Идентификация пользователей

Идентификация позволяет выяснить, является ли пользователь тем, за кого он себя выдает.

Идентификация выполняется при входе в систему. Вы указываете свой ИД пользователя и пароль, если он определен для учетной записи (в защищенной системе пользователям без пароля должно быть запрещено выполнение важных операций). Если пароль введен правильно, то вам назначается учетная запись: вы получаете права доступа этой учетной записи. Пароли пользователей хранятся в файле /etc/passwd и /etc/security/passwd.

По умолчанию пользователи определяются в файлах реестра. Такой подход предусматривает хранение информации об учетных записях пользователей и групп в обычных текстовых файлах ASCII. Встраиваемые модули позволяют добавлять сведения о пользователях и в другие реестры. Например, если для администрирования пользователей применяется встраиваемый модуль LDAP, определения пользователей хранятся в каталоге LDAP. В этом случае записи пользователей в файл /etc/security/user не добавляются (исключение составляют только атрибуты пользователей SYSTEM и registry). Если для администрирования пользователей применяется составной модуль (например, модули, обеспечивающие идентификацию и взаимодействие с базой данных), то способ управления информацией об учетных записях пользователей AIX, а также процесс управления идентификацией и паролями описываются различными частями этого модуля. Кроме того, вы можете указать атрибуты администрирования пользователей, связанные с идентификацией, путем реализации соответствующих интерфейсов модулей (newuser, getentry, putentry и т.д.)

Метод идентификации управляется атрибутами SYSTEM и реестра, которые определяются в файле /etc/security/user . Системный администратор может задать атрибут authcontroldomain в файле /etc/security/login.cfg на применение атрибутов SYSTEM и реестра, извлекаемых из authcontroldomain. Например, authcontroldomain=LDAP может указывать системе поиск атрибутов SYSTEM и реестра пользователя в LDAP для определения метода идентификации, применяемого для данного пользователя. Существует исключение для локально определенных пользователей, для которых параметр authcontroldomain игнорируется, и атрибуты SYSTEM и реестра всегда извлекаются из файла /etc/security/user.

Приемлемым ключом для атрибута authcontroldomain являются файлы или имя раздела из файла /usr/lib/security/methods.cfg.

Значение атрибута SYSTEM определяется в соответствии с грамматикой. С помощью этой грамматики системные администраторы могут комбинировать один или более методов идентификации конкретного пользователя в системе. Наиболее часто применяются следующие маркеры методов: compat, DCE, files и NONE.

По умолчанию применяется значение compat. Атрибут SYSTEM=compat указывает системе, что для определения имен (и последующей идентификации) применяется локальная база данных, а затем - база данных NIS. Значение files указывает, что будут применяться только локальные файлы, SYSTEM=DCE указывает на применение потока идентификации DCE.

Значение NONE отключает все способы идентификации. Для полного отключения идентификации укажите значение NONE в строках SYSTEM и auth1 раздела пользователя.

При необходимости вы можете указать несколько способов идентификации и настроить их совместное применение с помощью логических операторов И и ИЛИ. Например, выражение SYSTEM=DCE OR compat указывает, что пользователь может войти в систему только в том случае, если будет успешно выполнена идентификация DCE или локальная идентификация (crypt()). Порядок элементов выражения в данном случае имеет значение.

Аналогичным образом в атрибуте SYSTEM можно указывать имена модулей идентификации. Например, если для атрибута SYSTEM указано выражение SYSTEM=KRB5files OR compat, хост AIX в первую очередь попытается выполнить идентификацию с помощью потока Kerberos, а затем, в случае неудачи, стандартную идентификацию AIX.

Атрибуты SYSTEM и registry всегда хранятся в файле /etc/security/user в локальной файловой системе. Если пользователь AIX определен в каталоге LDAP и для него заданы соответствующие атрибуты SYSTEM и registry, то в файле /etc/security/user будет содержаться запись для этого пользователя.

Атрибуты SYSTEM и registry пользователя можно изменить с помощь команды chuser.

Допустимые значения атрибута SYSTEM можно определить в файле /usr/lib/security/methods.cfg.

Для альтернативных способов идентификации применяется атрибут SYSTEM, который указывается в файле /etc/security/user. Например, распределенная вычислительная среда (DCE) запрашивает пароль, но проверяет его с помощью средств шифрования, отличных от применяемых в /etc/passwd и /etc/security/passwd. В разделах файла /etc/security/user для пользователей, идентифицируемых средствами DCE, можно указать SYSTEM=DCE.

Другие допустимые значения атрибута SYSTEM - это compat, files и NONE. Значение compat применяется в тех случаях, когда для определения имен (и последующей идентификации) применяется локальная база данных, а затем - база данных NIS. Значение files указывает, что будут применяться только локальные файлы. Значение NONE отключает все способы идентификации. Для полного отключения идентификации укажите значение NONE в строках SYSTEM и auth1 раздела пользователя.

Другие допустимые значения для атрибута SYSTEM можно определить в файле /usr/lib/security/methods.cfg.

Дополнительная информация о парольной защите приведена в разделе Управление операционной системой и устройствами.