安全性是 IBM® AIX® 操作系统的一个重要方面。阅读这个有关 AIX 安全命令的快速参考指南以了解更多信息。

Uma Chandolu, 软件工程师, IBM

http://www.ibm.com/developerworks/i/p-uchandolu.jpgUma M. Chandolu 是一名 AIX 上的开发支持专家,拥有 6 年多在 AIX 环境中工作的大量实践经验,擅长 AIX 系统管理和其他子系统。他拥有与客户合作和处理客户关键型情景的经验。他曾是 “IBM developerWorks 投稿作者”。



Puneet Mahajan, 软件工程师, IBM

http://www.ibm.com/developerworks/i/p-pumahajan.jpgPuneet Mahajan 是一位高级 AIX 技术支持专家,他在 AIX 系统管理方面具有七年多的经验。他目前是位于奥斯汀的 AIX remote support for Independent Software Vendors (ISV) 团队的负责人。



2008 年 9 月 24 日

引言

AIX 提供了大量的命令来处理用户和组管理。本文讨论其中一些核心安全命令,并提供可用作便捷参考的列表。这些命令的行为在所有 AIX 版本中应该都是相同的。

命令

一般命令

如何在 AIX 上创建用户?

要在 AIX 上创建用户,可以输入以下命令:

mkuser <username>

或者

useradd <username>

这两个命令都在 AIX 上创建该用户,并更新 /etc/passwd 文件中的用户信息。

如何设置用户密码?

passwd 命令设置用户的密码,并将用户的密码信息更新到 /etc/security/passwd 文件中。在使用 passwd 命令来为用户设置密码之后,它将设置 ADMCHK 标志,以便在用户下一次登录期间提示他们更改密码。

要设置密码,可以输入以下命令:

 passwd <username>

如何清除某个用户的 ADMCHK 标志?

要清除某个用户的 ADMCHK 标志和所有的密码标志,可以输入以下命令:

 pwdadm -c <username>

-c 标志清除用户的 ADMCHK 标志,并修改用户在 /etc/security/passwd 文件中的密码节。

如何在 AIX 上创建组?

可以使用 mkgroup 命令在 AIX 上创建组,并更新 /etc/group 和 /etc/security/group 文件中的组信息。

mkgroup <groupname>

如何删除用户?

可以使用两个命令来删除用户。要删除用户,可以输入以下命令:

rmuser <username>

userdel <username>

如何删除组?

可以使用 rmgroup 命令来删除组。

rmgroup <groupname>

如何列出用户的属性?

lsuser 命令显示 /etc/passwd 和 /etc/security/user 文件中的所有用户属性。

 lsuser <username>

如何列出组属性?

要显示某个组的属性,可以输入命令:

 lsgroup <groupname>

如何更改用户属性?

chuser 命令更改用户信息并更新配置文件。

chuser attribute=value <username>

如何在系统上禁用远程登录?

用户属性存储在 /etc/security/user 配置文件中。要禁止用户远程登录,可以将“rlogin”属性设置为“false”。

用户的“registry”和“SYSTEM”属性之间的区别是什么?

registry 属性指定了管理用户或组身份信息的位置,SYSTEM 属性则控制使用哪些方法以及那些方法如何影响总体身份验证。AIX 上的每个用户的 registry 和 SYSTEM 属性都必须具有某个值。组仅有 registry 值。

AIX 安全配置文件是什么?

/etc/passwd
/etc/group
/etc/security/passwd
/etc/security/user
/etc/security/group
/etc/security/lastlog
/etc/security/login.cfg
/usr/lib/security/methods.cfg

如何检查安全配置文件的不一致性?

usrck此命令校正用户信息。
grpck此命令校正组信息。
pwdck此命令验证用户数据库文件中的密码信息的正确性。

如何获得内核中的用户和组名称长度限制?

带 LOGIN_NAME_MAX 参数的 getconf 命令检索内核中的用户和组名称长度限制。

        getconf LOGIN_NAME_MAX

用户和组的最大名称长度是多少?

对于 AIX 5.2 及更低的版本,用户和组的最大名称长度是 8 个字符。AIX 5.3 及更高版本允许管理员将用户和组的名称长度最多增加到 255 个字符。

如何增加用户和组的名称长度?

使用 smit,smit -> System Environments -> Change / Show Characteristics of Operation System 面板可用于更改 ODM 数据库中的值(在“Maximum login name length at boot time”字段中)。在该 smit 面板中指定的值将在下一次重新启动后生效。

使用命令行,chdev 命令可用于通过 max_logname 属性更改 sys0 设备在 ODM 数据库中的 v_max_logname 参数。ODM 数据库中更改后的值将在下一次重新启动后生效。

# chdev -l sys0 -a max_logname=30
	sys0 changed

LDAP 命令

如何在 AIX 上配置 ITDS LDAP 服务器/客户端?

mksecldap 命令配置 ITDS LDAP 服务器/客户端。有关更多信息,请参阅参考资料部分。

如何停止 LDAP 客户端守护进程?

可以使用 /usr/sbin/stop-secldapclntd 命令来停止 LDAP 客户端守护进程。

如何启动 LDAP 客户端守护进程?

可以使用 /usr/sbin/start-secldapclntd 命令来启动 LDAP 客户端守护进程。

如何重新启动 secldapclntd 守护进程?

可以使用 /usr/sbin/restart-secldapclntd 命令来重新启动 secldapclntd 守护进程。

如何从 LDAP 服务器获得 LDAP 用户信息?

lsldap 命令通过 LDAP 客户端和 secldapclntd 守护进程从 LDAP 服务器获得该信息。

 lsldap -a passwd username OR lsuser -R LDAP username

如何从 LDAP 服务器获得 LDAP 组信息?

 lsldap -a group groupname OR lsgroup -R LDAP groupname

有关 LDAP 命令的更多信息,请参阅此白皮书

Kerberos 命令

如何在 AIX 上配置 NAS Kerberos 服务器?

mkkrb5srv -r <realm> -s <servername> -d <domain>

此命令在 AIX 上配置 Kerberos 服务器,并创建 /etc/krb5/krb5.conf、/var/krb5/krb5kdc/kdc.conf 和 kdm5.acl 文件。

如何在 AIX 上配置 NAS Kerberos 客户端?

mkkrb5clnt -r <realm name> -c <KDC server> -s
<Kerberos server> -d <domain> -a admin/admin -A i files -K - T

此命令在 AIX 上配置 Kerberos 客户端,并使用“files”作为 Kerberos 的数据库。如果希望使用“LDAP”作为数据库,可以指定 LDAP 来取代上述命令中的“files”。此命令还将 KRB5files 和 KRB5 模块信息更新到 /usr/lib/security/methods.cfg 文件中。

如何创建 Kerberos 用户?

 mkuser -R registry=KRB5files SYSTEM="KRB5files" <username>
		            OR
 mkuser -R KRB5LDAP registry=KRB5LDAP SYSTEM="KRBLDAP" <username>

如何设置 Kerberos 用户的密码?

 passwd -R KRB5files <username>
                 OR
 passwd -R KRB5LDAP <username>

如果为 Kerberos 客户端配置了 kadmin 支持,则此命令有效。如果不存在 kadmind 支持,则用户无法从 Kerberos 客户端更改他们的密码。

如何为 AIX Kerberos 客户端配置 Microsoft® Windows® Active Directory 服务器?

 config.krb5 -C -r <realm> -d <domain> -c <KDC server> -s <kerberos server>

其中

  • <realm> 是 Windows Active Directory 域名
  • <domain> 是承载 Active Directory 服务器的计算机的域名
  • <KDC server> 是 Windows 服务器的主机名称
  • <kerberos server> 是 Windows 服务器的主机名称

Microsoft Windows 支持的加密机制是什么?

Microsoft Windows 支持 DES-CBC-MD5 和 DES-CBC-CRC 加密类型。可以按如下方式更改 AIX Kerberos 客户端 /etc/krb5/krb5.conf 文件。

        [libdefaults] 
        default_realm = MYREALM
        default_keytab_name = FILE:/etc/krb5/krb5.keytab
        default_tkt_enctypes = des-cbc-crc des-cbc-md5
        default_tgs_enctypes = des-cbc-crc des-cbc-md5

如何取消配置 Kerberos 客户端/服务器?

 unconfig.krb5

此命令从客户端和服务器中删除 Network Authentication Service 配置信息和文件。

如何验证在登录期间使用了哪种身份验证方法?

 echo $AUTHSTATE

此命令提供登录期间使用的身份验证方法。

参考资料

学习

  • 您可以参阅本文在 developerWorks 全球站点上的 英文原文
  • AIX 安全指南为系统管理员提供了有关文件、系统和网络安全性的完整信息。
  • AIX 上的 LDAP 配置管理和故障诊断,这篇文章提供了有关 LDAP 配置和管理的概述。
  • AIX 5L LDAP 用户管理,这篇文章提供了 AIX 5L 操作系统 V5.3 TL5 更新中与 LDAP 相关的增强功能的概述。
  • AIX and UNIX 专区:developerWorks 的“AIX and UNIX 专区”提供了大量与 AIX 系统管理的所有方面相关的信息,您可以利用它们来扩展自己的 UNIX 技能。
  • AIX and UNIX 新手入门:访问“AIX and UNIX 新手入门”页面可了解更多关于 AIX 和 UNIX 的内容。
  • AIX and UNIX 专题汇总:AIX and UNIX 专区已经为您推出了很多的技术专题,为您总结了很多热门的知识点。我们在后面还会继续推出很多相关的热门专题给您,为了方便您的访问,我们在这里为您把本专区的所有专题进行汇总,让您更方便的找到您需要的内容。
  • 浏览技术书店,以了解有关这些技术主题及其他技术主题的相关书籍。

获得产品和技术

  • 下载 IBM 产品评估版,获得来自 DB2®、Lotus®、Rational®、Tivoli® 和 WebSphere® 的应用程序开发工具和中间件产品。

讨论

条评论

developerWorks: 登录

标有星(*)号的字段是必填字段。


需要一个 IBM ID?
忘记 IBM ID?


忘记密码?
更改您的密码

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件

 


在您首次登录 developerWorks 时,会为您创建一份个人概要。您的个人概要中的信息(您的姓名、国家/地区,以及公司名称)是公开显示的,而且会随着您发布的任何内容一起显示,除非您选择隐藏您的公司名称。您可以随时更新您的 IBM 帐户。

所有提交的信息确保安全。

选择您的昵称



当您初次登录到 developerWorks 时,将会为您创建一份概要信息,您需要指定一个昵称。您的昵称将和您在 developerWorks 发布的内容显示在一起。

昵称长度在 3 至 31 个字符之间。 您的昵称在 developerWorks 社区中必须是唯一的,并且出于隐私保护的原因,不能是您的电子邮件地址。

标有星(*)号的字段是必填字段。

(昵称长度在 3 至 31 个字符之间)

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件.

 


所有提交的信息确保安全。


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=10
Zone=AIX and UNIX, Security
ArticleID=341186
ArticleTitle=AIX 安全命令
publish-date=09242008