Befehl "passwd"

Zweck

Ändert das Kennwort eines Benutzers.

Syntax

passwd [ -R Lademodul ] [  -f  |   -s  -a ] [ Benutzer ]

Beschreibung

Der Befehl passwd legt Kennwörter für Benutzer fest und ändert sie. Sie können mit diesem Befehl Ihr eigenes Kennwort oder das Kennwort eines anderen Benutzers ändern. Mit dem Befehl passwd können Sie auch den vollständigen Namen (gecos), der Ihrem Anmeldenamen zugeordnet ist, und die Shell, die Sie als Schnittstelle zum Betriebssystem verwenden, ändern.

Je nachdem, wie der Benutzer definiert ist, kann das Kennwort des Benutzers auf dem lokalen oder auf dem fernen System vorhanden sein. Lokale Kennwörter werden in der Datenbank /etc/security/passwd gespeichert. Ferne Kennwörter werden in der von der fernen Domäne bereitgestellten Datenbank gespeichert.

Wenn Sie Ihr eigenes Kennwort ändern möchten, geben Sie den Befehl passwd ein. Der Befehl passwd fordert den Benutzer ohne Rootberechtigung auf, das alte Kennwort (sofern vorhanden) und dann das neue Kennwort zweimal einzugeben. (Das Kennwort wird nie am Bildschirm angezeigt.) Wenn die beiden Eingaben des neuen Kennworts nicht übereinstimmen, fordert der Befehl passwd den Benutzer auf, das neue Kennwort erneut einzugeben.
Anmerkung: Der Befehl passwd verwendet nur die ersten acht Zeichen Ihres Kennworts für lokale Kennwörter und NIS-Kennwörter. Es werden nur 7-Bit-Zeichen in Kennwörtern unterstützt. Aus diesem Grund sind NLS-Codepunkte (National Language Support, Unterstützung in der Landessprache) nicht zulässig.

Wenn Sie das Kennwort eines anderen Benutzers ändern möchten, geben Sie den Befehl passwd und den Anmeldenamen des Benutzers (Parameter Benutzer) ein. Nur der Rootbenutzer und Mitglieder der Gruppe "security" können das Kennwort eines anderen Benutzers ändern. Der Befehl passwd fordert Sie auf, sowohl das alte Kennwort des Benutzers als auch das neue Kennwort einzugeben. Bei lokalen Kennwörtern fordert der Befehl passwd den Rootbenutzer nicht auf, das alte Benutzerkennwort oder das Rootkennwort einzugeben. Bei fernen Kennwörtern wird der Rootbenutzer standardmäßig aufgefordert, das alte Kennwort einzugeben, damit die ferne Domäne entscheiden kann, das Kennwort zu verwenden oder es zu ignorieren. Informationen zum Ändern dieses Verhaltens finden Sie in der Beschreibung der Option rootrequiresopw in der Datei /usr/lib/security/methods.cfg. Der Befehl passwd erzwingt keine Kennworteinschränkungen für den Rootbenutzer.

Die Datei /etc/passwd zeichnet Ihren vollständigen Namen und den Pfadnamen der Shell auf, die Sie verwenden. Geben Sie zum Ändern Ihres aufgezeichneten Namens den Befehl passwd -f ein. Wenn Sie Ihre Anmeldeshell ändern möchten, geben Sie den Befehl passwd -s ein.

Erstellen Sie lokal definierte Kennwörter entsprechend den Kennworteinschränkungen in der Konfigurationsdatei /etc/security/user. Diese Datei enthält die folgenden Einschränkungen:
Element Beschreibung
dictionlist Gibt die Liste der Wörterbuchdateien an, die beim Ändern eines Kennworts überprüft werden.
histexpire Gibt die Anzahl der Wochen an, die ein Benutzer ein Kennwort nicht wiederverwenden kann.
histsize Gibt die Anzahl der vorherigen Kennwörter an, die der Benutzer nicht wiederverwenden kann.
maxage Gibt das maximale Alter eines Kennworts an. Ein Kennwort muss nach einer bestimmten Zeit, die in Wochen angegeben wird, ändern.
maxexpired Gibt die maximale Anzahl von Wochen über den maxage-Wert hinaus an, die ein Kennwort vom Benutzer geändert werden kann.
maxrepeats Gibt an, wie oft ein einzelnes Zeichen maximal in einem Kennwort verwendet werden kann.
minalpha Gibt die Mindestanzahl alphabetischer Zeichen an.
minother Gibt die Mindestanzahl anderer Zeichen an.
minlen Gibt die Mindestanzahl von Zeichen an.
Anmerkung: Dieser Wert wird entweder durch die Summe aus minalpha-Wert und minother-Wert oder durch den minlen-Wert bestimmt, je nachdem, welcher Wert größer ist.
mindiff Gibt die Mindestanzahl von Zeichen im neuen Kennwort an, die nicht im alten Kennwort enthalten sind.
Anmerkung: Positionen werden bei dieser Einschränkung nicht berücksichtigt. Wenn das neue Kennwort abcd und das alte Kennwort edcb ist, ist die Anzahl der unterschiedlichen Zeichen 1.
minage Gibt das Mindestalter für die Änderung eines Kennworts an. Kennwörter müssen für einen Mindestzeitraum aufbewahrt werden. Dieser Wert wird in Wochen gemessen.
minloweralpha Gibt die Mindestanzahl von Kleinbuchstaben an.
minupperalpha Gibt die Mindestanzahl von Großbuchstaben an.
mindigit Gibt die Mindestanzahl von Ziffern an.
minspecialchar Gibt die Mindestanzahl von Sonderzeichen an.
pwdchecks Gibt die Liste der externen Methoden für die Kennworteinschränkung an, die beim Ändern eines Kennworts aufgerufen werden.

Wenn der Rootbenutzer das Attribut NOCHECK zu Ihrem Flageintrag in der Datei /etc/security/passwd hinzufügt, muss Ihr Kennwort diese Einschränkungen nicht erfüllen. Außerdem kann der Rootbenutzer anderen Benutzern neue Kennwörter zuweisen, ohne die Kennworteinschränkungen zu befolgen.

Wenn der Rootbenutzer das Attribut ADMIN zu Ihrem Flageintrag hinzufügt oder wenn das Feld password in der Datei /etc/passwd einen Stern (*) enthält, kann nur der Rootbenutzer Ihr Kennwort ändern. Der Rootbenutzer hat auch das exklusive Privileg, Ihr Kennwort zu ändern, wenn das Feld password in der Datei /etc/passwd ein Ausrufezeichen (!) und das Feld password in der Datei /etc/security/passwd einen Stern (*) enthält.

Wenn der Rootbenutzer Ihr Kennwort ändert, wird das Attribut ADMCHG automatisch Ihrem Flageintrag in der Datei /etc/security/passwd hinzugefügt. In diesem Fall müssen Sie das Kennwort ändern, wenn Sie sich das nächste Mal anmelden.

Wenn der registry-Wert des Benutzers in der Datei /etc/security/user DCE oder NIS ist, kann die Kennwortänderung nur in der angegebenen Datenbank erfolgen.

Der Befehl passwd erstellt den Benutzerkeystore, wenn der Keystore nicht vorhanden ist und das Attribut efs_keystore_access des Benutzers nicht den Wert none hat. Der Keystore wird mit den EFS-Attributen (Encrypted File System) erstellt, die in der Datei /etc/security/user gefunden werden. Wenn der Keystore mit dem alten Kennwort geöffnet werden kann, wird auch das Keystore-Kennwort geändert. Das heißt, wenn die Kennwörter für die Anmeldung und den Keystore identisch sind, ändert der Befehl passwd beide Kennwörter. Wenn es sich bei dem Dateisystem um ein EFS (Encrypted File System, verschlüsseltes Dateisystem) handelt, wird der Befehl so ausgeführt, als wäre das Flag -a angegeben worden. Wenn Sie das Flag -a angeben, wird das EFS-Kennwort nach einer Kennwortänderung nicht mit dem Anmeldekennwort des Benutzers synchronisiert. Daher wird der Keystore bei den nächsten Anmeldungen nicht automatisch geladen.

Flags

Element Beschreibung
-a Ändert das Kennwort eines Benutzers in allen Modulen (Compat, LDAP, NIS usw.).
-f Ändert die Benutzerinformationen, auf die der Befehl finger zugreift. Sie können dieses Flag verwenden, um Ihren vollständigen Namen in der Datei /etc/passwd anzugeben.
-s Ändert die Anmeldeshell.
-R Lademodul Gibt das ladbare E&A-Modul an, das zum Ändern des Kennworts eines Benutzers verwendet wird.

Sicherheit

Der Befehl passwd ist eine PAM-fähige Anwendung mit dem Servicenamen "passwd". Die systemweite Konfiguration zur Verwendung von PAM für die Authentifizierung wird festgelegt, indem der Wert des Attributs auth_type in der Zeilengruppe usw der Datei /etc/security/login.cfg als Rootbenutzer in PAM_AUTH geändert wird.

Die Authentifizierungsmechanismen, die verwendet werden, wenn PAM aktiviert ist, hängen von der Konfiguration für den Service "passwd" in der Datei /etc/pam.conf ab. Der Befehl passwd setzt Einträge für den Typ des Kennwortmoduls in der Datei /etc/pam.conf voraus. Im Folgenden ist eine empfohlene Konfiguration in der Datei /etc/pam.conf für den Service "passwd" aufgelistet: 
#
# AIX passwd configuration
#

passwd password required /usr/lib/security/pam_aix

Hinweis für Benutzer von RBAC und Trusted AIX: Dieser Befehl kann privilegierte Operationen ausführen. Privilegierte Operationen können nur von privilegierten Benutzern ausgeführt werden. Weitere Informationen zu Berechtigungen und Autorisierungen finden Sie im Abschnitt "Privileged Command Database" in der Veröffentlichung Security. Eine Liste der Berechtigungen und Autorisierungen, die diesem Befehl zugeordnet sind, finden Sie in den Beschreibungen des Befehls lssecattr und des Unterbefehls getcmdattr.

Beispiele

  1. Geben Sie Folgendes ein, um Ihr Kennwort zu ändern: 
    passwd
    Der Befehl passwd fordert Sie zur Eingabe Ihres alten Kennworts auf, sofern ein solches existiert und Sie nicht der Rootbenutzer sind. Nachdem Sie das alte Kennwort eingegeben haben, werden Sie vom Befehl zweimal aufgefordert, das neue Kennwort einzugeben.
  2. Geben Sie Folgendes ein, um den vollständigen Namen in der Datei /etc/passwd zu ändern:
    passwd  -f
    Der Befehl passwd zeigt den für Ihre Benutzer-ID gespeicherten Namen an. Für den Anmeldenamen sam kann der Befehl passwd beispielsweise die folgende Nachricht anzeigen: 
    sam's current gecos:
             "Sam Smith"
Change (yes) or no)? >
    Wenn Sie Y (Yes=Ja) eingeben, werden Sie vom Befehl passwd zur Eingabe des neuen Namens aufgefordert. Der Befehl passwd zeichnet den Namen auf, den Sie in der Datei /etc/passwd eingeben.
  3. Geben Sie Folgendes ein, um bei der nächsten Anmeldung eine andere Shell zu verwenden:
    passwd -s
    Der Befehl passwd listet die Pfadnamen der verfügbaren Shells und die Shell auf, die Sie gerade verwenden. Der Befehl zeigt außerdem die folgende Eingabeaufforderung an: 
    Change (yes) or (no)? >
    Wenn Sie Y (Yes=Ja) eingeben, werden Sie vom Befehl passwd zur Eingabe der zu verwendenden Shellaufgefordert. Wenn Sie sich das nächste Mal anmelden, stellt das System die Shell bereit, die Sie hier angeben.

Dateien

Element Beschreibung
/usr/bin/passwd Enthält den Befehl passwd.
/etc/passwd Enthält Benutzer-IDs, Benutzernamen, Ausgangsverzeichnisse, die Anmeldeshell und finger-Informationen.
/etc/security/passwd Enthält verschlüsselte Kennwörter und Sicherheitsinformationen.