Befehl "login"

Zweck

Startet eine Benutzersitzung.

Syntax

login [ -h Hostname ] [ -p ] [ -f Benutzer | -k ] [-e Label ] [ -t Label ] [ Benutzer [ Umgebung ] ]

Beschreibung

Der Befehl login (Teil des Befehls tsm) startet Sitzungen für den mit dem Parameter Benutzer angegebenen Benutzer auf dem System. Sie können auch Umgebungsvariablen angeben, die der Benutzerumgebung hinzugefügt werden sollen. Diese Befehle sind Zeichenfolgen im Format Variable=Wert. Der Befehl login wird normalerweise nicht in der Befehlszeile eingegeben.

Sie können den Befehl login so konfigurieren, dass Ihr Ausgangsverzeichnis bei der Anmeldung erstellt wird, falls Sie noch kein Ausgangsverzeichnis haben. Der Befehl login ruft den Befehl mkuser.sys auf, um das Ausgangsverzeichnis zu erstellen und den Account anzupassen. Zum Aktivieren dieser Funktion setzen Sie das Attribut mkhomeatlogin der Zeilengruppe USW in der Datei /etc/security/login.cfg auf true.

Anmerkung:
  1. Die Umgebungsvariablen PATH, IFS, HOME und SHELL können nicht über die Befehlszeile initialisiert werden.
  2. Der Befehl login unterstützt Mehrbytebenutzernamen. Es wird empfohlen, dass der Systemadministrator die Benutzernamen auf Zeichen innerhalb des portablen Zeichensatzes beschränken muss, um Unklarheiten zu vermeiden.
  3. Wenn die Datei /etc/nologin vorhanden ist, verhindert das System, dass sich der Benutzer anmeldet, und zeigt den Inhalt der Datei /etc/nologin an. Das System lässt Rootbenutzeranmeldungen zu, wenn diese Datei vorhanden ist. Die Datei /etc/nologin wird entfernt, wenn Sie das System neu starten.
  4. Wenn das Attribut domainlessgroups in der Datei /etc/secvars.cfg gesetzt ist, werden alle Gruppen-IDs aus dem LDAP-Modul und aus den Dateimodulen abgerufen, wenn der Benutzer zu einer dieser Domänen gehört.

Der Befehl login kann DCE-Benutzernamen (Distributed Computing Environment) mit bis zu 1024 Zeichen verarbeiten. DCE-Benutzernamen werden in der Umgebungsvariablen LOGIN gespeichert. Da DCE-Benutzernamen nicht den Standardbetriebssystemvoraussetzungen entsprechen, werden die ersten 8 Zeichen des DCE-Benutzernamens in allen Standardbetriebssystemdateien und -umgebungen gespeichert.

Der Befehl login führt die folgenden Funktionen aus:

Element Beschreibung
Accounts prüfen Der Befehl login validiert den Benutzeraccount und stellt dabei sicher, dass die Authentifizierung erfolgreich ist, die Anmeldungen ordnungsgemäß aktiviert ist und die richtige Kapazität für den für die Anmeldung verwendeten Port definiert ist.
Benutzer authentifizieren Der Befehl login überprüft die Identität des Benutzers mithilfe der systemdefinierten Authentifizierungsmethoden für jeden Benutzer. Wenn ein Kennwort abgelaufen ist, muss der Benutzer ein neues Kennwort eingeben. Wenn sekundäre Authentifizierungsmethoden definiert sind, werden diese Methoden zwar aufgerufen, müssen aber bei der Anmeldung am System nicht erfolgreich sein.
Berechtigungsnachweise erstellen Der Befehl login legt die anfänglichen Berechtigungsnachweise für den Benutzer aus der Benutzerdatenbank fest. Diese Berechtigungsnachweise definieren die Zugriffsrechte und die Abrechenbarkeit des Benutzers auf dem System.
Sitzung starten Der Befehl login initialisiert die Benutzerumgebung über die Benutzerdatenbank, über die Befehlszeile und über die Konfigurationsdateien /etc/environment, ändert das aktuelle Verzeichnis in das Ausgangsverzeichnis des Benutzers (normalerweise) und führt das Startprogramm des Benutzers aus.

Diese Funktionen werden in der angegebenen Reihenfolge ausgeführt. Wenn ein Befehl fehlschlägt, werden die nachfolgenden Funktionen nicht ausgeführt.

Wenn sich ein Benutzer erfolgreich anmeldet, erstellt der Befehl login Einträge in der Datei /etc/utmp, die die Anmeldungen des aktuellen Benutzers verfolgen, und in der Datei /var/adm/wtmp, die für Abrechnungszwecke verwendet wird. Der Befehl login setzt auch die Umgebungsvariablen LOGIN und LOGNAME.

Informationen zu jeder nicht erfolgreichen Anmeldung werden in der Datei /etc/security/failedlogin aufgezeichnet. Die gespeicherten Informationen sind dieselben wie in der Datei /etc/utmp mit der Ausnahme, dass nicht erkennbare Benutzernamen mit UNKNOWN_USER protokolliert werden. Diese Prüfung stellt sicher, dass ein versehentlich als Benutzername eingegebenes Kennwort nicht unverschlüsselt in das System übernommen wird.

Nach einer erfolgreichen Anmeldung zeigt der Befehl login die Nachricht des Tages, das Datum und die Uhrzeit der letzten erfolgreichen und fehlgeschlagenen Anmeldeversuche für diesen Account sowie die Gesamtzahl der fehlgeschlagenen Anmeldeversuche für diesen Account seit der letzten erfolgreichen Anmeldung an. Diese Nachrichten werden unterdrückt, wenn es eine Datei .hushlogin in Ihrem Ausgangsverzeichnis gibt.

Der Befehl login ändert auch den Eigner des Anmeldeports in den Benutzer. Dazu gehören alle Ports, die in der Datei /etc/security/login.cfg als Synonyme angegeben sind.

Zur Bewahrung der Systemintegrität darf jeweils nur eine einzige Sitzung an einem Port angemeldet sein. Diese Prüfung bedeutet, dass der an der Shelleingabeaufforderung eingegebene Befehl login nicht erfolgreich ausgeführt werden kann, da sowohl die ursprüngliche Sitzung als auch die neue Anmeldesitzung denselben Port verwenden. Der Befehl exec login ist jedoch erfolgreich, weil eine neue Shell die aktuelle Shell ersetzt. Der Befehl login ist gewöhnlich ein integrierter Shellbefehl, der bewirkt, dass sich die Shell selbst ersetzt.

Auf einen Trusted AIX-System können Sie ein effektive Sensitivity-Label (SL) angeben, indem Sie zusammen mit dem Namen das Label mit dem Flag -e angeben. Um während der Anmeldung ein gültiges Integrity-Label (TL) anzugeben, geben Sie das Label mit dem Flag -t an.

Wenn das Label Leerzeichen enthält, schließen Sie es in Anführungszeichen ein. Das Standard-SL und das Standard-TL für die Anmeldung werden in der Datei /etc/security/user als Benutzerattribute definiert. Wenn kein Labelattribut in der Datei angegeben ist, werden die in der Standardzeilengruppe definierten Labelattribute verwendet.

Die von Ihnen angegebenen Labels müssen Ihren Berechtigungen und dem Systemakkreditierungsbereich entsprechen. Sie können das SL mit dem Flag -e und das TL mit dem Flag -t zur Anmeldezeit angeben. Sofern die Anmeldung nicht über die Konsole erfolgt, wird Ihnen in einem Netz, in dem Labels verwendet werden, das Label des Netzes zugewiesen, egal welche Labels Sie mit dem Flag -e oder -t angegeben haben.

Ihre SL-Freigabe muss in dem Bereich liegen, der für die TTY-Einheit in der Datei /etc/security/login.cfg definiert wurde. Das effektive TL des Benutzers muss mit dem TL des TTY übereinstimmen. Nach erfolgreicher Anmeldung wird die Freigabe dem Anmeldeport zugewiesen.

Tipp:
Verwenden Sie für Ihren Benutzernamen nicht nur Großbuchstaben, es sei denn, auf Ihrem Terminal können nur Großbuchstaben angezeigt werden.

Für die Anmeldung mit Mehrbytebenutzernamen müssen Sie zuerst ein japanisches Fenster (aixterm) öffnen und in diesem eine neue Anmeldung starten.

Flags

Element Beschreibung
-e Label Gibt das effektive Sensitivity-Label an, das für die Anmeldung an einem Trusted AIX-System verwendet werden soll.
Einschränkung: Das Flag -e gilt nur für Systeme, auf denen Trusted AIX ausgeführt wird.
-f Benutzer Identifiziert einen Benutzer, der bereits authentifiziert wurde. Wenn die reale ID des Anmeldeprozesses root (0) ist, wird der Benutzer nicht authentifiziert.
-h Hostname Identifiziert die Anmeldung als Fernanmeldung und gibt mit der Variablen Hostname den Namen des Systems an, das die Anmeldung anfordert. Diese Form der Anmeldung wird nur von den Dämonprozessen telnetd und rlogind verwendet.
-k Identifiziert die Anmeldung als Anmeldung mit Kerberos-Authentifizierung und bewirkt, dass der Befehl "login" für die Authentifizierung die Steuerung an /usr/bin/k5dcelogin übergibt. Diese Form der Anmeldung wird nur vom Dämon krshd verwendet.
-p Behält den aktuellen Terminaltyp bei, indem dieser als Wert für die Umgebungsvariable $TERM festgelegt wird und nicht der Typ, der in der CuAt/PdAt-Objektklassendatenbank enthalten ist.
-t Label Gibt das effektive Integrity-Label an, das für die Anmeldung an einem Trusted AIX-System verwendet wird.
Einschränkung: Das Flag -t gilt nur für Systeme, auf denen Trusted AIX ausgeführt wird.

Sicherheit

Der Befehl login ist eine PAM-fähige Anwendung mit dem Servicenamen login. Die systemweite Konfiguration zur Verwendung von PAM für die Authentifizierung wird festgelegt, indem der Wert des Attributs auth_type in der Zeilengruppe usw der Datei /etc/security/login.cfg als Rootbenutzer auf PAM_AUTH gesetzt wird.

Die Authentifizierungsmechanismen, die verwendet werden, wenn PAM aktiviert ist, hängen von der Konfiguration für den Anmeldeservice in der Datei /etc/pam.conf ab. Der Befehl login setzt /etc/pam.conf-Einträge für die Modultypen auth, account, password und session voraus. Die folgende Konfiguration wird in der Datei /etc/pam.conf für den Service "login" empfohlen: 
#
# AIX login configuration
#
login auth required /usr/lib/security/pam_aix

login account required /usr/lib/security/pam_aix

login session required /usr/lib/security/pam_aix

login password required /usr/lib/security/pam_aix

Beispiele

  1. Geben Sie Folgendes im Anmeldedialog ein, um sich als Benutzer jamesd am System anzumelden: 
    login: jamesd
    Wenn ein Kennwort definiert ist, erscheint die Aufforderung zur Kennworteingabe. Geben Sie an dieser Eingabeaufforderung Ihr Kennwort ein.
  2. Geben Sie den folgenden Befehl ein, um sich auf einem Trusted AIX-System als Benutzer james mit dem effektiven SL TOP SECRET am System anzumelden: 
    login: james –e “TOP SECRET”
  3. Geben Sie den folgenden Befehl ein, um sich mit dem effektiven SL SECRET und dem effektiven TL TOP SECRET anzumelden: 
    login: james –e “TOP SECRET” –t “TOP SECRET”
  4. In der Befehlszeile kann Folgendes verwendet werden: 
    $ login –e “TOP SECRET” james

Dateien

Element Beschreibung
/usr/sbin/login Enthält den Befehl login.
/etc/utmp Enthält Abrechnungsdaten.
/var/adm/wtmp Enthält Abrechnungsdaten.
/etc/motd Enthält die Nachricht des Tages.
/etc/passwd Enthält Kennwörter.
$HOME/.hushlogin Unterdrückt Anmeldenachrichten.
/etc/environment Enthält Konfigurationsdaten für die Benutzerumgebung.
/etc/security/login.cfg Enthält Portsynonyme.
/etc/security/lastlog Enthält Informationen zu den letzten erfolgreichen und fehlgeschlagenen Anmeldeversuchen.
/etc/security/failedlogin Enthält Informationen zu jeder fehlgeschlagenen Anmeldung.
/etc/security/enc/LabelEncodings Enthält Labeldefinitionen für das Trusted AIX-System.