/usr/lib/security/methods.cfg 文件

用途

包含可装入认证模块配置的信息。

描述

/usr/lib/security/methods.cfg 文件是一个 ASCII 文件，其中包含具有可装入认证模块信息的节。每个节都由后跟冒号 (:) 的模块名称标识，并且包含格式为属性=值。的属性每个属性都以换行字符结尾，每个节都以附加换行字符结尾。

/usr/lib/security/methods.cfg 文件是 /etc/methods.cfg 文件的符号链接。

注: 如果您正在使用公共桌面环境 (CDE) ，那么必须重新启动桌面登录管理器 (dtlogin) 以使任何更改生效。重新启动 dtlogin 将通过使用更新的安全性机制来防止 CDE 登录失败。请阅读 /usr/dt/README 文件以获取更多信息。

每个节都可以具有以下属性:

属性	描述
域	指定可装入的认证模块用于选择数据存储库的自由格式 ASCII 文本字符串。此属性为可选的属性。
netgroup	指示此模块的网组启用。以下行为将被开启: 在 /etc/security/user 文件中定义为模块注册表成员的用户 (例如，具有 registry=LDAP 和 SYSTEM=LDAP) 将无法认证为模块用户。这些用户现在将成为 nis_module 用户，并且需要本机 NIS 网络组成员资格。要完全启用 nis_module 网组用户， /etc/security/user 中的相应条目必须除去 registry 和 SYSTEM 值或将其设置为`compat`. 以下项的注册表值:`compat`现在受支持。但是，只有 nis_module 用户将显示`compat`作为其注册表。其他用户将显示其绝对注册表值。我的意思是注册 =`compat` 将扩展为包括支持网组的模块。例如，如果 LDAP 模块已启用网络组，那么`compat`将包含以下注册表: 文件， NIS 和 LDAP。
选项	指定一个 ASCII 文本字符串，其中包含初始化时传递到可装入认证模块的可选值。每个模块的受支持值由该可装入认证模块的产品文档描述。选项属性采用下列预定义的值: 授权 =模块指定要用于对当前可装入的认证模块执行认证功能的模块授权指示可装入认证模块仅执行认证操作。用户和组信息必须由另一个模块提供，由数据库 = 选项指定。如果不是由模块提供的，那么用户和组信息必须由本地文件数据库提供。数据库 =模块指定用于为当前可装入的认证模块提供用户和组信息的模块仅数据库指示可装入认证模块仅提供用户和组信息，而不执行认证功能。必须由授权 = 选项指定的另一个装入模块来执行认证操作。如果未指定授权 = 选项，那么所有认证操作都将失败。 netgroup 指示启用此模块的网组。以下行为将被开启: 在 /etc/security/user 中定义为模块注册表成员的用户 (例如，具有 registry = LDAP 和 SYSTEM=LDAP) 将无法认证为模块用户。这些用户现在将成为 nis_module 用户，并且将需要本机 NIS 网络组成员资格。要完全启用 nis_module 网组用户， /etc/security/user 中的相应条目必须除去 registry 和 SYSTEM 值或设置为 compat。现在支持 compat 的注册表值，但是，只有 nis_module 用户才会将 compat 显示为其注册表值。其他用户将显示其绝对注册表值。注册表 compat 的含义将扩展为包含支持网组的模块。例如，如果 LDAP 模块支持 netgroup-enabled ，那么 compat 将包含以下注册表: 文件， NIS 和 LDAP。无提示禁止用于认证操作的初始密码提示。然后，可装入认证模块将控制所有密码提示。 rootrequiresopw 确定在更改其他用户的密码时是否提示 root 用户输入此可装入认证模块的旧密码。如果您要禁用旧密码的提示，请将此选项设置为 False。缺省值为 True。

属性

描述

域

指定可装入的认证模块用于选择数据存储库的自由格式 ASCII 文本字符串。此属性为可选的属性。

netgroup

指示此模块的网组启用。以下行为将被开启:

在 /etc/security/user 文件中定义为模块注册表成员的用户 (例如，具有 registry=LDAP 和 SYSTEM=LDAP) 将无法认证为模块用户。这些用户现在将成为 nis_module 用户，并且需要本机 NIS 网络组成员资格。要完全启用 nis_module 网组用户， /etc/security/user 中的相应条目必须除去 registry 和 SYSTEM 值或将其设置为compat.
以下项的注册表值:compat现在受支持。但是，只有 nis_module 用户将显示compat作为其注册表。其他用户将显示其绝对注册表值。
我的意思是 注册 =compat 将扩展为包括支持网组的模块。例如，如果 LDAP 模块已启用网络组，那么compat将包含以下注册表: 文件， NIS 和 LDAP。

选项

指定一个 ASCII 文本字符串，其中包含初始化时传递到可装入认证模块的可选值。每个模块的受支持值由该可装入认证模块的产品文档描述。

选项属性采用下列预定义的值:

授权 =模块

指定要用于对当前可装入的认证模块执行认证功能的模块

授权

指示可装入认证模块仅执行认证操作。用户和组信息必须由另一个模块提供，由 数据库 = 选项指定。如果不是由模块提供的，那么用户和组信息必须由本地文件数据库提供。

数据库 =模块

指定用于为当前可装入的认证模块提供用户和组信息的模块

仅数据库

指示可装入认证模块仅提供用户和组信息，而不执行认证功能。必须由 授权 = 选项指定的另一个装入模块来执行认证操作。如果未指定 授权 = 选项，那么所有认证操作都将失败。

netgroup

指示启用此模块的网组。以下行为将被开启:

在 /etc/security/user 中定义为模块注册表成员的用户 (例如，具有 registry = LDAP 和 SYSTEM=LDAP) 将无法认证为模块用户。这些用户现在将成为 nis_module 用户，并且将需要本机 NIS 网络组成员资格。要完全启用 nis_module 网组用户， /etc/security/user 中的相应条目必须除去 registry 和 SYSTEM 值或设置为 compat。
现在支持 compat 的注册表值，但是，只有 nis_module 用户才会将 compat 显示为其注册表值。其他用户将显示其绝对注册表值。
注册表 compat 的含义将扩展为包含支持网组的模块。例如，如果 LDAP 模块支持 netgroup-enabled ，那么 compat 将包含以下注册表: 文件， NIS 和 LDAP。

无提示

禁止用于认证操作的初始密码提示。然后，可装入认证模块将控制所有密码提示。

rootrequiresopw

确定在更改其他用户的密码时是否提示 root 用户输入此可装入认证模块的旧密码。如果您要禁用旧密码的提示，请将此选项设置为 False。缺省值为 True。

属性	描述
选项 (续)	对于 KRB5/KRB5A 装入模块，选项属性还可以使用以下预定义值: allow_expired_pwd= [yes \| true/no \| false] allow_expired_pwd 选项的可能值如下所示: 否或 false 是或 true 缺省情况下， allow_expired_pwd 选项设置为 no 或 false。 allow_expired_pwd 选项使 AIX® 操作系统能够通过使用 Kerberos 认证接口来获取密码到期信息。在登录期间或通过调用 authenticate 子例程和帕斯瓦德克斯皮雷德子例程来获取密码到期信息的实际状态。 is_kadmind_compat = [yes \| true/no \| false] 此选项用于指示向哪个认证服务 Kerberos 进行认证。如果设置为 yes 或 true ，那么它将使用网络认证服务 (NAS) 进行认证。如果设置为 "否" 或 "false" ，那么环境将设置为使用非AIX 服务。 kadmind = [yes \| true/no \| false] 卡门德选项的可能值如下所示: 否或为 false: 禁用卡门德查找。是或为 true: 启用卡门德查找。缺省值为 yes。当此选项设置为 no 时，认证期间将不会联系 kadmind 守护程序。因此，无论 kadmind 守护程序处于何种状态，只要系统提示输入密码时用户输入了正确的密码，用户就可以登录至系统。但是，如果守护程序不可用 (例如，守护程序已关闭或机器不可访问) ，那么 AIX® 用户管理命令 (例如姆库特，丘特或 Rmuser) 将无法对 Kerberos 集成用户进行管理。卡门德参数的缺省值为 "是"。这表示在认证期间执行卡门德查找。缺省情况下，如果守护程序不可用，那么认证可能要花更长时间。 kadmind_timeout = [timeout_value] kadmind_timeout 选项是初始超时后卡门德次连接尝试之间的时间量 (以秒为单位)。有效值为 0 到 300 之间的值。 keep_creds = [yes/no] 缺省情况下， keep_creds 选项设置为 "否"。如果 keep_creds 选项设置为 yes ，那么每个新登录都会生成一个基于 PAG 的新凭证高速缓存文件。 sync_all = [yes \| true/no \| false] 此选项用于指示执行全部查询处理的位置 (由装入模块或安全库执行)。如果将 sync_all 选项设置为 no 或 false ，那么装入模块会将计算全部请求的任务留给安全库例程。如果设置为 "是" 或 "true" ，那么装入模块将检索主体列表。装入模块的认证端可能未声明对全部查询的支持。在此情况下，安全库仍能够计算认证端的全部列表。它通过查询从数据库端获取的每个用户的认证端来执行此操作。生成的全部列表仅包含位于两侧的用户和主体。这样做的好处是，如果用户数量过多，那么 Kerberos 客户机或服务器可能无法完成此操作。但是，一次查询一个用户将成功。一次查询一个用户的缺点是性能问题。如果安全性库一次查询一个用户，那么性能会大大下降。 tgt_verify = [yes \| true/no \| false] tgt_verify 选项的可能值如下所示: 否或 false: 禁用授予凭单的凭单 (TGT) 验证。是或 true: 启用 TGT 验证。缺省情况下，已启用 TGT 验证。当 tgt_verify 选项设置为 no 时，将不执行 TGT 验证，并且不需要传输主机主体密钥的密钥。这样，在使用 KRB5A 模块时，就不需要使用密钥表文件进行认证。其他启用 Kerberos的应用程序可能需要主机和服务主体的密钥表文件。

属性

描述

选项 (续)

对于 KRB5/KRB5A 装入模块，选项属性还可以使用以下预定义值:

allow_expired_pwd= [yes | true/no | false]

allow_expired_pwd 选项的可能值如下所示:

否或 false
是或 true

缺省情况下， allow_expired_pwd 选项设置为 no 或 false。 allow_expired_pwd 选项使 AIX® 操作系统能够通过使用 Kerberos 认证接口来获取密码到期信息。在登录期间或通过调用 authenticate 子例程和 帕斯瓦德克斯皮雷德 子例程来获取密码到期信息的实际状态。

is_kadmind_compat = [yes | true/no | false]

此选项用于指示向哪个认证服务 Kerberos 进行认证。如果设置为 yes 或 true ，那么它将使用网络认证服务 (NAS) 进行认证。如果设置为 "否" 或 "false" ，那么环境将设置为使用非AIX 服务。

kadmind = [yes | true/no | false]

卡门德 选项的可能值如下所示:

否或为 false: 禁用 卡门德 查找。
是或为 true: 启用 卡门德 查找。

缺省值为 yes。当此选项设置为 no 时，认证期间将不会联系 kadmind 守护程序。因此，无论 kadmind 守护程序处于何种状态，只要系统提示输入密码时用户输入了正确的密码，用户就可以登录至系统。但是，如果守护程序不可用 (例如，守护程序已关闭或机器不可访问) ，那么 AIX® 用户管理命令 (例如 姆库特，丘特或 Rmuser) 将无法对 Kerberos 集成用户进行管理。 卡门德 参数的缺省值为 "是"。这表示在认证期间执行 卡门德 查找。缺省情况下，如果守护程序不可用，那么认证可能要花更长时间。

kadmind_timeout = [timeout_value]

kadmind_timeout 选项是初始超时后 卡门德 次连接尝试之间的时间量 (以秒为单位)。有效值为 0 到 300 之间的值。

keep_creds = [yes/no]

缺省情况下， keep_creds 选项设置为 "否"。如果 keep_creds 选项设置为 yes ，那么每个新登录都会生成一个基于 PAG 的新凭证高速缓存文件。

sync_all = [yes | true/no | false]

此选项用于指示执行全部查询处理的位置 (由装入模块或安全库执行)。如果将 sync_all 选项设置为 no 或 false ，那么装入模块会将计算全部请求的任务留给安全库例程。如果设置为 "是" 或 "true" ，那么装入模块将检索主体列表。装入模块的认证端可能未声明对全部查询的支持。在此情况下，安全库仍能够计算认证端的全部列表。它通过查询从数据库端获取的每个用户的认证端来执行此操作。生成的全部列表仅包含位于两侧的用户和主体。这样做的好处是，如果用户数量过多，那么 Kerberos 客户机或服务器可能无法完成此操作。但是，一次查询一个用户将成功。一次查询一个用户的缺点是性能问题。如果安全性库一次查询一个用户，那么性能会大大下降。

tgt_verify = [yes | true/no | false]

tgt_verify 选项的可能值如下所示:

否或 false: 禁用授予凭单的凭单 (TGT) 验证。
是或 true: 启用 TGT 验证。

缺省情况下，已启用 TGT 验证。当 tgt_verify 选项设置为 no 时，将不执行 TGT 验证，并且不需要传输主机主体密钥的密钥。这样，在使用 KRB5A 模块时，就不需要使用密钥表文件进行认证。其他启用 Kerberos的应用程序可能需要主机和服务主体的密钥表文件。

属性	描述
选项 (续)	您只能将授权 =模块和数据库 =模块值字符串用于复杂的可装入认证模块，这可能需要或与另一个可装入认证模块配合使用以提供新功能。对于复杂模块，授权和仅数据库值无效。您可以将无提示值用于任何类型的模块。
PROGRAM	指定包含实现可装入认证方法的可执行代码的装入模块。
program_64	指定包含可执行代码的装入模块，该可执行代码实现 64 位进程的可装入认证方法。

属性

描述

选项 (续)

您只能将 授权 =模块和 数据库 =模块值字符串用于复杂的可装入认证模块，这可能需要或与另一个可装入认证模块配合使用以提供新功能。

对于复杂模块，授权和 仅数据库 值无效。

您可以将 无提示 值用于任何类型的模块。

PROGRAM

指定包含实现可装入认证方法的可执行代码的装入模块。

program_64

指定包含可执行代码的装入模块，该可执行代码实现 64 位进程的可装入认证方法。

安全性

访问控制: 此文件应仅向 root 用户授予读 (r) 和写 (w) 访问权，并向安全组和所有其他用户授予读 (r) 访问权。

示例

要指示可装入的认证模块位于文件中/usr/lib/security/DCE，请输入:
```
program = /usr/lib/security/DCE
```
要指示可装入认证模块仅应提供认证功能，请输入:
```
options = authonly
```
以下示例包含以下项的配置信息:LDAP简单可装入认证模块:
```
LDAP:
    program = /usr/lib/security/LDAP
    program_64 = /usr/lib/security/LDAP64
```
"LDAP" 节提供模块的名称，该名称由用户的系统和 注册表 属性使用。该名称不必与为程序属性提供的文件名相同。
以下示例包含 KERBEROS 复杂可装入认证模块的配置信息:
```
KERBEROS:
    program = /usr/lib/security/KERBEROS
    program_64 = /usr/lib/security/KERBEROS64
    options = authonly,db=LDAP
```
"KERBEROS" 节提供了用户的系统和 注册表 属性所使用的模块名称。此名称不必与为程序属性给定的文件的名称相同。选项属性指示用户和组信息功能将由 "LDAP" 节所描述的模块执行 3 在示例 3 中)。

文件

/usr/lib/security/methods.cfg: 指定文件路径。
/etc/passwd: 包含基本用户属性。
/etc/security/user: 包含用户的扩展属性。
/usr/dt/README: 包含 dtlogin 信息。