/etc/security/group ファイル

オンライン編集

目的

拡張グループ属性が含まれます。

説明

/etc/security/group ファイルには、拡張グループ属性が入っています。 これは、各システム・グループのスタンザを含む ASCII ファイルです。 各スタンザは、 /etc/group ファイルからのグループ名とそれに続く : (コロン) によって識別され、 Attribute=Valueの形式の属性を含みます。 各属性ペアは、各スタンザと同様に改行文字で終わります。 ファイルはデフォルト・スタンザをサポートします。 属性がグループに対して定義されていない場合は、属性のデフォルト値が使用されます。

スタンザには、以下の属性を 1 つ以上含めることができます。

属性 説明
ADMS グループ管理者を定義します。 管理者とは、グループのメンバーおよび管理者の設定など、グループの管理タスクを実行できるユーザーのことです。 admin = true の場合、管理グループとして定義されているグループを変更できるのは root ユーザーのみであるため、この属性は無視されます。 値は、コンマ区切りのユーザー・ログイン名のリストです。 デフォルト値は空ストリングです。
管理者 グループの管理状況を定義します。 使用できる値は、次のとおりです。
グループを管理グループとして定義します。 管理グループとして定義されているグループの属性を変更できるのは root ユーザーのみです。
標準グループを定義します。 このグループの属性を変更できるのは、root ユーザーまたは security グループのメンバーです。 これはデフォルト値です。
dce_export DCE エクスポート操作中に、DCE レジストリーがローカル・グループ情報を DCE グループ情報で上書きできるようにします。 使用できる値は、次のとおりです。
TRUE
ローカル・グループ情報は上書きされます。
FALSE
ローカル・グループ情報は上書きされません。
efs_initialks_mode グループ鍵ストアの初期モードを定義します。 次の値を指定できます。
guard
グループ鍵ストアがルート・ガード・モードの場合、この鍵ストアに含まれる鍵は、この鍵ストアの正しいアクセス・キーでのみ取得できます。
admin
鍵ストアがルート管理モードの場合、この鍵ストアに含まれる鍵は、 EFS (暗号化ファイル・システム) 管理鍵を使用して取得できます。
注:
  • この属性は、システムが EFS対応の場合にのみ有効です。
  • この属性は、鍵ストアの初期モードを定義します。 チャウザー コマンド、 ChGroup コマンド、 コマンド、または手動編集を使用してこの値を変更しても、鍵ストアのモードは変更されません。 この属性は、鍵ストアの作成時にのみ使用され、鍵ストアが削除されて新しい鍵ストアが作成されるまでは再使用されません。 鍵ストア・モードを変更するには、 ESSKEYMGR コマンドを使用します。
efs_キーストア_アクセス グループ鍵ストアの場所を定義します。 次の値を指定できます。
なし
鍵ストアがありません。
ファイル
鍵ストアは、 /var/efs/groups/ ディレクトリーに保管されます。
注: この属性は、システムが EFS対応の場合にのみ有効です。
EFSキーストアアルゴリズム グループ秘密鍵の生成に使用されるアルゴリズムを定義します。 次の値を指定できます。
  • RSA_1024
  • RSA_2048
  • RSA_4096
注:
  • この属性は、システムが EFS対応の場合にのみ有効です。
  • チャウザー コマンド、 ChGroup コマンド、または コマンドを使用して、あるいは手動編集を使用して、この属性の値を変更しても、秘密鍵は再生成されません。 この属性は、鍵ストアの作成時にのみ使用され、鍵ストアが削除されて新しい鍵ストアが作成されるまでは再使用されません。 鍵のアルゴリズムを変更するには、 ESSKEYMGR コマンドを使用します。
projects ユーザーのプロセスを割り当てることができるプロジェクトのリストを定義します。 値は、コンマで区切られたプロジェクト名のリストで、左から右に 評価されます。 プロジェクト名は、システム内で定義されている有効なプロジェクト名である 必要があります。 リストに無効なプロジェクト名が見つかった場合は、グループ・コマンドによってエラーとして報告されます。

標準的なスタンザについては、「」セクションを参照してください。

この目的のために定義されたシステム・コマンドおよびサブルーチンを介して、 /etc/security/group ファイルにアクセスする必要があります。 以下のコマンドを使用して、グループを管理できます。

  • mkgroup
  • chgroup
  • Chgrpmem
  • lsgroup
  • rmgroup

mkgroup コマンドは、 /etc/group ファイルおよび /etc/security/group ファイルに新しいグループを追加します。 このコマンドを使用して、管理グループを作成します。 mkgroup を使用して、グループ管理者を設定することもできます。

すべての属性を変更するには、 ChGroup コマンドを使用します。 標準グループの管理者は、 Chgrpmem コマンドを使用して、そのグループの ADMS 属性を変更できます。

lsgroup コマンドは、 ADMS 属性と 管理者 属性の両方を表示します。 rmgroup コマンドは、 /etc/group ファイルと /etc/security/group ファイルの両方からエントリーを除去します。

/etc/security/group ファイル内の属性に影響を与えるプログラムを作成するには、「関連情報」にリストされているサブルーチンを使用します。

セキュリティー

アクセス制御: このファイルは、システムのセキュリティー・ポリシーで許可されているように、root ユーザーとセキュリティー・グループのメンバー、およびその他のユーザーに読み取り (r) アクセス権限を付与する必要があります。 root ユーザーのみが書き込み (w) アクセス権限を持つ必要があります。

監査イベントは次のとおりです。

イベント 情報
S_GROUP 書き込み ファイル名

標準的なスタンザは、以下の例のようになります。financeグループ:

finance:
          admin = false
          adms = cjf, scott, sah

ファイル

項目 説明
/etc/security/group ファイルへのパスを指定します。
/etc/group グループの基本属性が入っています。
/etc/passwd ユーザーの基本属性が入っています。
/etc/security/passwd パスワード情報が入っています。
/etc/security/user ユーザーの拡張属性が入っています。
/etc/security/environ ユーザーの環境属性が入っています。
/etc/security/limits ユーザーのプロセス・リソース制限が入っています。
/etc/security/audit/config 監査システム構成情報が入っています。
/etc/security/lastlog 最終ログイン情報が含まれます。