user ファイル

オンライン編集

目的

拡張ユーザー属性が入ります。

説明

/etc/security/user ファイルには、拡張ユーザー属性が入っています。 これは、ユーザー用の属性スタンザを含む ASCII ファイルです。 mkuser コマンドは、新規ユーザーごとにこのファイルにスタンザを作成し、 /usr/lib/security/mkuser.default ファイルに定義されているデフォルト属性でその属性を初期化します。

/etc/security/user ファイル内の各スタンザは、ユーザー名の後に : (コロン) を付けて識別され、 Attribute=Valueの形式の属性を含んでいます。 属性値の各ペアは改行文字で終了し、各スタンザは追加の改行文字で終了します。 スタンザの例については、 セクションを参照してください。

ファイルはデフォルト・スタンザをサポートします。 属性がユーザーに対して定義されていない場合は、属性のデフォルト値が使用されます。

属性

適切な権限を持っている場合には、以下のユーザー属性を設定できます。

項目 説明
アカウント・ロック ユーザー・アカウントがロックされているかどうかを示します。 使用できる値は、次のとおりです。
true
ユーザーのアカウントはロックされています。 値 yestrue、および always は同等です。 ユーザーは、システムへのアクセスを拒否されます。
false
ユーザーのアカウントはロックされていません。 値 nofalse、および never は同等です。 ユーザーは、システムへアクセスすることができます。 これはデフォルト値です。
管理者 ユーザーの管理状況を定義します。 使用できる値は、次のとおりです。
true
ユーザーは管理者です。 管理者として定義されたユーザーの属性を変更できるのは、root ユーザーだけです。
false
ユーザーは管理者ではありません。 これはデフォルト値です。
admgroups ユーザーが管理するグループをリストします。 Value パラメーターは、コンマで区切られたグループ名のリストです。 グループ名について詳しくは、 /etc/security/group ファイルの adms 属性を参照してください。
auditclasses ユーザーの監査クラスをリストします。 Value パラメーターは、コンマで区切られたクラスのリスト、あるいはすべての監査クラスを示す値 ALL です。
auth1 ユーザーを認証するための追加の必須方式をリストします。 auth1 属性は非推奨になっており、将来のリリースではサポートされない可能性があります。 代わりに システム 属性を使用する必要があります。 auth1 属性で指定されたいずれかの方式が失敗すると、認証プロセスは失敗します。

パラメーターは、 方法;名前 ペアのコンマ区切りリストです。 Method パラメーターは、認証メソッドの名前です。 Name パラメーターは、認証されるユーザーです。 名前 パラメーターを指定しない場合は、認証されるユーザーの名前が使用されます。

auth1 および auth2 属性の有効な認証方式は、 /etc/security/login.cfg ファイルに定義されています。
auth2 ユーザーを認証するための追加のオプション・メソッドをリストします。 auth2 属性は非推奨になっており、将来のリリースではサポートされない可能性があります。 代わりに システム 属性を使用する必要があります。 auth2 属性で指定されたいずれかの方式が失敗しても、認証プロセスは失敗しません。

パラメーターは、 方法;名前 ペアのコンマ区切りリストです。 Method パラメーターは、認証メソッドの名前です。 Name パラメーターは、認証されるユーザーです。 名前 パラメーターを指定しない場合は、認証されるユーザーの名前が使用されます。
core_compress コア・ファイル圧縮を使用可能または使用不可にします。 この属性の有効値は、オンおよび オフです。 この属性の値がオンの場合は、圧縮が使用可能であり、そうでない場合は、圧縮が 使用不可です。 この属性のデフォルト値は、オフ です。
core_path コア・ファイル・パス指定を使用可能または使用不可にします。 この属性の有効値は、オンおよび オフです。 この属性の値がオンの場合は、コア・ファイルは、core_pathname (フィーチャーが使用可能) によって指定されるディレクトリーに置かれることになり、そうでない 場合は、コア・ファイルは、ユーザーの現在の作業ディレクトリーに 置かれます。 この属性のデフォルト値は、オフ です。
core_pathname core_path 属性がオンに設定されている場合に、コア・ファイルを置くために使用される場所を指定します。 これが設定されておらず、core_path がオンに設定されている場合、コア・ファイルはユーザーの現行作業ディレクトリーに置かれます。 この属性は 256 文字に制限されます。
core_naming コア・ファイル命名計画の選択項目の 1 つを選択します。 この属性の有効値は、オンおよび オフです。 値がオンの場合は、コア・ファイル命名 が core.pid.time の形式で 使用可能になりますが、これは、CORE_NAMING 環境変数の場合と 同じです。 値がオフの場合は、デフォルトの名前 core が使用されます。
デーモン 名前 パラメーターで指定されたユーザーが、 クーロン デーモンまたは ソース (システム・リソース・コントローラー) デーモンを使用してプログラムを実行できるかどうかを示します。 使用できる値は、次のとおりです。
true
ユーザーは、cron セッションおよび src セッションを開始できます。 これはデフォルトです。
false
ユーザーは、cron セッションおよび src セッションを開始できません。
dce_export DCE エクスポート操作時に、DCE ユーザー情報をもつローカル・ユーザー情報を DCE レジストリーが上書きできるようにします。 使用できる値は、次のとおりです。
true
ローカル・ユーザー情報は上書きされます。
false
ローカル・ユーザー情報は上書きされません。
dictionlist 新しいパスワードを検査するときに構成制限により使用されるパスワード辞書を定義します。

パスワード辞書は、左から右に評価される、コンマ区切りの絶対パス名のリストです。 すべての辞書ファイルおよびディレクトリーは、root 以外のすべてのユーザーから書き込み保護されている必要があります。 辞書ファイルは、1 行に 1 ワードずつフォーマット化されます。 ワードは、最初の桁から始まり、改行文字で終わります。 パスワードには 7 ビットの ASCII ワードのみがサポートされます。 テキスト処理がシステムにインストールされている場合、推奨される辞書ファイルは /usr/share/dict/words ファイルです。 辞書ファイルにキーワード '$USER' を持つ項目を追加することによって、パスワードにユーザー名を使用できないようにすることができます。 このキーワード '$USER' は、辞書ファイル内の項目のワードまたはパターンの一部にすることはできません。 辞書ファイルで指定されている場合は、パスワードで正規表現を使用できないようにすることもできます。 区別するために、辞書ファイル内の単語とパターンを区別します。 パターンは、先頭文字として ‘*’ を使用して示されます。 例えば、管理者が「123」で終わるパスワードを許可しない場合、管理者は辞書ファイルに以下の項目を記述できます。

*.*123
最初の “*” はパターン項目を示すために使用され、残りの部分はパターン ( “.*123”) になります。 テキスト処理がシステムにインストールされている場合、推奨される辞書ファイルは /usr/share/dict/words ファイルです。
minloweralpha 新しいパスワードに含める必要のある英小文字の最小数を定義します。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最小数がないことを示します。 範囲: 0 から PW_PASSLEN まで。
minupperalpha 新しいパスワードに含める必要のある英大文字の最小数を定義します。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最小数がないことを示します。 範囲: 0 から PW_PASSLEN まで。
mindigit 新しいパスワードに含める必要のある数字の最小数を定義します。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最小数がないことを示します。 範囲: 0 から PW_PASSLEN まで。
minspecialchar 新しいパスワードに含める必要のある特殊文字の最小数を定義します。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最小数がないことを示します。 範囲: 0 から PW_PASSLEN まで。
efs_adminks_アクセス 管理者 鍵ストアの場所を定義します。 指定できる値は 1 つだけです。
ファイル
鍵ストアは、 /var/efs/efs_admin/ ファイルに保管されます。
注: この属性は、システムが EFS対応である場合にのみ有効です。
ユーザーによるモード変更を許可する ユーザーがモードを変更できるかどうかを定義します。 以下の値が使用できます。
はい
ユーザーは、( ESSKEYMGR コマンドを使用して) 鍵ストア・モードを変更できます。
いいえ
ユーザーは、( ESSKEYMGR コマンドを使用して) 鍵ストア・モードを変更することはできません。
注: この属性は、システムが EFS対応である場合にのみ有効です。
FS_FILE_ALGo ファイル保護鍵を生成するために使用されるアルゴリズムを定義します。 以下の値が使用できます。
  • AES_128_CBC
  • AES_192_CBC
  • AES_256_CBC
注: この属性は、システムが EFS対応である場合にのみ有効です。
efs_initialks_mode ユーザー鍵ストアの初期モードを定義します。 以下の値が使用できます。
guard
鍵ストアがルート・ガード・モードの場合、この鍵ストアに含まれている鍵は、この鍵ストアの正しいパスワードがないと取得できません。
admin
鍵ストアがルート管理モードの場合、この鍵ストアに含まれている鍵は、 EFS (暗号化ファイル・システム) 管理鍵を使用して取得できます。
注:
  • この属性は、システムが EFS対応である場合にのみ有効です。
  • これは、鍵ストアの初期モードです。 チャウザー コマンド、 ChGroup コマンド、 コマンド、または手動編集を使用してこの値を変更しても、鍵ストアのモードは変更されません。 この属性は、鍵ストアを作成するときにのみ使用し、鍵ストアが削除されて新しい鍵ストアが作成されるまでは使用しないでください。 鍵ストア・モードを変更するには、 ESSKEYMGR コマンドを使用します。
efs_キーストア_アクセス ユーザー鍵ストアの場所を定義します。 以下の値が使用できます。
なし
鍵ストアがありません。
ファイル
鍵ストアは、 /var/efs/users/ ディレクトリーに保管されます。
注: この属性は、システムが EFS対応である場合にのみ有効です。
EFSキーストアアルゴリズム 鍵ストアの作成時にユーザー秘密鍵を生成するために使用されるアルゴリズムを定義します。 以下の値が使用できます。
  • RSA_1024
  • RSA_2048
  • RSA_4096
注:
  • この属性は、システムが EFS対応である場合にのみ有効です。
  • チャウザー コマンド、 ChGroup コマンド、または コマンドを使用して、あるいは手動編集を使用して、この属性の値を変更しても、秘密鍵は再生成されません。 この属性は、鍵ストアを作成するときにのみ使用し、鍵ストアが削除されて新しい鍵ストアが作成されるまでは使用しないでください。 鍵のアルゴリズムを変更するには、 ESSKEYMGR コマンドを使用します。
expires アカウントの有効期限を識別します。 パラメーターは、 MMDDhhmmyy (M) 形式の 10 文字のストリングです。ここで、 MM = month、 DD とは = day、 HH = hour、 Mm = minute、および YY = 1939 年から 2038 年までの最後の 2 桁です。 文字はすべて数字です。 Value パラメーターが 0 の場合、アカウントは無期限です。 デフォルトは 0 です。 詳しくは、 日付 コマンドを参照してください。
histexpire ユーザーがパスワードを再使用できない期間 (週単位) を指定します。 この値は、10 進の整数文字列です。 デフォルトは 0 で、期間が設定されていないことを示します。
histsize ユーザーが再使用できない以前のパスワードの数を指定します。 この値は、10 進の整数文字列です。 デフォルトは 0 です。
login ユーザーが login コマンドを使用してシステムにログインできるかどうかを示します。 使用できる値は、次のとおりです。
true
ユーザーは、システムにログインできます。 これはデフォルトです。
false
ユーザーは、システムにログインできません。
logintimes ユーザーがシステムへのアクセスを許可される時刻、日数、またはその両方を指定します。 値は、以下の形式の項目のコンマ区切りリストです。
[!]:time-time
        -or-
[!]day[-day][:time-time]
        -or-
[!]date[-date][:time-time]

変数は、曜日の 1 つを表す 0 から 6 までの 1 桁の数字でなければなりません。 0 (ゼロ) は日曜日を示し、6 は土曜日を示します。

time 変数は 24 時間制の時刻 (1700 は 5:00 p.m) です。 先行ゼロは必須です。 例えば、次のように入力する必要があります。0800,not800時間 変数は 4 文字の長さでなければならず、先頭にコロン (:) がなければなりません。 時刻指定のみで構成される項目は、毎日適用されます。 時刻値の開始時刻は終了時刻より小さくなければなりません。

日付 変数は、 MMDDの形式の 4 桁のストリングです。 Mm は暦月を表し、 DD は日を表します。 例 :00011 月 1 日を表す。 DD は次のいずれかです。00項目が範囲でない場合、または月の最初または最後の日を示す場合は、範囲の開始または終了の一部として表示されるかどうかに応じて、月全体を示します。 例:00001 月全体を示します。06006 月全体を示します。0311-05004 月 11 日から 6 月の最終日までを示します。

このリストの項目は、ユーザーがシステムへのアクセスを許可または拒否される回数を指定します。 項目の前に次の項目がありません:!(感嘆符) はアクセスを許可し、ALLOW 項目と呼ばれます。 接頭部が「!(感嘆符) は、システムへのアクセスを拒否し、DENY エントリーと呼ばれます。 この!演算子は 1 つの項目にのみ適用され、制限リスト全体には適用されません。 各項目の先頭に指定する必要があります。
loginretries 最後に正常にログインしてからシステムがアカウントをロックするまでに再試行できる不成功ログインの回数を定義します。 この値は、10 進の整数文字列です。 ゼロまたは負の値は、未制限であることを示します。 ユーザーのアカウントがロックされると、システム管理者がユーザーのアカウントをリセットするまで、ユーザーはログインできなくなります。unsuccessful_login_count/etc/security/lastlog ファイル内の属性が loginretriesの値より小さくなる。 この属性をリセットするには、次のように入力します。
chsec -f /etc/security/lastlog -s username -a \
unsuccessful_login_count=0
maxage パスワードの最長有効期間 (週単位) を定義します。 パスワードは、この時刻までに変更する必要があります。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最長有効期間がないことを示します。
maxexpired 期限切れのパスワードを maxage 値以降に変更できる最長期間 (週単位) を定義します。 ここで定義された時刻以後は、管理ユーザーしかパスワードを変更できません。 この値は、10 進の整数文字列です。 デフォルトは -1、制限が設定されていないことを示します。 maxexpired 属性を 0 に設定すると、パスワードが maxage 値に達したときに期限切れとなります。 maxage 属性を 0 に設定すると、maxexpired 属性は無視されます。
maxrepeats 新しいパスワード内で 1 文字を反復できる最大回数を定義します。 値 0 では意味がないので、デフォルトの値 8 で最大数が存在しないことを示します。 この値は、10 進の整数文字列です。
minage パスワードが変更可能になるまでに経過する必要のある最低有効期間 (週単位) を定義します。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最低有効期間がないことを示します。
minalpha 新しいパスワードに含める必要のある英字の最小数を定義します。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最小数がないことを示します。
mindiff 古いパスワードには含まれていない文字で、新しいパスワードに含める必要がある文字の最小数を定義します。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最小数がないことを示します。
minlen パスワードの最小長を定義します。 この値は、10 進の整数文字列です。 デフォルトは値 0 で、最小の長さがないことを示します。 許可される最大値は PW_ パス LEN 属性です。 この属性は、 ミニマザー 属性値に追加された ミンアルファ 属性値によって決定されます。 これらの値の合計が ミンレン 属性値より大きい場合、最小長は結果に設定されます。
注: PW_PASSLEN 属性は、 /usr/include/userpw.hに定義されています。 PW_PASSLEN 属性の値は、 /etc/security/login.cfg に定義されているシステム全体のパスワード・アルゴリズムによって決定されます。

パスワードの最小長は ミンレン 属性によって決定され、 PW_ パス LEN 属性を超えることはできません。 minalpha 属性 + minother 属性PW_ パス LEN 属性より大きい場合、 ミニマザー 属性は PW_PASSLEN 属性-minalpha 属性に削減されます。
minother 新しいパスワードに含める必要のある英字以外の文字の最小数を定義します。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最小数がないことを示します。
projects ユーザーのプロセスを割り当てることができるプロジェクトのリストを定義します。 値は、コンマで区切られたプロジェクト名のリストで、左から右に 評価されます。 プロジェクト名は、システム内で定義されている有効なプロジェクト名である 必要があります。 リストに無効なプロジェクト名が見つかった場合は、 user コマンドによってエラーとして報告されます。
pwdchecks 新しいパスワードに関して実施されるパスワード制限メソッドを定義します。 値は、コンマで区切られたメソッド名のリストであり、左から右へ評価されます。 メソッド名は、絶対パス名か、実行可能なロード・モジュールの /usr/lib への相対パスのどちらかです。
pwdwarntime パスワードの変更が必要であることを示す警告がシステムによって表示されるまでの日数を定義します。 この値は、10 進の整数文字列です。 ゼロまたは負の値は、メッセージが表示されないことを示します。 値は、maxage 属性と minage 属性の差より小さくなければなりません。 この差より大きい値は無視され、 ミナージ 値に達するとメッセージが発行されます。
registry ユーザーが管理される認証レジストリーを定義します。 これは、リモートで管理されるユーザーをローカルで管理されるドメインに解決するために使用されます。 この状態は、ネットワーク・サービスに予期しない障害が発生した場合、またはネットワーク・データベースがローカルに複製された場合に発生することが 値の例としては、 filesNIS 、または DCEがあります。
rlogin Telnet または RLogin コマンドを使用して、リモート・ロケーションからアカウントへのアクセスを許可します。 使用できる値は、次のとおりです。
true
ユーザー・アカウントにリモート・アクセスすることができます。 これは、デフォルトの rlogin 値です。
false
ユーザー・アカウントにリモートでアクセスできません。
su su コマンドを使用して指定されたユーザー・アカウントに他のユーザーが切り替えられるかどうかを示します。 使用できる値は、次のとおりです。
true
指定アカウントに他のユーザーが切り替わることができます。 これはデフォルトです。
false
指定アカウントに他のユーザーが切り替わることはできません。
sugroups 指定されたユーザー・アカウントに切り替えるために スー コマンドを使用できるグループをリストします。 Value パラメーターは、グループ名のコンマ区切りリスト、またはすべてのグループを示す ALL の値です。 ! グループ名の前にある (感嘆符) は、そのグループを除外します。 この属性が指定されていない場合、すべてのグループが su コマンドを使用してこのユーザー・アカウントに切り替えることができます。
SYSTEM

ユーザーのシステム認証メカニズムを定義します。 値は、使用する認証方式を記述する式にすることも、キーワード NONEにすることもできます。

auth1 および auth2 属性の値に関係なく、ユーザーの認証には常に SYSTEM メカニズムが使用されます。 SYSTEM 属性が NONEに設定されている場合、認証は auth1 属性および auth2 属性を使用してのみ実行されます。 TCP ソケット・デーモン (ftpdrexecd 、および rshd) のように、 auth1 および auth2 属性がブランクまたは無視される場合、認証は実行されません。

メソッド名 コンパスファイル 、および 国家情報院 は、セキュリティー・ライブラリーによって提供されます。 追加のメソッドは、ファイル /usr/lib/security/methods.cfgに定義することができます。

以下の文法を使用して、 システム の値を指定します。

"SYSTEM"       ::= EXPRESSION
EXPRESSION     ::= PRIMITIVE  |
                    "("EXPRESSION")"  |
                     EXPRESSION OPERATOR EXPRESSION
PRIMITIVE      ::= METHOD  |
                    METHOD "["RESULT"]"
RESULT         ::= "SUCCESS" | "FAILURE" | "NOTFOUND" |
                   "UNAVAIL"  | "*"
OPERATOR       ::= "AND" | "OR"
METHOD         ::= "compat" | "files" | "NONE" |
                   [a-z,A-Z,0-9]*

構文の例を以下に示します。

SYSTEM = "DCE OR DCE[UNAVAIL] AND 
compat"
tpath ユーザーのトラステッド・パスの状況を示します。 可能な値は次のとおりです。
always
ユーザーが実行できるのは、トラステッド・プロセスだけです。 これは、ユーザーの開始プログラムがトラステッド・シェルまたは他のトラステッド・プロセスの中にあることを意味しています。
notsh
ユーザーは、トラステッド・パス上にトラステッド・シェルを呼び出すことができません。 ユーザーがログイン後にセキュア・アテンション・キー (SAK) を入力すると、ログイン・セッションは終了します。
nosak
セキュア・アテンション・キー (SAK) が、ユーザーが実行するすべてのプロセスについて使用不可になります。 この値は、ユーザーが SAK シーケンスを含んだバイナリー・データを転送する際に使用してください。 これはデフォルト値です。
on
ユーザーは通常のトラステッド・パス特性を持ち、セキュア・アテンション・キー (SAK) を使ってトラステッド・パスを始動する (トラステッド・シェルに入る) ことができます。
ttys 名前 パラメーターで指定されたアカウントにアクセスできる端末をリストします。 Value パラメーターはコンマで区切られた絶対パス名のリスト、あるいはすべての端末を示す値 ALL です。 RSH および REXEC の値は、端末名としても使用できます。 ! (感嘆符) を付けると、その端末は除外されます。 この属性が指定されない場合には、すべての端末がそのユーザー・アカウントにアクセスできます。 Value パラメーターが ALLでない場合は、次のようになります。/dev/ptsネットワーク・ログインが機能するように指定する必要があります。
umask ファイル許可を決定します。 この値は、作成するプロセスの許可と共に、ファイル作成時のファイルの許可を決定します。 デフォルトの値は 022 です。

ユーザー・ファイルの変更

このファイルには、この目的のために定義されたコマンドおよびサブルーチンを介してアクセスする必要があります。 以下のコマンドを使用して、 ユーザー ファイルを変更できます。

  • chuser
  • lsuser
  • mkuser
  • rmuser

mkuser コマンドは、/etc/security/user ファイル中の各新規ユーザーごとにエントリーを作成し、その属性を /usr/lib/security/mkuser.default ファイルで定義される属性で初期化します。 属性値を変更するには、 チャウザー コマンドを使用します。 属性およびその値を表示するには、lsuser コマンドを使用します。 ユーザーの除去には、rmuser コマンドを使用します。

/etc/security/user ファイル内の属性に影響を与えるプログラムを作成するには、関連情報セクションにリストされているサブルーチンを使用します。

セキュリティー

アクセス制御

このファイルは、root ユーザーとセキュリティー・グループのメンバーにのみ読み取り (r) アクセス権限を付与する必要があります。 他のユーザーおよびグループのアクセス権限は、システムのセキュリティー・ポリシーによって異なります。 root ユーザーのみが書き込み (w) アクセス権限を持つ必要があります。

イベントの監査

イベント 情報
ユーザー書き込み (_USER_WRITE) ファイル名

  1. ユーザーの標準的なスタンザは、以下の例のようになります。dhs:
    dhs:
    login = true
    rlogin = false
    ttys = /dev/console
    sugroups = security,!staff
    expires = 0531010090
    tpath = on
    admin = true
    auth1 = SYSTEM,METH2;dhs
  2. 以下を除くすべての ttys を許可します。/dev/tty0ユーザー・アカウントにアクセスするには、ttys エントリーを次のように変更します。
    ttys = !/dev/tty0,ALL

ファイル

項目 説明
/etc/group 基本グループ属性が入っています。
/etc/passwd 基本ユーザー属性が入っています。
/etc/security/audit/config 監査システム構成情報が入っています。
/etc/security/environ ユーザーの環境属性が入っています。
/etc/security/group 拡張グループ属性が入っています。
/etc/security/limits ユーザーのプロセス・リソース制限が入っています。
/etc/security/login.cfg ユーザー・ログインおよび認証の構成情報が含まれます。
/etc/security/passwd パスワード情報が入っています。
/usr/lib/security/mkuser.default デフォルトのユーザー構成が含まれています。
/etc/security/user 拡張ユーザー属性が入ります。
/etc/security/lastlog 最終ログイン情報が含まれます。