Commande chuser

Editer en ligne

Objectif

Cette commande modifie les attributs d'un utilisateur.

Syntaxe

utilisateur chuser [ -R module_chargement ] Attribut=Valeur ... Nom

Descriptif

Attention: n'utilisez pas la commande chuser si une base de données NIS (Network Information Service) est installée sur votre système.

La commande chuser modifie les attributs de l'utilisateur identifié par le paramètre Nom . Le nom d'utilisateur doit déjà exister. Pour modifier un attribut, indiquez le nom de l'attribut et la nouvelle valeur à l'aide du paramètre Attribut=Valeur. Les fichiers suivants contiennent les attributs utilisateur locaux définis par cette commande:

  • /etc/passwd
  • /etc/security/environ
  • /etc/security/limits
  • /etc/security/user
  • /etc/security/user.roles
  • /etc/security/audit/config
  • /etc/group
  • /etc/security/group

Pour modifier les attributs d'un utilisateur avec un autre mécanisme d'identification et d'authentification (I & A), l'indicateur -R peut être utilisé pour spécifier le module de chargement I & A sous lequel l'utilisateur est défini. Si l'indicateur -R n'est pas spécifié, la commande chuser traite l'utilisateur comme un utilisateur local. Les modules de chargement sont définis dans le fichier /usr/lib/security/methods.cfg.

Si vous spécifiez un attribut ou une valeur d'attribut incorrect unique avec la commande chuser , la commande ne modifie aucun attribut.

Vous pouvez utiliser le raccourci SMIT (System Management Interface Tool) smit chuser pour modifier les caractéristiques de l'utilisateur.

La modification de l'ID d'un compte peut compromettre la sécurité du système et, par conséquent, il ne faut pas le faire. Toutefois, lorsque l'ID est modifié à l'aide de la commande chuser , la vérification des conflits d'ID est également contrôlée par l'attribut dist_uniqid dans la strophe usw du fichier /etc/security/login.cfg . Le comportement du contrôle de collision d'ID est le même que celui décrit pour la commande mkuser .

Restrictions relatives à la modification des utilisateurs

Pour garantir l'intégrité des informations utilisateur, certaines restrictions s'appliquent lors de l'utilisation de la commande chuser . Seul l'utilisateur root ou les utilisateurs disposant de l'autorisation UserAdmin peuvent utiliser la commande chuser pour effectuer les tâches suivantes:

  • Faites d'un utilisateur un administrateur en définissant l'attribut admin sur true.
  • Modifiez les attributs d'un administrateur.
  • Ajoutez un utilisateur à un groupe d'administration.

Un groupe d'administration est un groupe dont l'attribut admin est défini sur true. Les membres du groupe security peuvent modifier les attributs des utilisateurs non administrateurs et ajouter des utilisateurs à des groupes non administratifs.

La commande chuser manipule uniquement les données utilisateur locales. Vous ne pouvez pas l'utiliser pour modifier des données dans des serveurs de registre tels que NIS et DCE.

Indicateurs

Article Descriptif
-R module_chargement Indique le module I & A chargeable utilisé pour modifier les attributs de l'utilisateur.

Attributs

Si vous disposez des droits d'accès corrects, vous pouvez définir les attributs utilisateur suivants :

Article Descriptif
compte_verrouillé Indique si le compte utilisateur est verrouillé. Les valeurs valides sont les suivantes :
vrai
Le compte de l'utilisateur est verrouillé. Les valeurs yes, trueet always sont équivalentes. L'accès au système est refusé à l'utilisateur.
faux
Le compte de l'utilisateur n'est pas verrouillé. Les valeurs no, falseet never sont équivalentes. L'utilisateur est autorisé à accéder au système. Il s'agit de la valeur par défaut.
l'administration Définit le statut administratif de l'utilisateur. Les valeurs possibles sont les suivantes :
vrai
L'utilisateur est un administrateur. Seul le superutilisateur peut modifier les attributs des utilisateurs définis en tant qu'administrateurs.
faux
L'utilisateur n'est pas un administrateur. Il s'agit de la valeur par défaut.
admgroups Définit les groupes que l'utilisateur administre. Si l'attribut domainlessgroups est défini dans le fichier /etc/secvars.cfg , le groupe LDAP (Lightweight Directory Access Protocol) peut être affecté à l'utilisateur local et inversement. Pour plus d'informations, voir le fichier /etc/secvars.cfg . Le paramètre Valeur est une liste de noms de groupe séparés par des virgules.
classes d'audit Définit les classes d'audit de l'utilisateur. Le paramètre Valeur est une liste de classes séparées par des virgules ou une valeur de ALL pour indiquer toutes les classes d'audit.
auth1 Définit les méthodes principales d'authentification de l'utilisateur. Le paramètre Valeur est une liste de paires Méthode;Nom , séparées par des virgules. Le paramètre Méthode est le nom de la méthode d'authentification. Le paramètre Nom correspond à l'utilisateur à authentifier. Si vous n'indiquez pas de paramètre Nom , le nom du programme de connexion appelant est utilisé.

Les méthodes d'authentification valides sont définies dans le fichier /etc/security/login.cfg . Par défaut, la méthode SYSTEM et l'authentification par mot de passe local sont utilisées. La méthode NONE indique qu'aucune vérification d'authentification principale n'est effectuée.
auth2 Définit les méthodes secondaires utilisées pour authentifier l'utilisateur. Le paramètre Valeur est une liste de paires Méthode;Nom , séparées par des virgules. Le paramètre Méthode est le nom de la méthode d'authentification. La valeur du paramètre Nom correspond à l'utilisateur à authentifier.

Si cet attribut n'est pas spécifié, la valeur par défaut est NONE, ce qui indique qu'aucune vérification d'authentification secondaire n'est effectuée. Les méthodes d'authentification valides sont définies dans le fichier /etc/security/login.cfg . Si vous n'indiquez pas de paramètre Nom , le nom du programme de connexion appelant est utilisé.
Fonctions Définit les privilèges système (fonctions) qui sont octroyés à un utilisateur par les commandes login ou su . Les capacités valides sont les suivantes:
CAP_AACCT
Opérations de comptabilité avancée effectuées.
CAP_ARM_APPLICATION
Un processus peut utiliser les services ARM (Application Response Measurement).
CAP_BYPASS_RAC_VMM
Un processus a la possibilité de contourner les restrictions sur l'utilisation des ressources VMM.
CAP_EWLM_AGENT
Un processus a la possibilité d'utiliser les services EWLMEnterprise Workload Manager) du AIX. Cette fonction n'est généralement accordée qu'à l'ID utilisateur qui exécute le composant de serveur géré du produit.
CAP_NUMA_ATTACH
Un processus peut être lié à des ressources spécifiques.
CAP_PROPAGATE
Toutes les fonctions sont héritées par les processus enfant.
La valeur est une liste séparée par des virgules de zéro ou plusieurs noms de fonction.
coeur Indique la limite logicielle pour le fichier core le plus grand qu'un processus d'utilisateur puisse créer. Le paramètre Valeur est un entier qui représente le nombre de blocs de 512 octets.
compresse_code Active ou désactive la compression des fichiers core. Les valeurs admises pour cet attribut sont On et Off. Si cet attribut a la valeur On, la compression est activée ; sinon, la compression est désactivée. La valeur par défaut de cet attribut est Off.
core_hard Indique le plus grand fichier core qu'un processus d'utilisateur puisse créer. Le paramètre Value est un entier représentant le nombre de blocs de 512 octets.
nommage_coder Sélectionne un choix de stratégies de nommage de fichier core. Les valeurs admises pour cet attribut sont On et Off. La valeur On active la désignation du fichier core sous la forme core.pid.time, qui est identique à celle de la variable d'environnement CORE_NAMING . La valeur Off utilise le nom par défaut core.
chemin_code Active ou désactive la spécification de chemin de fichier core. Les valeurs admises pour cet attribut sont On et Off. Si cet attribut a la valeur On, les fichiers core sont placés dans le répertoire spécifié par core_pathname (la fonction est activée) ; sinon, les fichiers core sont placés dans le répertoire de travail en cours de l'utilisateur. La valeur par défaut de cet attribut est Off.
nom_chemin_code Indique un emplacement à utiliser pour placer les fichiers core, si l'attribut core_path est défini sur On. S'il n'est pas défini et que core_path est défini sur On, les fichiers core sont placés dans le répertoire de travail en cours de l'utilisateur. Cet attribut est limité à 256 caractères.
UC Identifie la limite logicielle de la période d'unité centrale la plus longue (en secondes) qu'un processus d'utilisateur peut utiliser. Le paramètre Valeur est un entier. Toutes les valeurs négatives sont considérées comme illimitées.
durée_UC Identifie la quantité maximale de temps système (en secondes) disponible pour un processus utilisateur. Le paramètre Value est un entier. La valeur par défaut est -1, ce qui désactive les restrictions.
démon Indique si l'utilisateur spécifié par le paramètre Name peut exécuter des programmes à l'aide du démon cron ou du démon src (contrôleur de ressources système). Les valeurs possibles sont les suivantes :
vrai
L'utilisateur peut lancer des sessions cron et src . Il s'agit de la valeur par défaut.
faux
L'utilisateur ne peut pas lancer les sessions cron et src .
Données Indique la limite logicielle pour le segment de données le plus grand pour un processus d'utilisateur. Le paramètre Value est un entier représentant le nombre de blocs de 512 octets. La valeur minimale autorisée pour cet attribut est 1272. Indiquer-1 pour le rendre illimité.
data_hard Indique le plus grand segment de données pour un processus d'utilisateur. Le paramètre Value est un entier représentant le nombre de blocs de 512 octets. La valeur minimale autorisée pour cet attribut est 1272. Indiquer-1pour le rendre illimité.
dce_export Permet au registre DCE de remplacer les informations utilisateur locales par les informations utilisateur DCE lors d'une opération d'exportation DCE. Les valeurs possibles sont les suivantes :
vrai
Les informations utilisateur locales sont écrasées.
faux
Les informations de l'utilisateur local ne sont pas écrasées.
rôles_par_défaut Indique les rôles par défaut de l'utilisateur. Le paramètre Value, une liste séparée par des virgules des noms de rôles valides, peut uniquement contenir des rôles affectés à l'utilisateur dans l'attribut roles. Vous pouvez utiliser le mot clé ALL pour indiquer que les rôles par défaut de l'utilisateur sont tous ceux qui lui sont affectés.
liste de dictionlist Définit les dictionnaires de mot de passe utilisés par les restrictions de composition lors de la vérification de nouveaux mots de passe.

Les dictionnaires de mots de passe sont une liste de noms de chemin absolu séparés par des virgules, évalués de la gauche vers la droite. Tous les fichiers et répertoires de dictionnaire doivent être protégés en écriture de tous les utilisateurs, à l'exception de root. Les fichiers de dictionnaire sont formatés d'un mot par ligne. Le mot commence dans la première colonne et se termine par un caractère de retour à la ligne. Seuls les mots ASCII 7 bits sont pris en charge pour les mots de passe.

Les noms d'utilisateur peuvent être interdits dans la zone de mot de passe en ajoutant une entrée avec le mot clé $USER dans les fichiers de dictionnaire.
Remarque: Le mot clé $USER ne peut pas être utilisé comme partie d'un mot ou d'un modèle pour les entrées des fichiers de dictionnaire.

Tout mot de passe correspondant à un modèle ou à une expression régulière mentionnée dans le fichier de dictionnaire sera interdit.

Pour différencier un mot d'un modèle dans le fichier de dictionnaire, un modèle est indiqué avec * comme premier caractère. Par exemple, si un administrateur souhaite interdire tout mot de passe se terminant par 123, ces informations doivent être mentionnées dans le fichier de dictionnaire comme entrée suivante:

*. * 123

La première partie (*) est utilisée pour indiquer une entrée de modèle et la partie restante (. * 123) forme le modèle.

Si vous installez l'outil de traitement de texte sur votre système, le fichier de dictionnaire recommandé est le fichier /usr/share/dict/words .
domaines d'affinité Définit la liste des domaines auxquels appartient l'utilisateur.
expires Identifie la date d'expiration du compte. Le paramètre Value est une chaîne de 10 caractères au format MMDDhhmmyy , où MM = mois, DD = jour, hh = heure, mm = minute, et yy = les deux derniers chiffres des années 1939 à 2038. Tous les caractères sont numériques. Si la valeur du paramètre Valeur est 0, le compte n'expire pas. La valeur par défaut est 0. Pour plus d'informations, voir la commande date .
fsize Définit la limite logicielle pour le plus grand fichier qu'un processus d'utilisateur puisse créer ou étendre. Le paramètre Value est un entier représentant le nombre de blocs de 512 octets. Pour créer des fichiers supérieurs à 2G, spécifiez-1. La valeur minimale de cet attribut est 8192.
fsize_hard Définit le plus grand fichier qu'un processus d'utilisateur puisse créer ou étendre. Le paramètre Value est un entier représentant le nombre de blocs de 512 octets. Pour créer des fichiers supérieurs à 2G, spécifiez-1. La valeur minimale de cet attribut est 8192.
gecos Fournit des informations générales sur l'utilisateur spécifié par le paramètre Nom . Le paramètre Valeur est une chaîne sans signe deux-points (:) et pas de caractère de retour à la ligne imbriqué.
Groupes Identifie les groupes auxquels appartient l'utilisateur. Si l'attribut domainlessgroups est défini dans le fichier /etc/secvars.cfg , le groupe LDAP peut être affecté à l'utilisateur local et inversement. Pour plus d'informations, voir /etc/secvars.cfg. Le paramètre Valeur est une liste de noms de groupe séparés par des virgules.
histexpire Définit la période de temps (en semaines) au cours de laquelle un utilisateur ne peut pas réutiliser un mot de passe. La valeur est une chaîne d'entiers décimaux. La valeur par défaut est 0, indiquant qu'aucune limite n'a été définie. Seul un administrateur peut modifier cet attribut.
histsize Définit le nombre de mots de passe précédents qu'un utilisateur ne peut pas réutiliser. La valeur est une chaîne d'entiers décimaux. La valeur par défaut est 0. Cet attribut peut avoir une valeur comprise entre 0 et 50. Seul un administrateur peut modifier cet attribut.
home Identifie le répertoire de base de l'utilisateur spécifié par le paramètre Nom. Le paramètre Valeur est un nom de chemin d'accès complet.
id Indique l'ID utilisateur. Le paramètre Valeur est une chaîne entière unique. La modification de cet attribut compromet la sécurité du système et, pour cette raison, vous ne devez pas modifier cet attribut.
login Indique si l'utilisateur peut se connecter au système à l'aide de la commande login . Les valeurs possibles sont les suivantes :
vrai
L'utilisateur peut se connecter au système. Il s'agit de la valeur par défaut.
faux
L'utilisateur ne peut pas se connecter au système.
loginretries Définit le nombre de tentatives de connexion infructueuses autorisé après la dernière connexion réussie avant que le système ne verrouille le compte. La valeur est une chaîne d'entiers décimaux. Une valeur nulle ou négative indique qu'il n'existe aucune limite. Une fois le compte de l'utilisateur verrouillé, l'utilisateur ne pourra plus se connecter tant que l'administrateur système ne réinitialise pas l'attribut unsuccessful_login_count de l'utilisateur dans le fichier /etc/security/lastlog pour qu'il soit inférieur à la valeur de loginretries. Pour ce faire, entrez ce qui suit:
chsec -f /etc/security/lastlog -s username -a \  
unsuccessful_login_count=0
Article Descriptif
heures de connexion Définit les jours et heures auxquels l'utilisateur peut accéder au système. La valeur est une liste d'entrées séparées par des virgules dans l'un des formats suivants:
[!]:<time>-<time>
 
[!]<day>[-<day>][:<time>-<time>]
 
[!]<month>[<daynum>][-<month>[<daynum>]][:<time>-<time>]

Les valeurs possibles pour < jour> sont les suivantes: mon, mar, w, THU, Friday, sat et SUNDAY. Indiquez la valeur du jour comme n'importe quel jour abrégé de la semaine ; toutefois, l'abréviation doit être unique en ce qui concerne les noms de jour et de mois. La plage de jours peut être circulaire, par exemple du mardi au lundi. Les noms de jour sont insensibles à la casse.

Les valeurs possibles pour < time> incluent les heures spécifiées au format militaire sur 24 heures. Faites précéder la valeur d'heure par un signe deux-points (:) et indiquez une chaîne de 4 caractères. Des zéros non significatifs sont requis. Par conséquent, 0800 (8am) est valide alors que 800 n'est pas valide. Une entrée composée uniquement d'une période spécifiée s'applique à chaque jour. L'heure de début doit être inférieure à l'heure de fin. La période ne peut pas entrer dans le jour suivant.

Les valeurs possibles pour < month> sont Jan, F, march, apr et s. Indiquez la valeur du mois comme n'importe quel mois abrégé ; toutefois, l'abréviation doit être unique en ce qui concerne les noms de jour et de mois. La plage de mois peut être circulaire, par exemple de septembre à juin. Les noms de mois ne sont pas sensibles à la casse.

Les valeurs possibles pour < daynum> incluent les jours 1 à 31 d'un mois. Cette valeur est comparée au mois indiqué. Indiquez la valeur du mois sous la forme d'une chaîne de 1 ou 2 caractères. Un mois spécifié sans valeur daynum indique le premier ou le dernier jour du mois, selon que le mois est le mois de début ou de fin spécifié, respectivement.

Entrées précédées de ! (point d'exclamation) refusent l'accès au système et sont appelées entrées DENY. Les entrées sans le ! le préfixe autorise l'accès et sont appelés entrées ACCESS. Le ! Le préfixe s'applique à des entrées uniques et doit préfixer chaque entrée. Actuellement, le système autorise 200 entrées par utilisateur.

Cet attribut est internationalisé. Les noms de mois et de jour peuvent être entrés et sont affichés dans la langue spécifiée par les variables d'environnement local définies pour le système. L'ordre relatif des valeurs de mois et de jour est également internationalisé ; les formats < month> < daynum> et < daynum> < month> sont acceptés.

Le système évalue les entrées dans l'ordre suivant:

  1. Toutes les entrées DENY. Si une entrée correspond à l'heure système, l'accès est refusé à l'utilisateur et les entrées ALLOW ne sont pas traitées.
  2. Toutes les entrées ALLOW, si aucune entrée DENY n'existe. Si une entrée ALLOW correspond à l'heure système, l'utilisateur est autorisé à y accéder. Si une entrée ALLOW ne correspond pas à l'heure système, l'accès est refusé à l'utilisateur. Si aucune entrée ALLOW n'existe, l'utilisateur est autorisé à se connecter.
maxage Définit l'âge maximal (en semaines) d'un mot de passe. Le mot de passe doit être modifié au terme de cette période. La valeur est une chaîne d'entiers décimaux. La valeur par défaut est 0, indiquant qu'aucune durée maximale n'a été définie. Plage: 0 à 52
maxexpired Permet de définir le délai maximal (en semaines) au-delà de la période maxage pendant lequel un utilisateur peut modifier un mot de passe expiré. Après cette durée définie, seul un administrateur peut modifier le mot de passe. La valeur est une chaîne d'entiers décimaux. La valeur par défaut est -1, indiquant qu'une restriction est définie. Si la valeur 0 a été affectée à l'attribut maxexpired, le mot de passe expire lorsque la valeur maxage est atteinte. Si la valeur 0 a été affectée à l'attribut maxage, l'attribut maxexpired est ignoré. Plage: 0 à 52 (un utilisateur root est exempté de maxexpired)
maxrepeats Définit le nombre maximum de fois où un caractère peut être répété dans un nouveau mot de passe. Etant donné que la valeur 0 n'a aucune signification, la valeur par défaut 8 indique qu'il n'existe aucun nombre maximal de répétition. La valeur est une chaîne d'entiers décimaux. Plage: 0 à 8
maxulogs Indique le nombre maximum de connexions simultanées par utilisateur. Si le numéro de connexion simultanée d'un utilisateur dépasse le nombre maximal de connexions autorisées, la connexion est refusée.
minage Définit l'âge minimum (en semaines) qu'un mot de passe doit avoir avant de pouvoir être changé. La valeur est une chaîne d'entiers décimaux. La valeur par défaut est 0, ce qui indique qu'il n'y a pas d'âge minimum. Plage: 0 à 52
minalpha Indique le nombre minimal de caractères alphabétiques devant figurer dans un nouveau mot de passe. La valeur est une chaîne d'entiers décimaux. La valeur par défaut est 0, indiquant qu'il n'existe pas de nombre minimal. Plage: 0 à 8
mindiff Définit le nombre minimal de caractères d'un mot de passe qui ne figuraient pas dans l'ancien mot de passe. La valeur est une chaîne d'entiers décimaux. La valeur par défaut est 0, indiquant qu'il n'existe pas de nombre minimal. Plage: 0 à 8
minlen Définit la longueur minimale d'un mot de passe. La valeur est une chaîne d'entiers décimaux. La valeur par défaut est 0, indiquant qu'il n'existe pas de longueur minimale. La valeur maximale autorisée est 8. Cet attribut est déterminé par pour plus d'informations minlen et/ou 'minalpha + minother', la valeur la plus élevée étant retenue. 'minalpha + minother' ne doit jamais être supérieur à 8. Si 'minalpha + minother' est supérieur à 8, la valeur effective de minother est réduite à '8-minalpha'.
minother Définit le nombre minimal de caractères non alphabétiques devant figurer dans un nouveau mot de passe. La valeur est une chaîne d'entiers décimaux. La valeur par défaut est 0, indiquant qu'il n'existe pas de nombre minimal. Plage: 0 à 8
nofiles Limite logicielle correspondant au nombre de descripteurs de fichiers pouvant être ouverts simultanément par un processus utilisateur. Le paramètre Valeur est un entier.
nofiles_hard Limite matérielle correspondant au nombre de descripteurs de fichiers pouvant être ouverts simultanément par un processus utilisateur. Le paramètre Valeur est un entier. La valeur par défaut est -1, ce qui fixe la limite au maximum autorisé par le système.
nproc Définit la limite logicielle pour le nombre de processus qu'un utilisateur peut exécuter simultanément. Le paramètre Valeur est un entier supérieur ou égal à 1. La valeur par défaut est -1, ce qui fixe la limite au maximum autorisé par le système.
nproc_hard Définit la limite matérielle pour le nombre de processus qu'un utilisateur peut exécuter simultanément. Le paramètre Valeur est un entier supérieur ou égal à 1. La valeur par défaut est -1, ce qui fixe la limite au maximum autorisé par le système.
pgrp Identifie le groupe principal de l'utilisateur. Si l'attribut domainlessgroups est défini dans le fichier /etc/secvars.cfg , le groupe LDAP peut être affecté en tant que groupe principal à l'utilisateur local et inversement. Pour plus d'informations, voir /etc/secvars.cfg. Le paramètre Valeur doit contenir un nom de groupe valide et ne peut pas être une valeur null.
projets Définit la liste de projets auxquels les processus d'utilisateur peuvent être affectés. La valeur est une liste de noms de projet séparés par des virgules et est évaluée de gauche à droite. Le nom de projet doit être un nom de projet valide tel que défini dans le système. Si un nom de projet non valide est trouvé dans la liste, il est signalé comme une erreur.
pwdchecks Définit les méthodes de restriction de mots de passes imposées pour les nouveaux mots de passe. La valeur est une liste de noms de méthode séparés par des virgules et est évaluée de gauche à droite. Un nom de méthode est un nom de chemin absolu ou un nom de chemin relatif à /usr/lib d'un module chargeable exécutable.
pwdwarntime Définit le nombre de jours avant que le système n'émette un avertissement signalant qu'il faut modifier un mot de passe. La valeur est une chaîne d'entiers décimaux. Une valeur nulle ou négative indique qu'aucun message ne doit être affiché. La valeur doit être inférieure à la différence entre les attributs maxage et minage. Les valeurs supérieures à cette différence sont ignorées et un message s'affiche lorsque la valeur minage est atteinte.
rcmds Contrôle l'exécution à distance des commandes r-commands (rsh, rexecet rcp). Les valeurs possibles sont les suivantes :
allow
Permet à cet utilisateur d'exécuter des commandes à distance. Il s'agit de la valeur par défaut.
refuser
Refuse à cet utilisateur la possibilité d'utiliser l'exécution de commandes à distance.
contrôle d'accès à l'hôte
Indique que la capacité d'exécution des commandes à distance est déterminée par les attributs hostsallowedlogin et hostsdeniedlogin . L'utilisateur n'est autorisé à exécuter des commandes à distance sur un système cible que si l'utilisateur (ou l'utilisateur cible) est autorisé à se connecter au système cible. Cette valeur est généralement utilisée pour les utilisateurs définis dans une base de données utilisateur centralisée, telle que LDAP, où l'utilisateur peut être autorisé à se connecter à certains systèmes mais pas à d'autres.
hostsallowedlogin
Permet à l'utilisateur de se connecter aux hôtes spécifiés.
hostsdeniedlogin
L'utilisateur n'est pas autorisé à se connecter aux hôtes spécifiés.
Remarque: l'attribut rcmds contrôle uniquement l'exécution des commandes à distance. Il ne contrôle pas la fonctionnalité r-command pour ouvrir un shell distant. Les fonctions de connexion de ce type sont contrôlées par les attributs rlogin, hostsallowedloginet hostsdeniedlogin .

Bien que la valeur obsolète !rshde l'attribut ttys , qui revient à définir l'attribut rcmds sur deny, soit toujours prise en charge à des fins de compatibilité avec les versions antérieures, l'attribut rcmds doit être utilisé à la place pour contrôler l'exécution des commandes r.
rlogin Permet d'accéder au compte à partir d'un emplacement distant à l'aide des commandes telnet ourlogin . Les valeurs possibles sont les suivantes :
vrai
Le compte utilisateur est accessible à distance. Il s'agit de la valeur rlogin par défaut.
faux
L'utilisateur n'est pas accessible à distance.
rôles Définit les rôles d'administration de cet utilisateur. Le paramètre Value est une liste de noms de rôles, séparés par des virgules.
rss Limite logicielle pour la quantité maximale de mémoire physique qu'un processus d'utilisateur peut allouer. Le paramètre Valeur est une chaîne d'entier décimal spécifiée en unités de blocs de 512 octets. Cette valeur n'est actuellement pas appliquée par le système.
rss_hard Plus grande quantité de mémoire physique qu'un processus d'utilisateur peut allouer. Le paramètre Value est une chaîne d'entier décimal spécifiée en unités de blocs de 512 octets. Cette valeur n'est actuellement pas appliquée par le système.
shell Définit le programme exécuté pour l'utilisation lors du lancement de la session. Le paramètre Valeur est un nom de chemin d'accès complet.
pile Indique la limite logicielle pour le segment de pile le plus grand pour un processus d'utilisateur. Le paramètre Valeur est un entier représentant le nombre de blocs de 512 octets à allot. La valeur minimale autorisée pour cet attribut est 49.
stack_hard Indique le plus grand segment de pile pour un processus d'utilisateur. Le paramètre Valeur est un entier représentant le nombre de blocs de 512 octets à affecter. La valeur minimale autorisée pour cet attribut est 49. La valeur maximale admise pour ce paramètre est 2147483647.
su Indique si un autre utilisateur peut basculer vers le compte utilisateur spécifié à l'aide de la commande su . Les valeurs possibles sont les suivantes :
vrai
Un autre utilisateur peut basculer sur le compte spécifié. Il s'agit de la valeur par défaut.
faux
Un autre utilisateur ne peut pas basculer vers le compte spécifié.
sugroups Définit les groupes qui peuvent utiliser la commande su pour basculer vers le compte utilisateur spécifié. Le paramètre Valeur est une liste de noms de groupe séparés par des virgules ou une valeur de ALL qui indique tous les groupes. Un point d'exclamation (!) devant un nom de groupe exclut ce groupe. Si cet attribut n'est pas spécifié, tous les groupes peuvent basculer vers ce compte utilisateur à l'aide de la commande su . Si l'attribut domainlessgroups est défini dans le fichier /etc/secvars.cfg , le groupe LDAP peut être affecté à l'utilisateur local et inversement. Pour plus d'informations, voir le fichier /etc/secvars.cfg .
Remarque: Si un utilisateur appartient à plusieurs groupes et que l'un des groupes est spécifié avec le point d'exclamation (!), l'utilisateur ne peut pas utiliser la commande su pour accéder au compte utilisateur spécifié.
sysenv Identifie l'environnement (protégé) d'état du système. Le paramètre Valeur est un ensemble de paires Attribut=Valeur séparées par des virgules, comme indiqué dans /etc/security/environ .
Unités d'exécution Indique la limite logicielle pour le plus grand nombre d'unités d'exécution qu'un processus d'utilisateur peut créer. Le paramètre Valeur est un entier supérieur ou égal à 1, représentant le nombre d'unités d'exécution que chaque processus utilisateur peut créer. Cette limite est appliquée à la fois par le noyau et par la bibliothèque pthread de l'espace utilisateur.
fils_durs Identifie le plus grand nombre possible d'unités d'exécution qu'un processus d'utilisateur peut créer. Le paramètre Valeur est un entier supérieur ou égal à 1, représentant le nombre d'unités d'exécution que chaque processus utilisateur peut créer. Cette limite est appliquée à la fois par le noyau et par la bibliothèque pthread de l'espace utilisateur.
chemin_tpath Indique l'état du chemin sécurisé de l'utilisateur. Les valeurs possibles sont les suivantes :
Systématiquement
L'utilisateur ne peut exécuter que des processus sécurisés. Cela implique que le programme initial de l'utilisateur se trouve dans le shell sécurisé ou dans un autre processus sécurisé.
pas de tsh
L'utilisateur ne peut pas appeler le shell sécurisé sur un chemin sécurisé. Si l'utilisateur entre la clé d'attention sécurisée (SAK) après la connexion, la session de connexion se termine.
nosak
La clé d'attention sécurisée (SAK) est désactivée pour tous les processus exécutés par l'utilisateur. Utilisez cette valeur si l'utilisateur transfère des données binaires pouvant contenir la séquence SAK. Il s'agit de la valeur par défaut.
sur
L'utilisateur possède des caractéristiques de chemin sécurisé normales et peut appeler un chemin sécurisé (entrez un shell sécurisé) avec la clé d'attention sécurisée (SAK).
ttys Définit les terminaux qui peuvent accéder au compte spécifié par le paramètre Nom . Le paramètre Valeur est une liste de chemins d'accès complets séparés par des virgules, ou la valeur ALL pour indiquer tous les terminaux. Un ! (point d'exclamation) devant un nom de terminal exclut ce terminal. Si cet attribut n'est pas spécifié, tous les terminaux peuvent accéder au compte utilisateur.
umask Détermine les autorisations de fichiers. Cette valeur, ainsi que les droits d'accès du processus de création, détermine les droits d'accès d'un fichier lors de la création du fichier. La valeur par défaut est 022.
usrenv Définit l'environnement (non protégé) de l'état utilisateur. Le paramètre Valeur est un ensemble de paires Attribut=Valeur séparées par des virgules, comme indiqué dans /etc/security/environ .
accès_magasin_clés_efs Spécifie le type de base de données du fichier de clés de l'utilisateur. Vous pouvez indiquer les valeurs suivantes :
Fichier
Crée le fichier de clés /var/efs/users/usrname/keystore associé à l'utilisateur.
aucun
Le magasin de clés n'est pas créé. Tous les autres attributs de magasin de clés n'ont aucun effet.
La valeur par défaut est file.

Restriction: l'attribut est valide uniquement lorsque le système est activé pour EFS.
accès_admins_efs Représente le type de base de données pour le magasin de clés efs_admin . La seule valeur valide est file.

Restriction: l'attribut est valide uniquement lorsque le système est activé pour EFS.
modèles_initiaux_efs Spécifie le mode initial du fichier de clés de l'utilisateur. Vous pouvez indiquer les valeurs suivantes :
administrateur
Les utilisateurs root ou d'autres utilisateurs système privilégiés de sécurité peuvent ouvrir le magasin de clés à l'aide de la clé d'administration et réinitialiser le mot de passe du magasin de clés.
garde
Les superutilisateurs ne peuvent pas ouvrir le magasin de clés à l'aide de la clé d'administration ou réinitialiser le mot de passe du magasin de clés.
La valeur par défaut est admin.

L'attribut indique le mode initial du magasin de clés de l'utilisateur. Vous pouvez utiliser l'attribut avec la commande mkuser . Une fois le magasin de clés créé, la modification de la valeur de l'attribut à l'aide de la commande chuser, chgroupou chsec ou l'édition manuelle ne modifie pas le mode du magasin de clés, sauf si le magasin de clés est supprimé et qu'un nouveau magasin de clés est créé. Pour modifier le mode de magasin de clés, utilisez la commande efskeymgr .

Restriction: l'attribut est valide uniquement lorsque le système est activé pour EFS.

efs_allowksmodechangebyuser

 Spécifie si le mode peut être modifié. Vous pouvez indiquer les valeurs suivantes :
  • OUI
  • no
La valeur par défaut est yes.

Restriction: l'attribut est valide uniquement lorsque le système est activé pour EFS.
efs_keystore_algo Spécifie l'algorithme utilisé pour générer la clé privée de l'utilisateur au cours de la création du fichier de clés. Vous pouvez indiquer les valeurs suivantes :
  • RSA_1024
  • RSA_2048
  • RSA_4096
La valeur par défaut est RSA_1024.

Vous pouvez utiliser l'attribut avec la commande mkuser . Une fois le magasin de clés créé, la modification de la valeur de cet attribut à l'aide de la commande chuser, chgroupou chsec ou de l'édition manuelle ne régénère pas la clé privée sauf si le magasin de clés est supprimé et qu'un nouveau magasin de clés est créé. Pour modifier l'algorithme des clés, utilisez la commande efskeymgr .

Restriction: l'attribut est valide uniquement lorsque le système est activé pour EFS.
efs_file_algo Spécifie l'algorithme de chiffrement pour les fichiers utilisateur. Vous pouvez indiquer les valeurs suivantes :
  • AES_128_CBC
  • AES_128_ECB
  • AES_192_CBC
  • AES_192_ECB
  • AES_256_CBC
  • AES_256_ECB
La valeur par défaut est AES_128_CBC.

Restriction: l'attribut est valide uniquement lorsque le système est activé pour EFS.
minloweralpha Définit le nombre minimal de caractères alphabétiques minuscules qui doivent figurer dans un nouveau mot de passe. La valeur est une chaîne d'entiers décimaux. La valeur par défaut est 0, indiquant qu'il n'existe pas de nombre minimal. Plage: 0 à PW_PASSLEN.
minupperalpha Définit le nombre minimal de caractères alphabétiques en majuscules qui doivent figurer dans un nouveau mot de passe. La valeur est une chaîne d'entiers décimaux. La valeur par défaut est 0,indicating qu'il n'y a pas de nombre minimum. Plage: 0 à PW_PASSLEN.
mindigit Définit le nombre minimal de chiffres devant figurer dans un nouveau mot de passe. La valeur est une chaîne d'entiers décimaux. La valeur par défaut est 0, indiquant qu'il n'existe pas de nombre minimal. Plage: 0 à PW_PASSLEN.
minspecialchar Définit le nombre minimal de caractères spéciaux qui doivent figurer dans un nouveau mot de passe. La valeur est une chaîne d'entiers décimaux. La valeur par défaut est 0, indiquant qu'il n'existe pas de nombre minimal. Plage: 0 à PW_PASSLEN.

Security

Contrôle d'accès

Cette commande doit accorder l'accès execute (x) uniquement à l'utilisateur root et au groupe de sécurité. Cette commande doit être installée en tant que programme dans la base de calcul sécurisée (TCB). La commande doit appartenir à l'utilisateur root avec le bit setuid (SUID) défini.

Utilisation des événements d'audit

Evénement Informations
USER_Change utilisateur, attributs

Fichiers accédés

aff Fichier
Rw /etc/passwd
Rw /etc/security/user
Rw /etc/security/user.roles
Rw /etc/security/limits
Rw /etc/security/environ
Rw /etc/security/audit/config
Rw /etc/group
Rw /etc/security/group
R /etc/security/enc/LabelEncodings
R /etc/security/domains
Attention aux utilisateurs RBAC: cette commande peut effectuer des opérations privilégiées. Seuls les utilisateurs privilégiés peuvent exécuter des opérations privilégiées. Pour plus d'informations sur les autorisations et les privilèges, consultez la base de données des commandes privilégiées disponible dans Sécurité. Pour la liste des privilèges et autorisations associés à cette commandes, reportez-vous à la commande lssecattr ou à la sous-commande getcmdattr. Pour obtenir la fonctionnalité complète de la commande, outre les accessauths, le rôle doit également disposer des autorisations suivantes:
  • aix.security.user.audit
  • aix.security.role.assign
  • aix.security.group.change

Restrictions

La modification des attributs d'un utilisateur peut ne pas être prise en charge par tous les modules d'I & A chargeables. Si le module chargeable I & A ne prend pas en charge la modification des attributs d'un utilisateur, une erreur est signalée.

Exemples

  1. Pour activer l'utilisateursmithpour accéder à ce système à distance, tapez:
    chuser rlogin=true smith
  2. Pour modifier la date d'expiration de ladaviscompte utilisateur à 8 a.m., 1er mai 1995, type:
    chuser expires=0501080095 davis
  3. Pour ajouterdavisaux groupesfinanceetaccounting, entrez:
    chuser groups=finance,accounting davis 
  4. Pour modifier l'utilisateurdavis, qui a été créé avec le module de chargement LDAP, pour ne pas être autorisé à accéder à distance, entrez:
    chuser -R LDAP rlogin=false davis
  5. Pour modifier les domaines de l'utilisateurdavis, entrez:
    chuser domains=INTRANET,APPLICATION davis
  6. Pour annuler la définition des rôles de l'utilisateurdavis, entrez:
    chuser roles=" " davis

Fichiers

Article Descriptif
/usr/bin/chuser Contient la commande chuser .
/etc/passwd Contient les attributs de base des utilisateurs.
/etc/group Contient les attributs de base des groupes.
/etc/security/group Contient les attributs étendus des groupes.
/etc/security/user Contient les attributs étendus des utilisateurs.
/etc/security/user.roles Contient les attributs de rôle d'administration des utilisateurs.
/etc/security/lastlog Contient les attributs de dernière connexion des utilisateurs.
/etc/security/limits Définit des quotas de ressources et des limites pour chaque utilisateur.
/etc/security/audit/config Contient des informations de configuration d'audit.
/etc/security/environ Contient les attributs d'environnement des utilisateurs.
/etc/security/domains Contient les définitions de domaine valides pour le système.