使用者鑑別

識別及鑑別可用來建立使用者身分。

每位使用者都必須登入系統。使用者提供帳戶的使用者名稱及密碼，如果帳戶具有密碼的話 (在安全系統中，所有的帳戶都必須具有密碼，否則會失效)。如果密碼正確，則使用者會登入該帳戶，而使用者即取得該帳戶的存取權及專用權。/etc/passwd 及 /etc/security/passwd 檔案保留使用者密碼。

根據預設值，是在「檔案」登錄中定義使用者。這表示，使用者帳戶及群組資訊儲存在純 ASCII 檔。自從引用外掛程式載入模組，使用者也可以定義在其他登錄中。例如，當用 LDAP 外掛程式模組來管理使用者，使用者定義就會儲存在 LDAP 儲存庫。在這種情況下，/etc/security/user 檔中就沒有使用者項目 (使用者屬性 SYSTEM 及 registry 除外)。用複合載入模組 (即具有鑑別及資料庫組件的載入模組) 來管理使用者時，資料庫組件判斷如何管理 AIX® 使用者帳戶資訊，而鑑別組件則說明如何鑑別及管理密碼。鑑別組件也可以透過實作某些載入模組介面 (newuser、getentry、putentry 等)，來說明如何管理需特別驗證的使用者帳戶。

鑑別方法是由 SYSTEM 及 /etc/security/user 檔案中定義的登錄屬性所控制。系統管理者可以將 authcontroldomain 屬性定義至 /etc/security/login.cfg 檔案中，以強制從 authcontroldomain 擷取 SYSTEM 及登錄屬性。例如，authcontroldomain=LDAP 會強制系統從 LDAP 尋找使用者的 SYSTEM 及登錄，以判定用於使用者的鑑別方法。本端定義的使用者有一個例外狀況，在該狀況下，會忽略 authcontroldomain 設定，而 SYSTEM 及登錄一律會從 /etc/security/user 檔案中擷取。

authcontroldomain 屬性的可接受記號為檔案或 /usr/lib/security/methods.cfg 檔案中的段落名稱。

SYSTEM 屬性的值透過文法定義。系統管理者可以使用這種文法合併一個以上的方法，來鑑別到系統的特定使用者。最常見的方法記號有 compat、DCE、files 及 NONE。

系統預設值為 compat。預設 SYSTEM=compat 會告知系統使用本端資料庫進行鑑別，如果無法解析，就會改試「網路資訊服務」(NIS) 資料庫。files 記號指定鑑別期間僅使用本端檔案，而 SYSTEM=DCE 則導致 DCE 鑑別串流。

NONE 記號會停用鑑別方法。若要停用所有鑑別，NONE 記號必須出現在使用者段落的 SYSTEM 及 auth1 行中。

您可以指定兩個或以上的方法，並使用邏輯建構元 AND 及 OR 來合併這些方法。例如，SYSTEM=DCE OR compat 代表：如果使用者依序且通過 DCE 或本端鑑別 (crypt()) 其中一種，則容許他登入。

利用類似的方法，系統管理者也可以將鑑別載入模組名稱用於 SYSTEM 屬性。例如，當 SYSTEM 屬性設為 SYSTEM=KRB5files OR compat，AIX 主機會先嘗試用 Kerberos 流程來鑑別，如果失敗的話，會再嘗試標準的 AIX 鑑別方法。

SYSTEM 及 registry 屬性會固定儲存在本端檔案系統上的 /etc/security/user 檔中。如果將 AIX 使用者定義在 LDAP 中，然後再設定使用者的 SYSTEM 及 registry 屬性，那麼使用者就會在 /etc/security/user 檔中有一個項目。

使用 chuser 指令可以變更使用者的 SYSTEM 及 registry 屬性。

您可以在 /usr/lib/security/methods.cfg 檔中定義 SYSTEM 屬性可接受的記號。

註：一律藉由本端系統安全檔案來鑑別 root 使用者。root 使用者的 SYSTEM 屬性項目在 /etc/security/user 檔中會特別設為 SYSTEM=compat。

您可以使用 /etc/security/user 中的 SYSTEM 屬性，將其他的鑑別方法整合到系統中。例如，「分散式運算環境」(DCE) 需要鑑別密碼，但驗證這些密碼的方法和 etc/passwd 及 /etc/security/passwd 中所使用的加密模型不同。若要以 DCE 鑑別使用者，可以將使用者在 /etc/security/user 中的段落設為 SYSTEM=DCE。

其他的 SYSTEM 屬性值是 compat、files 及 NONE。當名稱解析 (及後續鑑別) 遵循本端資料庫時，會使用 compat 記號，如果找不到名稱解析，則會嘗試「網路資訊服務 (NIS)」資料庫。 files 記號指定鑑別期間僅使用本端檔案。最後，NONE 記號會停用鑑別方法。若要停用所有鑑別，NONE 記號必須出現在使用者段落的 SYSTEM 及 auth1 行中。

您可以在 /usr/lib/security/methods.cfg 中定義 SYSTEM 屬性可接受的其他記號。

註：一律藉由本端系統安全檔案來鑑別 root 使用者。root 使用者的 SYSTEM 屬性項目在 /etc/security/user 中會特別設為 SYSTEM = "compat"。

如需保護密碼的相關資訊，請參閱作業系統與裝置管理。

登入使用者 ID

為此使用者記錄的所有審核事件會以此 ID 作為標籤，並會在產生審核記錄時進行檢查。如需登入使用者 ID 的相關資訊，請參閱作業系統與裝置管理。