mkgroup 命令在 AIX 上创建组，并更新 /etc/group 和 /etc/security/group 文件中的组信息。

mkgroup <groupname>

如何删除用户？

可以使用两个命令来删除用户。要删除用户，可以输入以下命令：

rmuser <username>

或

userdel <username>

如何删除组？

rmgroup <groupname>

如何列出用户的属性？

lsuser 命令显示 /etc/passwd 和 /etc/security/user 文件中的所有用户属性。

 lsuser <username>

如何列出组属性？

要显示某个组的属性，可以输入命令：

 lsgroup <groupname>

如何更改用户属性？

chuser 命令更改用户信息并更新配置文件。

chuser attribute=value <username>

如何在系统上禁用远程登录？

用户属性存储在 /etc/security/user 配置文件中。要禁止用户远程登录，可以将“rlogin”属性设置为“false”。

用户的“registry”和“SYSTEM”属性之间的区别是什么？

registry 属性指定了管理用户或组身份信息的位置，SYSTEM 属性则控制使用哪些方法以及那些方法如何影响总体身份验证。AIX 上的每个用户的 registry 和 SYSTEM 属性都必须具有某个值。组仅有 registry 值。

AIX 安全配置文件是什么？

如何检查安全配置文件的不一致性？

如何获得内核中的用户和组名称长度限制？

带 LOGIN_NAME_MAX 参数的 getconf 命令检索内核中的用户和组名称长度限制。

        getconf LOGIN_NAME_MAX

用户和组的最大名称长度是多少？

对于 AIX 5.2 及更低的版本，用户和组的最大名称长度是 8 个字符。AIX 5.3 及更高版本允许管理员将用户和组的名称长度最多增加到 255 个字符。

如何增加用户和组的名称长度？

使用 smit，smit -> System Environments -> Change / Show Characteristics of Operation System 面板可用于更改 ODM 数据库中的值（在“Maximum login name length at boot time”字段中）。在该 smit 面板中指定的值将在下一次重新启动后生效。

使用命令行，chdev 命令可用于通过 max_logname 属性更改 sys0 设备在 ODM 数据库中的 v_max_logname 参数。ODM 数据库中更改后的值将在下一次重新启动后生效。

# chdev -l sys0 -a max_logname=30
	sys0 changed

LDAP 命令

如何在 AIX 上配置 ITDS LDAP 服务器/客户端？

mksecldap 命令配置 ITDS LDAP 服务器/客户端。有关更多信息，请参阅参考资料部分。

如何停止 LDAP 客户端守护进程？

可以使用 /usr/sbin/stop-secldapclntd 命令来停止 LDAP 客户端守护进程。

如何启动 LDAP 客户端守护进程？

可以使用 /usr/sbin/start-secldapclntd 命令来启动 LDAP 客户端守护进程。

如何重新启动 secldapclntd 守护进程？

可以使用 /usr/sbin/restart-secldapclntd 命令来重新启动 secldapclntd 守护进程。

如何从 LDAP 服务器获得 LDAP 用户信息？

lsldap 命令通过 LDAP 客户端和 secldapclntd 守护进程从 LDAP 服务器获得该信息。

 lsldap -a passwd username OR lsuser -R LDAP username 

如何从 LDAP 服务器获得 LDAP 组信息？

 lsldap -a group groupname OR lsgroup -R LDAP groupname

有关 LDAP 命令的更多信息，请参阅此白皮书。

Kerberos 命令

如何在 AIX 上配置 NAS Kerberos 服务器？

mkkrb5srv -r <realm> -s <servername> -d <domain>

此命令在 AIX 上配置 Kerberos 服务器，并创建 /etc/krb5/krb5.conf、/var/krb5/krb5kdc/kdc.conf 和 kdm5.acl 文件。

如何在 AIX 上配置 NAS Kerberos 客户端？

mkkrb5clnt -r <realm name> -c <KDC server> -s
<Kerberos server> -d <domain> -a admin/admin -A i files -K - T 

此命令在 AIX 上配置 Kerberos 客户端，并使用“files”作为 Kerberos 的数据库。如果希望使用“LDAP”作为数据库，可以指定 LDAP 来取代上述命令中的“files”。此命令还将 KRB5files 和 KRB5 模块信息更新到 /usr/lib/security/methods.cfg 文件中。

如何创建 Kerberos 用户？

 mkuser -R registry=KRB5files SYSTEM="KRB5files" <username>
		            OR
 mkuser -R KRB5LDAP registry=KRB5LDAP SYSTEM="KRBLDAP" <username>
        

如何设置 Kerberos 用户的密码？

 passwd -R KRB5files <username>
                 OR
 passwd -R KRB5LDAP <username>

如果为 Kerberos 客户端配置了 kadmin 支持，则此命令有效。如果不存在 kadmind 支持，则用户无法从 Kerberos 客户端更改他们的密码。

如何为 AIX Kerberos 客户端配置 Microsoft® Windows® Active Directory 服务器？

 config.krb5 -C -r <realm> -d <domain> -c <KDC server> -s <kerberos server>

其中

• <realm> 是 Windows Active Directory 域名
• <domain> 是承载 Active Directory 服务器的计算机的域名
• <KDC server> 是 Windows 服务器的主机名称
• <kerberos server> 是 Windows 服务器的主机名称

Microsoft Windows 支持的加密机制是什么？

Microsoft Windows 支持 DES-CBC-MD5 和 DES-CBC-CRC 加密类型。可以按如下方式更改 AIX Kerberos 客户端 /etc/krb5/krb5.conf 文件。

        [libdefaults] 
        default_realm = MYREALM
        default_keytab_name = FILE:/etc/krb5/krb5.keytab
        default_tkt_enctypes = des-cbc-crc des-cbc-md5
        default_tgs_enctypes = des-cbc-crc des-cbc-md5
        

如何取消配置 Kerberos 客户端/服务器？

 unconfig.krb5

此命令从客户端和服务器中删除 Network Authentication Service 配置信息和文件。

如何验证在登录期间使用了哪种身份验证方法？

 echo $AUTHSTATE

此命令提供登录期间使用的身份验证方法。

参考资料

• 您可以参阅本文在 developerWorks 全球站点上的 英文原文 。
  
  
• AIX 安全指南为系统管理员提供了有关文件、系统和网络安全性的完整信息。
  
  
• AIX 上的 LDAP 配置管理和故障诊断，这篇文章提供了有关 LDAP 配置和管理的概述。
  
  
• AIX 5L LDAP 用户管理，这篇文章提供了 AIX 5L 操作系统 V5.3 TL5 更新中与 LDAP 相关的增强功能的概述。
  
  
• AIX and UNIX 专区：developerWorks 的“AIX and UNIX 专区”提供了大量与 AIX 系统管理的所有方面相关的信息，您可以利用它们来扩展自己的 UNIX 技能。
  
  
• AIX and UNIX 新手入门：访问“AIX and UNIX 新手入门”页面可了解更多关于 AIX 和 UNIX 的内容。
  
  
• AIX and UNIX 专题汇总：AIX and UNIX 专区已经为您推出了很多的技术专题，为您总结了很多热门的知识点。我们在后面还会继续推出很多相关的热门专题给您，为了方便您的访问，我们在这里为您把本专区的所有专题进行汇总，让您更方便的找到您需要的内容。
  
  
• 浏览技术书店，以了解有关这些技术主题及其他技术主题的相关书籍。
  
  

• 下载 IBM 产品评估版，获得来自 DB2®、Lotus®、Rational®、Tivoli® 和 WebSphere® 的应用程序开发工具和中间件产品。

• • AIX 论坛
  • 开发人员的 AIX 论坛
  • 集群系统管理
  • IBM Support Assistant 论坛
  • 性能工具论坛
  • 虚拟化论坛
  • 更多“AIX and UNIX”论坛
  
  
• 访问 developerWorks Blog，从而加入到 developerWorks 社区中来。
  
  

作者简介

		Uma M. Chandolu 是一名 AIX 上的开发支持专家。他目前是 IBM 班加罗尔的 AIX 安全开发支持团队的团队负责人。他拥有三年 AIX 环境中的广泛实践经验，并擅长于 AIX 系统管理和其他子系统。他拥有与客户合作和处理客户关键型情景的经验。

		Puneet Mahajan 是一位高级 AIX 技术支持专家，他在 AIX 系统管理方面具有七年多的经验。他目前是位于奥斯汀的 AIX remote support for Independent Software Vendors (ISV) 团队的负责人。

对本文的评价

太差！ (1) 需提高 (2) 一般；尚可 (3) 好文章 (4) 真棒！(5) 建议？

回页首