Mandato chuser
Finalidad
Cambia atributos de usuario.
Sintaxis
chuser [ -R módulo_carga ] Atributo=Valor ... NOMBRE
Descripción
El mandato chuser cambia los atributos del usuario identificado por el parámetro Nombre . El nombre de usuario ya debe existir. Para cambiar un atributo, especifique el nombre del atributo y el valor nuevo con el parámetro Atributo=Valor. Los archivos siguientes contienen atributos de usuario local establecidos por este mandato:
- /etc/passwd
- /etc/security/environ
- /etc/security/limits
- /etc/security/user
- /etc/security/user.roles
- /etc/security/audit/config
- /etc/group
- /etc/security/group
Para cambiar los atributos de un usuario con un mecanismo alternativo de identificación y autenticación (I & A), se puede utilizar el distintivo -R para especificar el módulo de carga I & A bajo el que se define el usuario. Si no se especifica el distintivo -R , el mandato chuser trata al usuario como un usuario local. Los módulos de carga se definen en el archivo /usr/lib/security/methods.cfg.
Si especifica un único atributo o valor de atributo incorrecto con el mandato chuser , el mandato no cambia ningún atributo.
Puede utilizar la vía rápida smit chuser de SMIT (System Management Interface Tool) para cambiar las características del usuario.
Cambiar el ID de una cuenta puede comprometer la seguridad del sistema y, como resultado, uno no debería hacerlo. Sin embargo, cuando se cambia el ID utilizando el mandato chuser , la comprobación de colisión de ID también se controla mediante el atributo dist_uniqid en la stanza usw del archivo /etc/security/login.cfg . El comportamiento del control de colisión de ID es el mismo que el descrito para el mandato mkuser .
Restricciones en el cambio de usuarios
Para garantizar la integridad de la información de usuario, se aplican algunas restricciones al utilizar el mandato chuser . Sólo el usuario root o los usuarios con autorización UserAdmin pueden utilizar el mandato chuser para realizar las tareas siguientes:
- Convierta un usuario en un usuario administrativo estableciendo el atributo admin en true.
- Cambie los atributos de un usuario administrativo.
- Añada un usuario a un grupo administrativo.
Un grupo administrativo es un grupo con el atributo admin establecido en true. Los miembros del grupo security pueden cambiar los atributos de usuarios no administrativos y añadir usuarios a grupos no administrativos.
El mandato chuser sólo manipula datos de usuario local. No puede utilizarlo para cambiar datos en servidores de registro como NIS y DCE.
Distintivos
Elemento | Descripción |
---|---|
-R módulo_carga | Especifica el módulo I & A cargable utilizado para cambiar los atributos del usuario. |
Atributos
Si tiene la autorización adecuada, puede establecer los siguientes atributos de usuario:
Elemento | Descripción |
---|---|
cuenta_bloqueado | Indica si la cuenta de usuario está bloqueada. Los valores posibles incluyen:
|
admin | Define el estado administrativo del usuario. Los valores posibles son:
|
admgroups | Define los grupos que administra el usuario. Si el atributo domainlessgroups se establece en el archivo /etc/secvars.cfg , el grupo LDAP (Lightweight Directory Access Protocol) se puede asignar al usuario local y viceversa. Para obtener más información, consulte el archivo /etc/secvars.cfg . El parámetro Valor es una lista separada por comas de nombres de grupo. |
clases de auditoría | Define las clases de auditoría del usuario. El parámetro Valor es una lista de clases separadas por comas, o un valor de ALL para indicar todas las clases de auditoría. |
auth1 | Define los métodos primarios para autenticar el usuario. El parámetro Valor es una lista separada por comas de pares Método;Nombre . El parámetro Método es el nombre del método de autenticación. El parámetro Nombre es el usuario que se va a autenticar. Si no especifica un parámetro Nombre , se utiliza el nombre del programa de inicio de sesión de invocación. Los métodos de autenticación válidos se definen en el archivo /etc/security/login.cfg . De forma predeterminada, se utilizan el método SYSTEM y la autenticación de contraseña local. El método NONE indica que no se realiza ninguna comprobación de autenticación primaria. |
auth2 | Define los métodos secundarios utilizados para autenticar el usuario. El parámetro Valor es una lista separada por comas de pares Método;Nombre . El parámetro Método es el nombre del método de autenticación. El valor del parámetro Nombre es el usuario que se va a autenticar. Si no se especifica este atributo, el valor predeterminado es NONE, lo que indica que no se realiza ninguna comprobación de autenticación secundaria. Los métodos de autenticación válidos se definen en el archivo /etc/security/login.cfg . Si no especifica un parámetro Nombre , se utiliza el nombre del programa de inicio de sesión de invocación. |
Posibilidades | Define los privilegios del sistema (prestaciones) que se otorgan a un usuario mediante los mandatos login o su . Las prestaciones válidas son:
|
núcleo | Especifica el límite flexible para el fichero principal más grande que puede crear un proceso de usuario. El parámetro Valor es un entero que representa el número de bloques de 512 bytes. |
compresión_núcleo | Habilita o inhabilita la compresión de archivos principales. Los valores válidos para este atributo son Activado y Desactivado. Si este atributo tiene un valor de Activado, la compresión está habilitada; de lo contrario, la compresión está inhabilitada. El valor predeterminado de este atributo es Desactivado. |
core_hard | Especifica el archivo principal más grande que puede crear un proceso de usuario. El parámetro Valor es un entero que representa el número de bloques de 512 bytes. |
nombre_núcleo | Selecciona una opción de estrategias de denominación de archivos principales. Los valores válidos para este atributo son Activado y Desactivado. Un valor de Activado habilita la denominación de archivos principales con el formato core.pid.time , que es el mismo que lo que hace la variable de entorno CORE_NAMING . Un valor de Desactivado utiliza el nombre predeterminado de core. |
vía_acceso_núcleo | Habilita o inhabilita la especificación de la vía de acceso de ficheros principales. Los valores válidos para este atributo son Activado y Desactivado. Si este atributo tiene un valor de Activado, los archivos principales se colocarán en el directorio especificado por core_pathname (la característica está habilitada); de lo contrario, los archivos principales se colocarán en el directorio de trabajo actual del usuario. El valor predeterminado de este atributo es Desactivado. |
nombre_vía_acceso_núcleo | Especifica una ubicación que se utilizará para colocar los archivos principales, si el atributo core_path está establecido en Activado. Si no se establece y vía_acceso_núcleo se establece en Activado, los archivos principales se colocarán en el directorio de trabajo actual del usuario. Este atributo está limitado a 256 caracteres. |
cpu | Identifica el límite flexible para la cantidad de tiempo de unidad del sistema más grande (en segundos) que puede crear un proceso de usuario. El parámetro Valor es un entero. Todos los valores negativos se consideran ilimitados. |
cpu_hard | Identifica la cantidad de tiempo de unidad del sistema más grande (en segundos) que puede crear un proceso de usuario. El parámetro Valor es un entero. El valor predeterminado es -1, que desactiva las restricciones. |
daemon | Indica si el usuario especificado por el parámetro Nombre puede ejecutar programas utilizando el daemon cron o el daemon src (controlador de recursos del sistema). Los valores posibles son:
|
Datos | Especifica el límite flexible para el segmento de datos más grande para un proceso de usuario. El parámetro Valor es un entero que representa el número de bloques de 512 bytes. El valor mínimo permitido para este atributo es 1272. Especifique-1 para que sea ilimitado. |
data_hard | Especifica el segmento de datos más grande para un proceso de usuario. El parámetro Valor es un entero que representa el número de bloques de 512 bytes. El valor mínimo permitido para este atributo es 1272. Especifique-1para que sea ilimitado. |
dce_export | Permite que el registro de DCE sobrescriba la información de usuario local con la información de usuario de DCE durante una operación de exportación de DCE. Los valores posibles son:
|
roles predeterminados | Especifica los roles predeterminados para el usuario. El parámetro Value, una lista separada por comas de nombres de roles válidos, solo puede contener los roles asignados al usuario en el atributo roles. Puede utilizar la palabra clave ALL para indicar que los roles predeterminados para el usuario son todos sus roles asignados. |
lista_diccionarios | Define los diccionarios de contraseña que utilizan las restricciones de composición cuando comprueban las nuevas contraseñas. Los diccionarios de contraseñas son una lista de nombres de vía de acceso absoluta separados por comas, evaluados de izquierda a derecha. Todos los archivos y directorios de diccionario deben estar protegidos contra grabación de todos los usuarios excepto root. Los archivos de diccionario tienen un formato de una palabra por línea. La palabra empieza en la primera columna y termina con un carácter de nueva línea. Sólo se da soporte a las palabras ASCII de 7 bits para las contraseñas. Los nombres de usuario no se pueden permitir en el campo de contraseña añadiendo una entrada con la palabra clave $USER en los archivos de diccionario.
Nota: La palabra clave $USER no se puede utilizar como parte de ninguna palabra o patrón para las entradas de los archivos de diccionario.
Cualquier contraseña que coincida con un patrón o expresión regular mencionada en el archivo de diccionario no estará permitida. Para diferenciar entre una palabra y un patrón en el archivo de diccionario, se indica un patrón con * como primer carácter. Por ejemplo, si un administrador desea no permitir ninguna contraseña que termine con 123, esta información debe mencionarse en el archivo de diccionario como la entrada siguiente: *. * 123 La primera parte (*) se utiliza para indicar una entrada de patrón y la parte restante (. * 123) forma el patrón. Si instala la herramienta de proceso de texto en el sistema, el archivo de diccionario recomendado es el archivo /usr/share/dict/words . |
dominios | Define la lista de dominios a los que pertenece el usuario. |
expires | Identifica la fecha de caducidad de la cuenta. El parámetro Valor es una serie de 10 caracteres con el formato MMDDhhmmyy , donde MM = mes, DD = día, hh = hora, mm = minuto, y yy = últimos 2 dígitos de los años 1939 a 2038. Todos los caracteres son numéricos. Si el parámetro Valor es 0, la cuenta no caduca. El valor predeterminado es 0. Consulte el mandato date para obtener más información. |
fsize | Especifica el límite flexible para el archivo más grande que puede crear o ampliar un proceso de usuario. El parámetro Valor es un entero que representa el número de bloques de 512 bytes. Para que los archivos sean mayores que 2G, especifique-1. El valor mínimo para este atributo es 8192. |
fsize_hard | Especifica el archivo más grande que puede crear o ampliar un proceso de usuario. El parámetro Valor es un entero que representa el número de bloques de 512 bytes. Para que los archivos sean mayores que 2G, especifique-1. El valor mínimo para este atributo es 8192. |
gecos | Proporciona información general sobre el usuario especificado por el parámetro Nombre . El parámetro Valor es una serie sin dos puntos incorporados (:). y ningún carácter de nueva línea incorporado. |
Grupos | Identifica los grupos a los que pertenece el usuario. Si el atributo domainlessgroups se establece en el archivo /etc/secvars.cfg , el grupo LDAP se puede asignar al usuario local y viceversa. Para obtener más información, consulte /etc/secvars.cfg. El parámetro Valor es una lista separada por comas de nombres de grupo. |
histexpire | Define el periodo de tiempo (en semanas) en el que un usuario no puede volver a utilizar una contraseña. El valor es una serie de un entero decimal. El valor predeterminado es 0, que indica que no se ha establecido límite de tiempo. Sólo un usuario administrativo puede cambiar este atributo. |
histsize | Define el número de contraseñas anteriores que un usuario no puede reutilizar. El valor es una serie de un entero decimal. El valor predeterminado es 0. Este atributo puede tener un valor comprendido entre 0 y 50. Sólo un usuario administrativo puede cambiar este atributo. |
home | Identifica el directorio de inicio del usuario especificado por el parámetro de nombre. El parámetro Valor es un nombre de vía de acceso completo. |
id | Especifica el ID de usuario. El parámetro Valor es una serie entera exclusiva. El cambio de este atributo compromete la seguridad del sistema y, por este motivo, no debe cambiar este atributo. |
login | Indica si el usuario puede iniciar sesión en el sistema con el mandato login . Los valores posibles son:
|
loginretries | Define el número de intentos de inicio de sesión no satisfactorios permitidos después del último inicio de sesión satisfactorio
antes de que el sistema bloquee la cuenta. El valor es una serie de un entero decimal. Un valor cero o negativo indica que
no existe límite. Una vez bloqueada la cuenta del usuario, el usuario no podrá iniciar la sesión hasta que el administrador del sistema restablezca el atributo unsuccessful_login_count del usuario en el archivo /etc/security/lastlog para que sea menor que el valor de loginretries. Para ello, especifique lo siguiente:
|
Elemento | Descripción |
---|---|
logintimes | Define los días y las horas que el usuario tiene permiso para acceder al sistema. El valor es una lista de entradas separadas por comas en uno de los formatos siguientes:
Los valores posibles para < día> incluyen mon, tues, w, THU, Friday, sat y SUNDAY. Indique el valor de día como cualquier día abreviado de la semana; sin embargo, la abreviatura debe ser exclusiva con respecto a los nombres de día y mes. El rango de días puede ser circular, como por ejemplo de martes a lunes. Los nombres de día no distinguen entre mayúsculas y minúsculas. Los valores posibles para < time> incluyen las horas especificadas en formato militar de 24 horas. Preceda el valor de hora con un: (dos puntos) y especifique una serie de 4 caracteres. Los ceros iniciales son necesarios. Por lo tanto, 0800 (8am) es válido mientras que 800 no lo es. Una entrada que consta de sólo un periodo de tiempo especificado se aplica a cada día. La hora de inicio debe ser menor que la hora de finalización. El periodo de tiempo no puede fluir al día siguiente. Los valores posibles para < mes> incluyen Jan, F, march, apr y s. Indique el valor del mes como cualquier mes abreviado; sin embargo, la abreviatura debe ser exclusiva con respecto a los nombres de día y mes. El rango de meses puede ser circular, como septiembre-junio. Los nombres de mes no distinguen entre mayúsculas y minúsculas. Los valores posibles para < núm_día> incluyen los días 1-31 de un mes. Este valor se compara con el mes especificado. Especifique el valor de mes como una serie de 1 o 2 caracteres. Un mes especificado sin un valor de número de día indica el primer o último día del mes, en función de si el mes es el mes de inicio o final especificado, respectivamente. Entradas con el prefijo! (signo de exclamación) deniega el acceso al sistema y se denominan entradas DENY. Entradas sin el! permitir acceso y se denominan entradas ACCESS. ¡El! El prefijo se aplica a las entradas individuales y debe añadir un prefijo a cada entrada. Actualmente, el sistema permite 200 entradas por usuario. Este atributo está internacionalizado. Los nombres de mes y día se pueden especificar y se muestran en el idioma especificado por las variables de entorno local establecidas para el sistema. El orden relativo de los valores de mes y día también se internacionalizan; se aceptan los formatos < mes> < núm_día> y < núm_día> < mes>. El sistema evalúa las entradas en el orden siguiente:
|
maxage | Define la edad máxima (en semanas) de una contraseña. En ese momento, la contraseña debe cambiarse. El valor es una serie de un entero decimal. El valor predeterminado es 0, que indica que no hay una edad máxima. Rango: 0 a 52 |
maxexpired | Define el período máximo (en semanas) más allá del valor de maxage durante el que el usuario puede cambiar una contraseña caducada. Después de este tiempo definido, sólo un usuario administrativo puede cambiar la contraseña. El valor es una serie de un entero decimal. El valor predeterminado es -1, que indica que se establece una restricción. Si el valor del atributo maxexpired es 0, la contraseña caduca cuando se llega al valor de maxage. Si el valor del atributo maxage es 0, el atributo maxexpired se pasa por alto. Rango: 0 a 52 (un usuario root está exento de maxCaducado) |
maxrepeats | Define el número máximo de veces que se puede repetir un carácter en una contraseña. Dado que el valor 0 no es significativo, el valor predeterminado 8 indica que no hay número máximo. El valor es una serie de un entero decimal. Rango: 0 a 8 |
maxulogs | Especifica el número máximo de inicios de sesión simultáneos por usuario. Si el número de inicio de sesión simultáneo para un usuario supera el número máximo de inicios de sesión permitidos, se deniega el inicio de sesión. |
minage | Define la edad mínima (en semanas) que debe tener una contraseña para que se pueda cambiar. El valor es una serie de un entero decimal. El valor predeterminado es un valor de 0, que indica que no hay una antigüedad mínima. Rango: 0 a 52 |
minalpha | Define el número mínimo de caracteres no alfabéticos que deben haber en una contraseña. El valor es una serie de un entero decimal. El valor predeterminado es 0, que indica que no hay número mínimo. Rango: 0 a 8 |
mindiff | Define el número mínimo de caracteres necesarios en una nueva contraseña que no estaban en la contraseña anterior. El valor es una serie de un entero decimal. El valor predeterminado es 0, que indica que no hay número mínimo. Rango: 0 a 8 |
minlen | Define la longitud mínima de una contraseña. El valor es una serie de un entero decimal. El valor predeterminado es 0, que indica que no hay longitud mínima. El valor máximo permitido es 8. Este atributo lo determina para obtener más información minlen y/o 'minalpha + minother', lo que sea mayor. 'minalpha + minother' nunca debe ser mayor que 8. Si "minalpha + minother" es mayor que 8, el valor efectivo para minother se reduce a '8 - minalpha'. |
minother | Define el número mínimo de caracteres no alfabéticos que debe haber en una contraseña. El valor es una serie de un entero decimal. El valor predeterminado es 0, que indica que no hay número mínimo. Rango: 0 a 8 |
nofiles | Define el límite flexible para el número de descriptores de archivos que podría abrir simultáneamente un proceso de usuario. El parámetro Valor es un entero. |
nofiles_hard | Define el límite fijo para el número de descriptores de archivos que podría abrir simultáneamente un proceso de usuario. El parámetro Valor es un entero. El valor predeterminado es -1, que establece el límite en el máximo permitido por el sistema. |
nproc | Define el límite flexible del número de procesos que un usuario puede ejecutar simultáneamente. El parámetro Valor es un entero igual o mayor que 1. El valor predeterminado es -1, que establece el límite en el máximo permitido por el sistema. |
nproc_hard | Define el límite fijo del número de procesos que un usuario puede ejecutar simultáneamente. El parámetro Valor es un entero igual o mayor que 1. El valor predeterminado es -1, que establece el límite en el máximo permitido por el sistema. |
pgrp | Identifica el grupo primario del usuario. Si el atributo domainlessgroups se establece en el archivo /etc/secvars.cfg , el grupo LDAP se puede asignar como grupo primario al usuario local y viceversa. Para obtener más información, consulte /etc/secvars.cfg. El parámetro Valor debe contener un nombre de grupo válido y no puede ser un valor nulo. |
proyectos | Define la lista de proyectos a la que se puede asignar los procesos de usuario. El valor es una lista de nombres de proyecto separados por comas y se evalúa de izquierda a derecha. El nombre de proyecto debe ser un nombre de proyecto válido tal como se define en el sistema. Si se encuentra un nombre de proyecto no válido en la lista, se notificará como un error. |
pwdchecks | Define los métodos de restricción de contraseñas que se aplican a las nuevas contraseñas. El valor es una lista de nombres de método separados por comas y se evalúa de izquierda a derecha. Un nombre de método es un nombre de vía de acceso absoluta o un nombre de vía de acceso relativo a /usr/lib de un módulo de carga ejecutable. |
pwdwarntime | Define el número de días antes de que el sistema emita un aviso de que se necesita un cambio de contraseña. El valor es una serie de un entero decimal. Un valor cero o negativo indica que no se emite el mensaje. El valor debe ser inferior a la diferencia entre los atributos maxage y minage. Los valores superiores a esta diferencia se pasan por alto y se emite un mensaje cuando se llega al valor de minage. |
rcmds | Controla la ejecución remota de los mandatos r-commands (rsh, rexecy rcp). Los valores posibles son los siguientes:
Nota: El atributo rcmds sólo controla la ejecución de mandatos remotos. No controla la funcionalidad de r-command para abrir un shell remoto. Las funciones de inicio de sesión como esta están controladas por los atributos rlogin, hostsallowedloginy hostsdeniedlogin .
Aunque el valor de atributo de ttys en desuso |
rlogin | Permite el acceso a la cuenta desde una ubicación remota con los mandatos telnet orlogin . Los valores posibles son:
|
roles | Define los roles administrativos para este usuario. El parámetro Value es una lista de nombres de rol, separados por comas. |
rss | Límite flexible para la cantidad más grande de memoria física que puede asignar un proceso de usuario. El parámetro Valor es una serie entera decimal especificada en unidades de bloques de 512 bytes. El sistema no aplica actualmente este valor. |
rss_hard | Cantidad más grande de memoria física que puede asignar un proceso de usuario. El parámetro Valor es una serie entera decimal especificada en unidades de bloques de 512 bytes. El sistema no aplica actualmente este valor. |
shell | Define el programa que se ejecuta para el usuario al inicio de sesión. El parámetro Valor es un nombre de vía de acceso completo. |
pila | Especifica el límite flexible para el segmento de pila de proceso más grande para un proceso de usuario. El parámetro Valor es un entero que representa el número de bloques de 512 bytes que se van a asignar. El valor mínimo permitido para este atributo es 49. |
stack_hard | Especifica el segmento de pila de proceso más grande de un proceso de usuario. El parámetro Valor es un entero que representa el número de bloques de 512 bytes a asignar. El valor mínimo permitido para este atributo es 49. El valor máximo permitido para este parámetro es 2147483647. |
su | Indica si otro usuario puede conmutar a la cuenta de usuario especificada con el mandato su . Los valores posibles son:
|
sugroups | Define los grupos que pueden utilizar el mandato su para conmutar a la cuenta de usuario especificada. El parámetro Valor es una lista separada por comas de nombres de grupo o un valor de ALL que indica todos los grupos. Un signo de exclamación (!) delante de un nombre de grupo excluye ese grupo. Si no se especifica este atributo, todos los grupos pueden conmutar a esta cuenta de usuario utilizando el mandato su . Si el atributo domainlessgroups se establece en el archivo /etc/secvars.cfg , el grupo LDAP se puede asignar al usuario local y viceversa. Para obtener más información, consulte el archivo /etc/secvars.cfg . Nota: Si un usuario pertenece a varios grupos y cualquiera de los grupos se especifica con el signo de exclamación (!), el usuario no puede utilizar el mandato su para acceder a la cuenta de usuario especificada.
|
sysenv | Identifica el entorno de estado del sistema (protegido). El parámetro Valor es un conjunto de pares de Atributo=Valor separados por comas tal como se especifica en /etc/security/environ archivo. |
hilos | Especifica el límite flexible para el número más grande de hebras que puede crear un proceso de usuario. El parámetro Valor es un entero igual o mayor que 1, que representa el número de hebras que puede crear cada proceso de usuario. Este límite lo aplica tanto el kernel como la biblioteca pthread del espacio de usuario. |
threads_hard | Especifica el número más grande posible de hebras que puede crear un proceso de usuario. El parámetro Valor es un entero igual o mayor que 1, que representa el número de hebras que puede crear cada proceso de usuario. Este límite lo aplica tanto el kernel como la biblioteca pthread del espacio de usuario. |
vía_acceso | Indica el estado de vía de acceso fiable del usuario. Los valores posibles son:
|
ttys | Define los terminales que pueden acceder a la cuenta especificada por el parámetro Nombre . El parámetro Valor es una lista separada por comas de nombres completos de vía de acceso o un valor de ALL para indicar todos los terminales. ¡Un! (signo de exclamación) delante de un nombre de terminal excluye dicho terminal. Si no se especifica este atributo, todos los terminales pueden acceder a la cuenta de usuario. |
umask | Determina los permisos de archivo. Este valor, junto con los permisos del proceso de creación, determina los permisos de un archivo cuando se crea el archivo. El valor predeterminado es 022. |
usrenv | Define el entorno de estado del usuario (desprotegido). El parámetro Valor es un conjunto de pares de Atributo=Valor separados por comas tal como se especifica en /etc/security/environ archivo. |
acceso_almacén_claves_efs | Especifica el tipo de base de datos del almacén de claves. Puede especificar los valores siguientes:
Restricción: El atributo sólo es válido cuando el sistema está habilitado para EFS. |
acceso_admins_efs | Representa el tipo de base de datos para el almacén de claves efs_admin . El único valor válido es file. Restricción: El atributo sólo es válido cuando el sistema está habilitado para EFS. |
modalidad_inicialización_efs | Especifica el modo inicial del almacén de claves. Puede especificar los valores siguientes:
El atributo especifica la modalidad inicial del almacén de claves de usuario. Puede utilizar el atributo con el mandato mkuser . Después de crear el almacén de claves, el cambio del valor de atributo con el mandato chuser, chgroupo chsec o la edición manual no cambia la modalidad del almacén de claves a menos que se suprima el almacén de claves y se cree uno nuevo. Para cambiar la modalidad de almacén de claves, utilice el mandato efskeymgr . Restricción: El atributo sólo es válido cuando el sistema está habilitado para EFS. |
efs_allowksmodechangebyuser |
Especifica si se puede cambiar el modo. Puede especificar los valores siguientes:
Restricción: El atributo sólo es válido cuando el sistema está habilitado para EFS. |
efs_keystore_algo | Especifica el algoritmo que se utiliza para general la clave privada del usuario durante la creación del almacén de claves. Puede especificar los valores siguientes:
Puede utilizar el atributo con el mandato mkuser . Después de crear el almacén de claves, el cambio del valor de este atributo con el mandato chuser, chgroupo chsec , o la edición manual no vuelve a generar la clave privada a menos que se suprima el almacén de claves y se cree uno nuevo. Para cambiar el algoritmo de las claves, utilice el mandato efskeymgr . Restricción: El atributo sólo es válido cuando el sistema está habilitado para EFS. |
archivo_efs_algo | Especifica el algoritmo de cifrado para los archivos de usuario. Puede especificar los valores siguientes:
Restricción: El atributo sólo es válido cuando el sistema está habilitado para EFS. |
minsl | Define el nivel mínimo de sensibilidad-autorización que puede poseer el usuario. Nota: Este atributo sólo es válido para De confianza AIX. Los valores válidos se definen en la sección "Espacios libres" del archivo /etc/security/enc/LabelEncodings del sistema. El valor debe estar definido entre comillas si tiene espacios en blanco. El valor minsl debe estar dominado por el valor defsl para el usuario. |
maxsl | Define el nivel máximo de sensibilidad-autorización que puede poseer el usuario. Nota: Este atributo sólo es válido para De confianza AIX. Los valores válidos se definen en la sección "Espacios libres" del archivo /etc/security/enc/LabelEncodings . El valor debe estar definido entre comillas si tiene espacios en blanco. El valor maxsl debe dominar el valor defsl para el usuario. |
defsl | Define el nivel de sensibilidad predeterminado que se le asigna al usuario durante el inicio de sesión. Nota: Este atributo sólo es válido para De confianza AIX. Los valores válidos se definen en la sección "Espacios libres" del archivo /etc/security/enc/LabelEncodings . El valor debe estar definido entre comillas si tiene espacios en blanco. El valor defsl debe dominar el valor minsl y estar dominado por el valor maxsl . |
mintl | Define el nivel mínimo de autorización de integridad que puede poseer el usuario. Nota: Este atributo sólo es válido para De confianza AIX. Los valores válidos se definen en la sección "Etiquetas de sensibilidad" del archivo /etc/security/enc/LabelEncodings . Si la sección "Etiquetas de integridad" opcional está definida en el archivo /etc/security/enc/LabelEncodings , el valor debe ser de esta sección. El valor debe estar definido entre comillas si contiene espacios en blanco. El valor mintl debe estar dominado por el valor deftl para el usuario. |
maxtl | Define el nivel máximo de autorización de integridad que puede poseer el usuario. Nota: Este atributo sólo es válido para De confianza AIX. Los valores válidos se definen en la sección "Etiquetas de sensibilidad" del archivo /etc/security/enc/LabelEncodings . Si la sección "Etiquetas de integridad" opcional está definida en el archivo /etc/security/enc/LabelEncodings , el valor debe ser de esta sección. El valor debe estar definido entre comillas si contiene espacios en blanco. El valor maxtl debe dominar el valor deftl para el usuario. |
deftl | Define el nivel de autorización de integración predeterminado que se le asigna al usuario durante el inicio de sesión. Nota: Este atributo sólo es válido para De confianza AIX. Los valores válidos se definen en la sección "Etiquetas de sensibilidad" del archivo /etc/security/enc/LabelEncodings . Si la sección "Etiquetas de integridad" opcional está definida en el archivo /etc/security/enc/LabelEncodings , el valor debe ser de esta sección. El valor debe estar definido entre comillas si contiene espacios en blanco. El valor deftl debe dominar el valor mintl y estar dominado por el valor maxtl . |
minloweralpha | Define el número mínimo de caracteres alfabéticos en minúsculas que deben estar en una nueva contraseña. El valor es una serie de un entero decimal. El valor predeterminado es 0, que indica que no hay número mínimo. Rango: 0 a PW_PASSLEN. |
minupperalpha | Define el número mínimo de caracteres alfabéticos en mayúsculas que deben estar en una nueva contraseña. El valor es una serie de un entero decimal. El valor predeterminado es un valor de 0,indicating no hay número mínimo. Rango: 0 a PW_PASSLEN. |
mindigit | Define el número mínimo de dígitos que deben estar en una nueva contraseña. El valor es una serie de un entero decimal. El valor predeterminado es 0, que indica que no hay número mínimo. Rango: 0 a PW_PASSLEN. |
minspecialchar | Define el número mínimo de caracteres especiales que deben estar en una contraseña nueva. El valor es una serie de un entero decimal. El valor predeterminado es 0, que indica que no hay número mínimo. Rango: 0 a PW_PASSLEN. |
Seguridad
Control de accesos
Este mandato debe otorgar acceso de ejecución (x) sólo al usuario root y al grupo de seguridad. Este mandato debe instalarse como un programa en la base de cálculo fiable (TCB). El mandato debe ser propiedad del usuario root con el conjunto de bits setuid (SUID).
En un sistema Trusted AIX , solo los usuarios con la autorización aix.mls.clear.write pueden modificar los atributos minsl, maxsl, defsl, mintl, maxtl y deftl.
Sucesos de auditoría
Suceso | Información |
---|---|
USER_Change | usuario, atributos |
Archivos accedidos
Modo | Archivo |
---|---|
rw | /etc/passwd |
rw | /etc/security/user |
rw | /etc/security/user.roles |
rw | /etc/security/limits |
rw | /etc/security/environ |
rw | /etc/security/audit/config |
rw | /etc/group |
rw | /etc/security/group |
:NONE. | /etc/security/enc/LabelEncodings |
:NONE. | /etc/security/domains |
- aix.security.user.audit
- aix.security.role.assign
- aix.security.group.change
Limitaciones
El cambio de los atributos de un usuario puede no estar soportado por todos los módulos de I & A cargables. Si el módulo I & A cargable no da soporte a la modificación de los atributos de un usuario, se informa de un error.
Ejemplos
- Para habilitar el usuariosmithpara acceder a este sistema de forma remota, escriba:
chuser rlogin=true smith
- Para cambiar la fecha de caducidad deldaviscuenta de usuario a 8 a.m., 1 de mayo de 1995, tipo:
chuser expires=0501080095 davis
- Para añadirdavisa los gruposfinanceyaccounting, escriba:
chuser groups=finance,accounting davis
- Para cambiar el usuariodavis, que se ha creado con el módulo de carga LDAP, para que no se le permita el acceso remoto, escriba:
chuser -R LDAP rlogin=false davis
- Para cambiar los dominios del usuariodavis, escriba:
chuser domains=INTRANET,APPLICATION davis
- Para desestablecer los roles del usuariodavis, escriba:
chuser roles=" " davis
Archivos
Elemento | Descripción |
---|---|
/usr/bin/chuser | Contiene el mandato chuser . |
/etc/passwd | Contiene los atributos básicos de los usuarios. |
/etc/group | Contiene los atributos básicos de los grupos. |
/etc/security/group | Contiene los atributos ampliados de grupos. |
/etc/security/user | Contiene los atributos ampliados de los usuarios. |
/etc/security/user.roles | Contiene los atributos de rol administrativo de los usuarios. |
/etc/security/lastlog | Contiene los últimos atributos de inicio de sesión de los usuarios. |
/etc/security/limits | Define cuotas y límites de recursos para cada usuario. |
/etc/security/audit/config | Contiene información de configuración de auditoría. |
/etc/security/environ | Contiene los atributos de entorno de los usuarios. |
/etc/security/enc/LabelEncodings | Contiene las definiciones de etiqueta para el sistema Trusted AIX . |
/etc/security/domains | Contiene las definiciones de dominio válidas para el sistema. |