Befehl "mkgroup"
Zweck
Erstellt eine neue Gruppe.
Syntax
mkgroup [ -R Lademodul ] [ -a ] [ -A ] [ Attribut=Wert ... ] Gruppe
Beschreibung
Der Befehl mkgroup erstellt eine neue Gruppe. Der Parameter Gruppe muss eine eindeutige Zeichenfolge sein (deren Länge über den Befehl chdev vom Administrator konfigurierbar ist) und darf nicht das Schlüsselwort ALL oder default sein. Standardmäßig erstellt der Befehl mkgroup eine Standardgruppe. Geben Sie zum Erstellen einer Verwaltungsgruppe das Flag -a an. Zum Erstellen einer Verwaltungsgruppe müssen Sie der Rootbenutzer oder ein Benutzer mit der Berechtigung "GroupAdmin" sein.
Zum Erstellen einer Gruppe mit einem alternativen Identifikations-und Authentifizierungsmechanismus (I&A) kann das Flag -R verwendet werden, um das I&A-Lademodul anzugeben, das zum Erstellen der Gruppe verwendet wird. Lademodule werden in der Datei /usr/lib/security/methods.cfg definiert.
Sie können zum Ausführen dieses Befehls auch den SMIT-Direktaufruf (System Management Interface Tool) smit mkgroups verwenden.
Der Befehl mkgroup überprüft immer die Zielgruppenregistry, um sicherzustellen, dass die ID für den neuen Account in der Zielregistry eindeutig ist. Sie können den Befehl mkgroup mit dem Attribut dist_uniqid aber auch so konfigurieren, dass er alle Gruppenregistrys des System überprüft. Das Systemattribut dist_uniqid ist ein Attribut der Zeilengruppe usw in der /etc/security/login.cfg und kann mit dem Befehl chsec verwaltet werden.
- never -Führt keine Überprüfung auf ID-Kollisionen mit Nicht-Ziel-Registrys durch. Dies ist die Standardeinstellung.
- always -Prüft, ob ID-Kollisionen mit allen anderen Registrys vorliegen. Wenn eine Kollision zwischen der Zielregistry und einer anderen Registry festgestellt wird, schlägt die Erstellung oder Änderung des Accounts fehl.
- uniqbyname -Prüft, ob ID-Kollisionen mit allen anderen Registrys vorliegen. Kollisionen zwischen Registrys sind nur zulässig, wenn der erstellende Account denselben Namen hat wie der bestehende Account.
Die Systemattributeinstellung uniqbyname eignet sich für zwei Registrys. Wenn mehr als zwei Registrys vorhanden sind und bereits eine ID-Kollision zwischen zwei Registrys gefunden wurde, ist das Verhalten des Befehls mkgroup bei der Erstellung eines neuen Accounts in der dritten Registry mit den kollidierenden ID-Werten nicht vorhersehbar. Die Erstellung des neuen Accounts kann je nach Reihenfolge, in der die Registrys überprüft werden, erfolgreich sein oder fehlschlagen.
Die ID-Kollisionsprüfung erzwingt nur die ID-Eindeutigkeit zwischen der lokalen Registry und fernen Registrys und zwischen fernen Registrys. Die ID-Eindeutigkeit zwischen dem neu erstellten Account in der fernen Registry und vorhandenen lokalen Benutzern auf anderen Systemen, die dieselbe ferne Registry verwenden, ist nicht gewährleistet. Der Befehl mkgroup umgeht eine ferne Registry, wenn die ferne Registry zum Zeitpunkt der Befehlsausführung nicht erreichbar ist.
Wenn Encrypted File System (EFS) auf dem System aktiviert ist, aktualisiert der Befehl mkgroup die Datei /etc/security/group
mit EFS-Attributen (es werden Standardwerte hinzugefügt, wenn Sie die Attribute nicht in der Befehlszeile angeben). Wenn Sie efs_keystore_access=none nicht angeben, erstellt der Befehl mkgroup den Gruppen-Keystore, wenn mindestens einer der Benutzer einen Keystore hat.
Einschränkungen beim Erstellen von Gruppennamen
Zur Vermeidung von Anmeldungsinkonsistenzen sollten Sie für Gruppennamen ausschließlich Großbuchstaben verwenden. Obwol der Befehl mkgroup auch Multibyte-Gruppennamen unterstützt, wird empfohlen, Gruppennamen auf Zeichen aus dem POSIX-Zeichensatz für portierbare Dateinamen zu beschränken.
Gehen Sie bei der Benennung von Gruppen vorsichtig vor, um sicherzustellen, dass Ihre Benutzerdatenbank nicht beschädigt wird. Gruppennamen dürfen nicht mit den folgenden Zeichen beginnen - (Minuszeichen), + (Pluszeichen), @ (kommerzielles A) und ~ (Tilde). Die Schlüsselwörter ALL und default dürfen nicht als Gruppennamen verwendet werden. Verwenden Sie darüber hinaus keines der folgenden Zeichen in einer Gruppennamenszeichenfolge:
| Element | Beschreibung |
|---|---|
| : | Doppelpunkt |
| " | Doppeltes Anführungszeichen |
| # | Nummernzeichen |
| , | Komma |
| = | Gleichheitszeichen |
| \ | Umgekehrter Schrägstrich (Backslash) |
| / | Schrägstrich |
| ? | Fragezeichen |
| ' | Einfaches Anführungszeichen |
| ` | Umgekehrtes Anführungszeichen |
Außerdem darf der Parameter Name keine Leerzeichen, Tabulatoren oder Zeilenvorschubzeichen enthalten.
Flags
| Element | Beschreibung |
|---|---|
| -A | Erstellt eine Verwaltungsgruppe. Dieses Flag kann nur vom Rootbenutzer verwendet werden. |
| -A | Legt als Gruppenadministrator die Person fest, die den Befehl mkgroup aufgerufen hat. |
| -R Lademodul | Gibt das ladbare I&A-Modul an, das zum Erstellen des Benutzers verwendet wird. |
| Attribut=Wert | Initialisiert eine Gruppe mit einem bestimmten Attribut. Weitere Informationen zu den Gruppenattributen finden Sie unter dem Befehl chgroup . |
Exitstatus
| Element | Beschreibung |
|---|---|
| 0 | Der Befehl wurde erfolgreich ausgeführt und alle angeforderten Änderungen wurden vorgenommen. |
| >0 | Es ist ein Fehler aufgetreten. In der ausgegebenen Fehlernachricht werden weitere Details zum Typ des Fehlers aufgelistet. |
Sicherheit
Zugriffssteuerung: Dieser Befehl sollte nur dem Rootbenutzer und den Mitgliedern der Gruppe "security" Ausführungszugriff (x) erteilen. Dieser Befehl muss als Programm in der Trusted Computing Base (TCB) installiert werden. Eigner dieses Befehls muss der Rootbenutzer mit gesetztem setuid-Bit (SUID) sein.
Dateien, auf die zugegriffen wird:
| Modus | Datei |
|---|---|
| rw | /etc/passwd |
| rw | /etc/security/user |
| rw | /etc/security/limits |
| rw | /etc/security/environ |
| rw | /etc/group |
| rw | /etc/security/group |
| r | /usr/lib/security/mkuser.default |
| x | /usr/lib/security/mkuser.sys |
Prüfereignisse:
| Ereignis | Informationen |
|---|---|
| USER_Create | Benutzer |
Einschränkungen
Das Erstellen einer Gruppe wird möglicherweise nicht von allen ladbaren I&A-Modulen unterstützt. Wenn das ladbare I&A-Modul das Erstellen einer Gruppe nicht unterstützt, wird ein Fehler gemeldet.
Beispiele
- Erstellen eines neuen Gruppenkontos mit dem Namenfinance, Typ:
mkgroup finance - So erstellen Sie einen neuen Verwaltungsgruppenaccount mit dem Namenpayroll, Typ:
Dieser Befehl kann nur vom Rootbenutzer ausgeführt werden.mkgroup -a payroll - Erstellen eines neuen Gruppenkontos mit dem NamenmanagersGeben Sie als Administrator Folgendes ein:
mkgroup -A managers - Erstellen eines neuen Gruppenkontos mit dem Namenmanagersund setzen Sie die Liste der Administratoren auf steveundmike, Typ:
Die Benutzersteveundmikemuss bereits auf dem System vorhanden sein.mkgroup adms=steve,mike managers - Geben Sie Folgendes ein, um eine neue Gruppe zu erstellen, die ein LDAP-Benutzer für ladbare I&A-Module ist:
mkgroup -R LDAP monsters
Dateien
| Element | Beschreibung |
|---|---|
| /usr/bin/mkgroup | Enthält den Befehl mkgroup. |
| /etc/group | Enthält die Basisattribute von Gruppen. |
| /etc/security/group | Enthält die erweiterten Attribute von Gruppen. |
| /etc/passwd | Enthält die Basisinformationen von Benutzern. |
| /etc/security/passwd | Enthält Kennwortinformationen. |