Mandato chuser

Editar en línea

Finalidad

Cambia atributos de usuario.

Sintaxis

chuser [ -R módulo_carga ] Atributo=Valor ... NOMBRE

Descripción

Atención: No utilice el mandato chuser si tiene una base de datos NIS (Network Information Service) instalada en el sistema.

El mandato chuser cambia los atributos del usuario identificado por el parámetro Nombre . El nombre de usuario ya debe existir. Para cambiar un atributo, especifique el nombre del atributo y el valor nuevo con el parámetro Atributo=Valor. Los archivos siguientes contienen atributos de usuario local establecidos por este mandato:

  • /etc/passwd
  • /etc/security/environ
  • /etc/security/limits
  • /etc/security/user
  • /etc/security/user.roles
  • /etc/security/audit/config
  • /etc/group
  • /etc/security/group

Para cambiar los atributos de un usuario con un mecanismo alternativo de identificación y autenticación (I & A), se puede utilizar el distintivo -R para especificar el módulo de carga I & A bajo el que se define el usuario. Si no se especifica el distintivo -R , el mandato chuser trata al usuario como un usuario local. Los módulos de carga se definen en el archivo /usr/lib/security/methods.cfg.

Si especifica un único atributo o valor de atributo incorrecto con el mandato chuser , el mandato no cambia ningún atributo.

Puede utilizar la vía rápida smit chuser de SMIT (System Management Interface Tool) para cambiar las características del usuario.

Cambiar el ID de una cuenta puede comprometer la seguridad del sistema y, como resultado, uno no debería hacerlo. Sin embargo, cuando se cambia el ID utilizando el mandato chuser , la comprobación de colisión de ID también se controla mediante el atributo dist_uniqid en la stanza usw del archivo /etc/security/login.cfg . El comportamiento del control de colisión de ID es el mismo que el descrito para el mandato mkuser .

Restricciones en el cambio de usuarios

Para garantizar la integridad de la información de usuario, se aplican algunas restricciones al utilizar el mandato chuser . Sólo el usuario root o los usuarios con autorización UserAdmin pueden utilizar el mandato chuser para realizar las tareas siguientes:

  • Convierta un usuario en un usuario administrativo estableciendo el atributo admin en true.
  • Cambie los atributos de un usuario administrativo.
  • Añada un usuario a un grupo administrativo.

Un grupo administrativo es un grupo con el atributo admin establecido en true. Los miembros del grupo security pueden cambiar los atributos de usuarios no administrativos y añadir usuarios a grupos no administrativos.

El mandato chuser sólo manipula datos de usuario local. No puede utilizarlo para cambiar datos en servidores de registro como NIS y DCE.

Distintivos

Elemento Descripción
-R módulo_carga Especifica el módulo I & A cargable utilizado para cambiar los atributos del usuario.

Atributos

Si tiene la autorización adecuada, puede establecer los siguientes atributos de usuario:

Elemento Descripción
cuenta_bloqueado Indica si la cuenta de usuario está bloqueada. Los valores posibles incluyen:
true
La cuenta del usuario está bloqueada. Los valores yes, truey always son equivalentes. El usuario no tiene acceso al sistema.
false
La cuenta del usuario no está bloqueada. Los valores no, falsey never son equivalentes. El usuario tiene acceso al sistema. Es el valor predeterminado.
admin Define el estado administrativo del usuario. Los valores posibles son:
true
El usuario es un administrador. Sólo el usuario root puede cambiar los atributos de los usuarios definidos como administradores.
false
El usuario no es un administrador. Es el valor predeterminado.
admgroups Define los grupos que administra el usuario. Si el atributo domainlessgroups se establece en el archivo /etc/secvars.cfg , el grupo LDAP (Lightweight Directory Access Protocol) se puede asignar al usuario local y viceversa. Para obtener más información, consulte el archivo /etc/secvars.cfg . El parámetro Valor es una lista separada por comas de nombres de grupo.
clases de auditoría Define las clases de auditoría del usuario. El parámetro Valor es una lista de clases separadas por comas, o un valor de ALL para indicar todas las clases de auditoría.
auth1 Define los métodos primarios para autenticar el usuario. El parámetro Valor es una lista separada por comas de pares Método;Nombre . El parámetro Método es el nombre del método de autenticación. El parámetro Nombre es el usuario que se va a autenticar. Si no especifica un parámetro Nombre , se utiliza el nombre del programa de inicio de sesión de invocación.

Los métodos de autenticación válidos se definen en el archivo /etc/security/login.cfg . De forma predeterminada, se utilizan el método SYSTEM y la autenticación de contraseña local. El método NONE indica que no se realiza ninguna comprobación de autenticación primaria.
auth2 Define los métodos secundarios utilizados para autenticar el usuario. El parámetro Valor es una lista separada por comas de pares Método;Nombre . El parámetro Método es el nombre del método de autenticación. El valor del parámetro Nombre es el usuario que se va a autenticar.

Si no se especifica este atributo, el valor predeterminado es NONE, lo que indica que no se realiza ninguna comprobación de autenticación secundaria. Los métodos de autenticación válidos se definen en el archivo /etc/security/login.cfg . Si no especifica un parámetro Nombre , se utiliza el nombre del programa de inicio de sesión de invocación.
Posibilidades Define los privilegios del sistema (prestaciones) que se otorgan a un usuario mediante los mandatos login o su . Las prestaciones válidas son:
CAP_AACCT
Operaciones de contabilidad avanzada realizadas.
CAP_ARM_APLICACIÓN
Un proceso tiene la capacidad de utilizar los servicios ARM (Application Response Measurement).
CAP_BYPASS_RAC_VMM
Un proceso tiene la capacidad de omitir restricciones sobre el uso de recursos VMM.
CAP_EWLM_AGENTE
Un proceso tiene la capacidad de utilizar los servicios del sistema EWLM (Enterprise Workload Manager) AIX®. Esta prestación normalmente sólo se otorga al ID de usuario que ejecuta el componente de servidor gestionado del producto EWLM.
CAP_ADJUNTO_NUMA_ADJUNTO
Un proceso tiene la capacidad de enlazar con recursos específicos.
CAP_PROPAGATO
Todos los procesos hijo heredan todas las prestaciones.
El valor es una lista separada por comas de cero o más nombres de capacidad.
núcleo Especifica el límite flexible para el fichero principal más grande que puede crear un proceso de usuario. El parámetro Valor es un entero que representa el número de bloques de 512 bytes.
compresión_núcleo Habilita o inhabilita la compresión de archivos principales. Los valores válidos para este atributo son Activado y Desactivado. Si este atributo tiene un valor de Activado, la compresión está habilitada; de lo contrario, la compresión está inhabilitada. El valor predeterminado de este atributo es Desactivado.
core_hard Especifica el archivo principal más grande que puede crear un proceso de usuario. El parámetro Valor es un entero que representa el número de bloques de 512 bytes.
nombre_núcleo Selecciona una opción de estrategias de denominación de archivos principales. Los valores válidos para este atributo son Activado y Desactivado. Un valor de Activado habilita la denominación de archivos principales con el formato core.pid.time, que es el mismo que lo que hace la variable de entorno CORE_NAMING . Un valor de Desactivado utiliza el nombre predeterminado de core.
vía_acceso_núcleo Habilita o inhabilita la especificación de la vía de acceso de ficheros principales. Los valores válidos para este atributo son Activado y Desactivado. Si este atributo tiene un valor de Activado, los archivos principales se colocarán en el directorio especificado por core_pathname (la característica está habilitada); de lo contrario, los archivos principales se colocarán en el directorio de trabajo actual del usuario. El valor predeterminado de este atributo es Desactivado.
nombre_vía_acceso_núcleo Especifica una ubicación que se utilizará para colocar los archivos principales, si el atributo core_path está establecido en Activado. Si no se establece y vía_acceso_núcleo se establece en Activado, los archivos principales se colocarán en el directorio de trabajo actual del usuario. Este atributo está limitado a 256 caracteres.
cpu Identifica el límite flexible para la cantidad de tiempo de unidad del sistema más grande (en segundos) que puede crear un proceso de usuario. El parámetro Valor es un entero. Todos los valores negativos se consideran ilimitados.
cpu_hard Identifica la cantidad de tiempo de unidad del sistema más grande (en segundos) que puede crear un proceso de usuario. El parámetro Valor es un entero. El valor predeterminado es -1, que desactiva las restricciones.
daemon Indica si el usuario especificado por el parámetro Nombre puede ejecutar programas utilizando el daemon cron o el daemon src (controlador de recursos del sistema). Los valores posibles son:
true
El usuario puede iniciar sesiones cron y src . Este es el valor por omisión.
false
El usuario no puede iniciar las sesiones cron y src .
Datos Especifica el límite flexible para el segmento de datos más grande para un proceso de usuario. El parámetro Valor es un entero que representa el número de bloques de 512 bytes. El valor mínimo permitido para este atributo es 1272. Especifique-1 para que sea ilimitado.
data_hard Especifica el segmento de datos más grande para un proceso de usuario. El parámetro Valor es un entero que representa el número de bloques de 512 bytes. El valor mínimo permitido para este atributo es 1272. Especifique-1para que sea ilimitado.
dce_export Permite que el registro de DCE sobrescriba la información de usuario local con la información de usuario de DCE durante una operación de exportación de DCE. Los valores posibles son:
true
La información de usuario local se sobrescribe.
false
La información de usuario local no se sobrescribe.
roles predeterminados Especifica los roles predeterminados para el usuario. El parámetro Value, una lista separada por comas de nombres de roles válidos, solo puede contener los roles asignados al usuario en el atributo roles. Puede utilizar la palabra clave ALL para indicar que los roles predeterminados para el usuario son todos sus roles asignados.
lista_diccionarios Define los diccionarios de contraseña que utilizan las restricciones de composición cuando comprueban las nuevas contraseñas.

Los diccionarios de contraseñas son una lista de nombres de vía de acceso absoluta separados por comas, evaluados de izquierda a derecha. Todos los archivos y directorios de diccionario deben estar protegidos contra grabación de todos los usuarios excepto root. Los archivos de diccionario tienen un formato de una palabra por línea. La palabra empieza en la primera columna y termina con un carácter de nueva línea. Sólo se da soporte a las palabras ASCII de 7 bits para las contraseñas.

Los nombres de usuario no se pueden permitir en el campo de contraseña añadiendo una entrada con la palabra clave $USER en los archivos de diccionario.
Nota: La palabra clave $USER no se puede utilizar como parte de ninguna palabra o patrón para las entradas de los archivos de diccionario.

Cualquier contraseña que coincida con un patrón o expresión regular mencionada en el archivo de diccionario no estará permitida.

Para diferenciar entre una palabra y un patrón en el archivo de diccionario, se indica un patrón con * como primer carácter. Por ejemplo, si un administrador desea no permitir ninguna contraseña que termine con 123, esta información debe mencionarse en el archivo de diccionario como la entrada siguiente:

*. * 123

La primera parte (*) se utiliza para indicar una entrada de patrón y la parte restante (. * 123) forma el patrón.

Si instala la herramienta de proceso de texto en el sistema, el archivo de diccionario recomendado es el archivo /usr/share/dict/words .
dominios Define la lista de dominios a los que pertenece el usuario.
expires Identifica la fecha de caducidad de la cuenta. El parámetro Valor es una serie de 10 caracteres con el formato MMDDhhmmyy , donde MM = mes, DD = día, hh = hora, mm = minuto, y yy = últimos 2 dígitos de los años 1939 a 2038. Todos los caracteres son numéricos. Si el parámetro Valor es 0, la cuenta no caduca. El valor predeterminado es 0. Consulte el mandato date para obtener más información.
fsize Especifica el límite flexible para el archivo más grande que puede crear o ampliar un proceso de usuario. El parámetro Valor es un entero que representa el número de bloques de 512 bytes. Para que los archivos sean mayores que 2G, especifique-1. El valor mínimo para este atributo es 8192.
fsize_hard Especifica el archivo más grande que puede crear o ampliar un proceso de usuario. El parámetro Valor es un entero que representa el número de bloques de 512 bytes. Para que los archivos sean mayores que 2G, especifique-1. El valor mínimo para este atributo es 8192.
gecos Proporciona información general sobre el usuario especificado por el parámetro Nombre . El parámetro Valor es una serie sin dos puntos incorporados (:). y ningún carácter de nueva línea incorporado.
Grupos Identifica los grupos a los que pertenece el usuario. Si el atributo domainlessgroups se establece en el archivo /etc/secvars.cfg , el grupo LDAP se puede asignar al usuario local y viceversa. Para obtener más información, consulte /etc/secvars.cfg. El parámetro Valor es una lista separada por comas de nombres de grupo.
histexpire Define el periodo de tiempo (en semanas) en el que un usuario no puede volver a utilizar una contraseña. El valor es una serie de un entero decimal. El valor predeterminado es 0, que indica que no se ha establecido límite de tiempo. Sólo un usuario administrativo puede cambiar este atributo.
histsize Define el número de contraseñas anteriores que un usuario no puede reutilizar. El valor es una serie de un entero decimal. El valor predeterminado es 0. Este atributo puede tener un valor comprendido entre 0 y 50. Sólo un usuario administrativo puede cambiar este atributo.
home Identifica el directorio de inicio del usuario especificado por el parámetro de nombre. El parámetro Valor es un nombre de vía de acceso completo.
id Especifica el ID de usuario. El parámetro Valor es una serie entera exclusiva. El cambio de este atributo compromete la seguridad del sistema y, por este motivo, no debe cambiar este atributo.
login Indica si el usuario puede iniciar sesión en el sistema con el mandato login . Los valores posibles son:
true
El usuario puede iniciar sesión en el sistema. Este es el valor por omisión.
false
El usuario no puede iniciar sesión en el sistema.
loginretries Define el número de intentos de inicio de sesión no satisfactorios permitidos después del último inicio de sesión satisfactorio antes de que el sistema bloquee la cuenta. El valor es una serie de un entero decimal. Un valor cero o negativo indica que no existe límite. Una vez bloqueada la cuenta del usuario, el usuario no podrá iniciar la sesión hasta que el administrador del sistema restablezca el atributo unsuccessful_login_count del usuario en el archivo /etc/security/lastlog para que sea menor que el valor de loginretries. Para ello, especifique lo siguiente:
chsec -f /etc/security/lastlog -s username -a \  
unsuccessful_login_count=0
Elemento Descripción
logintimes Define los días y las horas que el usuario tiene permiso para acceder al sistema. El valor es una lista de entradas separadas por comas en uno de los formatos siguientes:
[!]:<time>-<time>
 
[!]<day>[-<day>][:<time>-<time>]
 
[!]<month>[<daynum>][-<month>[<daynum>]][:<time>-<time>]

Los valores posibles para < día> incluyen mon, tues, w, THU, Friday, sat y SUNDAY. Indique el valor de día como cualquier día abreviado de la semana; sin embargo, la abreviatura debe ser exclusiva con respecto a los nombres de día y mes. El rango de días puede ser circular, como por ejemplo de martes a lunes. Los nombres de día no distinguen entre mayúsculas y minúsculas.

Los valores posibles para < time> incluyen las horas especificadas en formato militar de 24 horas. Preceda el valor de hora con un: (dos puntos) y especifique una serie de 4 caracteres. Los ceros iniciales son necesarios. Por lo tanto, 0800 (8am) es válido mientras que 800 no lo es. Una entrada que consta de sólo un periodo de tiempo especificado se aplica a cada día. La hora de inicio debe ser menor que la hora de finalización. El periodo de tiempo no puede fluir al día siguiente.

Los valores posibles para < mes> incluyen Jan, F, march, apr y s. Indique el valor del mes como cualquier mes abreviado; sin embargo, la abreviatura debe ser exclusiva con respecto a los nombres de día y mes. El rango de meses puede ser circular, como septiembre-junio. Los nombres de mes no distinguen entre mayúsculas y minúsculas.

Los valores posibles para < núm_día> incluyen los días 1-31 de un mes. Este valor se compara con el mes especificado. Especifique el valor de mes como una serie de 1 o 2 caracteres. Un mes especificado sin un valor de número de día indica el primer o último día del mes, en función de si el mes es el mes de inicio o final especificado, respectivamente.

Entradas con el prefijo! (signo de exclamación) deniega el acceso al sistema y se denominan entradas DENY. Entradas sin el! permitir acceso y se denominan entradas ACCESS. ¡El! El prefijo se aplica a las entradas individuales y debe añadir un prefijo a cada entrada. Actualmente, el sistema permite 200 entradas por usuario.

Este atributo está internacionalizado. Los nombres de mes y día se pueden especificar y se muestran en el idioma especificado por las variables de entorno local establecidas para el sistema. El orden relativo de los valores de mes y día también se internacionalizan; se aceptan los formatos < mes> < núm_día> y < núm_día> < mes>.

El sistema evalúa las entradas en el orden siguiente:

  1. Todas las entradas DENY. Si una entrada coincide con la hora del sistema, se deniega el acceso al usuario y no se procesan las entradas ALLOW.
  2. Todas las entradas ALLOW, si no existen entradas DENY. Si una entrada ALLOW coincide con la hora del sistema, se permite el acceso al usuario. Si una entrada ALLOW no coincide con la hora del sistema, se deniega el acceso al usuario. Si no existe ninguna entrada ALLOW, el usuario tiene permiso para iniciar la sesión.
maxage Define la edad máxima (en semanas) de una contraseña. En ese momento, la contraseña debe cambiarse. El valor es una serie de un entero decimal. El valor predeterminado es 0, que indica que no hay una edad máxima. Rango: 0 a 52
maxexpired Define el período máximo (en semanas) más allá del valor de maxage durante el que el usuario puede cambiar una contraseña caducada. Después de este tiempo definido, sólo un usuario administrativo puede cambiar la contraseña. El valor es una serie de un entero decimal. El valor predeterminado es -1, que indica que se establece una restricción. Si el valor del atributo maxexpired es 0, la contraseña caduca cuando se llega al valor de maxage. Si el valor del atributo maxage es 0, el atributo maxexpired se pasa por alto. Rango: 0 a 52 (un usuario root está exento de maxCaducado)
maxrepeats Define el número máximo de veces que se puede repetir un carácter en una contraseña. Dado que el valor 0 no es significativo, el valor predeterminado 8 indica que no hay número máximo. El valor es una serie de un entero decimal. Rango: 0 a 8
maxulogs Especifica el número máximo de inicios de sesión simultáneos por usuario. Si el número de inicio de sesión simultáneo para un usuario supera el número máximo de inicios de sesión permitidos, se deniega el inicio de sesión.
minage Define la edad mínima (en semanas) que debe tener una contraseña para que se pueda cambiar. El valor es una serie de un entero decimal. El valor predeterminado es un valor de 0, que indica que no hay una antigüedad mínima. Rango: 0 a 52
minalpha Define el número mínimo de caracteres no alfabéticos que deben haber en una contraseña. El valor es una serie de un entero decimal. El valor predeterminado es 0, que indica que no hay número mínimo. Rango: 0 a 8
mindiff Define el número mínimo de caracteres necesarios en una nueva contraseña que no estaban en la contraseña anterior. El valor es una serie de un entero decimal. El valor predeterminado es 0, que indica que no hay número mínimo. Rango: 0 a 8
minlen Define la longitud mínima de una contraseña. El valor es una serie de un entero decimal. El valor predeterminado es 0, que indica que no hay longitud mínima. El valor máximo permitido es 8. Este atributo lo determina para obtener más información minlen y/o 'minalpha + minother', lo que sea mayor. 'minalpha + minother' nunca debe ser mayor que 8. Si "minalpha + minother" es mayor que 8, el valor efectivo para minother se reduce a '8 - minalpha'.
minother Define el número mínimo de caracteres no alfabéticos que debe haber en una contraseña. El valor es una serie de un entero decimal. El valor predeterminado es 0, que indica que no hay número mínimo. Rango: 0 a 8
nofiles Define el límite flexible para el número de descriptores de archivos que podría abrir simultáneamente un proceso de usuario. El parámetro Valor es un entero.
nofiles_hard Define el límite fijo para el número de descriptores de archivos que podría abrir simultáneamente un proceso de usuario. El parámetro Valor es un entero. El valor predeterminado es -1, que establece el límite en el máximo permitido por el sistema.
nproc Define el límite flexible del número de procesos que un usuario puede ejecutar simultáneamente. El parámetro Valor es un entero igual o mayor que 1. El valor predeterminado es -1, que establece el límite en el máximo permitido por el sistema.
nproc_hard Define el límite fijo del número de procesos que un usuario puede ejecutar simultáneamente. El parámetro Valor es un entero igual o mayor que 1. El valor predeterminado es -1, que establece el límite en el máximo permitido por el sistema.
pgrp Identifica el grupo primario del usuario. Si el atributo domainlessgroups se establece en el archivo /etc/secvars.cfg , el grupo LDAP se puede asignar como grupo primario al usuario local y viceversa. Para obtener más información, consulte /etc/secvars.cfg. El parámetro Valor debe contener un nombre de grupo válido y no puede ser un valor nulo.
proyectos Define la lista de proyectos a la que se puede asignar los procesos de usuario. El valor es una lista de nombres de proyecto separados por comas y se evalúa de izquierda a derecha. El nombre de proyecto debe ser un nombre de proyecto válido tal como se define en el sistema. Si se encuentra un nombre de proyecto no válido en la lista, se notificará como un error.
pwdchecks Define los métodos de restricción de contraseñas que se aplican a las nuevas contraseñas. El valor es una lista de nombres de método separados por comas y se evalúa de izquierda a derecha. Un nombre de método es un nombre de vía de acceso absoluta o un nombre de vía de acceso relativo a /usr/lib de un módulo de carga ejecutable.
pwdwarntime Define el número de días antes de que el sistema emita un aviso de que se necesita un cambio de contraseña. El valor es una serie de un entero decimal. Un valor cero o negativo indica que no se emite el mensaje. El valor debe ser inferior a la diferencia entre los atributos maxage y minage. Los valores superiores a esta diferencia se pasan por alto y se emite un mensaje cuando se llega al valor de minage.
rcmds Controla la ejecución remota de los mandatos r-commands (rsh, rexecy rcp). Los valores posibles son los siguientes:
allow
Permite a este usuario realizar la ejecución de mandatos remotos. Es el valor predeterminado.
deny
Deniega a este usuario la posibilidad de utilizar la ejecución de mandatos remotos.
hostlogincontrol
Especifica que la capacidad de ejecución de mandatos remotos viene determinada por los atributos hostsallowedlogin y hostsdeniedlogin . El usuario sólo tiene permiso para ejecutar mandatos remotos en un sistema de destino si el usuario (o usuario de destino) tiene permiso para iniciar sesión en el sistema de destino. Este valor se utiliza normalmente para los usuarios definidos en una base de datos de usuarios centralizada, como LDAP, donde el usuario puede tener permiso para iniciar sesión en algunos sistemas, pero no en otros.
hostsallowedlogin
Permite al usuario iniciar sesión en los hosts especificados.
hostsdeniedlogin
El usuario no tiene permiso para iniciar sesión en los hosts especificados.
Nota: El atributo rcmds sólo controla la ejecución de mandatos remotos. No controla la funcionalidad de r-command para abrir un shell remoto. Las funciones de inicio de sesión como esta están controladas por los atributos rlogin, hostsallowedloginy hostsdeniedlogin .

Aunque el valor de atributo de ttys en desuso !rsh, que es de hecho el mismo que establecer el atributo rcmds en deny, sigue estando soportado para fines de compatibilidad con versiones anteriores, el atributo rcmds debe utilizarse en su lugar para controlar la ejecución de r-commands.
rlogin Permite el acceso a la cuenta desde una ubicación remota con los mandatos telnet orlogin . Los valores posibles son:
true
Se puede acceder a la cuenta de usuario de forma remota. Este es el valor predeterminado de rlogin .
false
No se puede acceder al usuario de forma remota.
roles Define los roles administrativos para este usuario. El parámetro Value es una lista de nombres de rol, separados por comas.
rss Límite flexible para la cantidad más grande de memoria física que puede asignar un proceso de usuario. El parámetro Valor es una serie entera decimal especificada en unidades de bloques de 512 bytes. El sistema no aplica actualmente este valor.
rss_hard Cantidad más grande de memoria física que puede asignar un proceso de usuario. El parámetro Valor es una serie entera decimal especificada en unidades de bloques de 512 bytes. El sistema no aplica actualmente este valor.
shell Define el programa que se ejecuta para el usuario al inicio de sesión. El parámetro Valor es un nombre de vía de acceso completo.
pila Especifica el límite flexible para el segmento de pila de proceso más grande para un proceso de usuario. El parámetro Valor es un entero que representa el número de bloques de 512 bytes que se van a asignar. El valor mínimo permitido para este atributo es 49.
stack_hard Especifica el segmento de pila de proceso más grande de un proceso de usuario. El parámetro Valor es un entero que representa el número de bloques de 512 bytes a asignar. El valor mínimo permitido para este atributo es 49. El valor máximo permitido para este parámetro es 2147483647.
su Indica si otro usuario puede conmutar a la cuenta de usuario especificada con el mandato su . Los valores posibles son:
true
Otro usuario puede cambiar a la cuenta especificada. Este es el valor por omisión.
false
Otro usuario no puede cambiar a la cuenta especificada.
sugroups Define los grupos que pueden utilizar el mandato su para conmutar a la cuenta de usuario especificada. El parámetro Valor es una lista separada por comas de nombres de grupo o un valor de ALL que indica todos los grupos. Un signo de exclamación (!) delante de un nombre de grupo excluye ese grupo. Si no se especifica este atributo, todos los grupos pueden conmutar a esta cuenta de usuario utilizando el mandato su . Si el atributo domainlessgroups se establece en el archivo /etc/secvars.cfg , el grupo LDAP se puede asignar al usuario local y viceversa. Para obtener más información, consulte el archivo /etc/secvars.cfg .
Nota: Si un usuario pertenece a varios grupos y cualquiera de los grupos se especifica con el signo de exclamación (!), el usuario no puede utilizar el mandato su para acceder a la cuenta de usuario especificada.
sysenv Identifica el entorno de estado del sistema (protegido). El parámetro Valor es un conjunto de pares de Atributo=Valor separados por comas tal como se especifica en /etc/security/environ archivo.
hilos Especifica el límite flexible para el número más grande de hebras que puede crear un proceso de usuario. El parámetro Valor es un entero igual o mayor que 1, que representa el número de hebras que puede crear cada proceso de usuario. Este límite lo aplica tanto el kernel como la biblioteca pthread del espacio de usuario.
threads_hard Especifica el número más grande posible de hebras que puede crear un proceso de usuario. El parámetro Valor es un entero igual o mayor que 1, que representa el número de hebras que puede crear cada proceso de usuario. Este límite lo aplica tanto el kernel como la biblioteca pthread del espacio de usuario.
vía_acceso Indica el estado de vía de acceso fiable del usuario. Los valores posibles son:
Siempre
El usuario sólo puede ejecutar procesos de confianza. Esto implica que el programa inicial del usuario está en el shell de confianza o algún otro proceso de confianza.
sin tsh
El usuario no puede invocar el shell de confianza en una vía de acceso de confianza. Si el usuario especifica la clave de atención segura (SAK) después de iniciar la sesión, la sesión de inicio de sesión finaliza.
nosak
La tecla de atención segura (SAK) está inhabilitada para todos los procesos ejecutados por el usuario. Utilice este valor si el usuario transfiere datos binarios que pueden contener la secuencia SAK. Es el valor predeterminado.
activado
El usuario tiene características de vía de acceso de confianza normales y puede invocar una vía de acceso de confianza (especificar un shell de confianza) con la clave de atención segura (SAK).
ttys Define los terminales que pueden acceder a la cuenta especificada por el parámetro Nombre . El parámetro Valor es una lista separada por comas de nombres completos de vía de acceso o un valor de ALL para indicar todos los terminales. ¡Un! (signo de exclamación) delante de un nombre de terminal excluye dicho terminal. Si no se especifica este atributo, todos los terminales pueden acceder a la cuenta de usuario.
umask Determina los permisos de archivo. Este valor, junto con los permisos del proceso de creación, determina los permisos de un archivo cuando se crea el archivo. El valor predeterminado es 022.
usrenv Define el entorno de estado del usuario (desprotegido). El parámetro Valor es un conjunto de pares de Atributo=Valor separados por comas tal como se especifica en /etc/security/environ archivo.
acceso_almacén_claves_efs Especifica el tipo de base de datos del almacén de claves. Puede especificar los valores siguientes:
Archivo
Crea el archivo de almacén de claves /var/efs/users/nombre_usuario/keystore asociado con el usuario.
Ninguno
No se ha creado el almacén de claves. Todos los demás atributos de almacén de claves no tienen ningún efecto.
El valor predeterminado es file.

Restricción: El atributo sólo es válido cuando el sistema está habilitado para EFS.
acceso_admins_efs Representa el tipo de base de datos para el almacén de claves efs_admin . El único valor válido es file.

Restricción: El atributo sólo es válido cuando el sistema está habilitado para EFS.
modalidad_inicialización_efs Especifica el modo inicial del almacén de claves. Puede especificar los valores siguientes:
admin
Los usuarios root u otros usuarios del sistema con privilegios de seguridad pueden abrir el almacén de claves utilizando la clave de administración y restablecer la contraseña del almacén de claves.
Guardia
Los usuarios root no pueden abrir el almacén de claves utilizando la clave de administrador o restablecer la contraseña del almacén de claves.
El valor predeterminado es admin.

El atributo especifica la modalidad inicial del almacén de claves de usuario. Puede utilizar el atributo con el mandato mkuser . Después de crear el almacén de claves, el cambio del valor de atributo con el mandato chuser, chgroupo chsec o la edición manual no cambia la modalidad del almacén de claves a menos que se suprima el almacén de claves y se cree uno nuevo. Para cambiar la modalidad de almacén de claves, utilice el mandato efskeymgr .

Restricción: El atributo sólo es válido cuando el sistema está habilitado para EFS.

efs_allowksmodechangebyuser

 Especifica si se puede cambiar el modo. Puede especificar los valores siguientes:
  • No
El valor predeterminado es yes.

Restricción: El atributo sólo es válido cuando el sistema está habilitado para EFS.
efs_keystore_algo Especifica el algoritmo que se utiliza para general la clave privada del usuario durante la creación del almacén de claves. Puede especificar los valores siguientes:
  • RSA_1024
  • RSA_2048
  • RSA_4096
El valor predeterminado es RSA_1024.

Puede utilizar el atributo con el mandato mkuser . Después de crear el almacén de claves, el cambio del valor de este atributo con el mandato chuser, chgroupo chsec , o la edición manual no vuelve a generar la clave privada a menos que se suprima el almacén de claves y se cree uno nuevo. Para cambiar el algoritmo de las claves, utilice el mandato efskeymgr .

Restricción: El atributo sólo es válido cuando el sistema está habilitado para EFS.
archivo_efs_algo Especifica el algoritmo de cifrado para los archivos de usuario. Puede especificar los valores siguientes:
  • AES_128_CBC
  • AES_128_ECB
  • AES_192_CBC
  • AES_192_ECB
  • AES_256_CBC
  • AES_256_ECB
El valor predeterminado es AES_128_CBC.

Restricción: El atributo sólo es válido cuando el sistema está habilitado para EFS.
minsl Define el nivel mínimo de sensibilidad-autorización que puede poseer el usuario.
Nota: Este atributo sólo es válido para De confianza AIX.
Los valores válidos se definen en la sección "Espacios libres" del archivo /etc/security/enc/LabelEncodings del sistema. El valor debe estar definido entre comillas si tiene espacios en blanco. El valor minsl debe estar dominado por el valor defsl para el usuario.
maxsl Define el nivel máximo de sensibilidad-autorización que puede poseer el usuario.
Nota: Este atributo sólo es válido para De confianza AIX.
Los valores válidos se definen en la sección "Espacios libres" del archivo /etc/security/enc/LabelEncodings . El valor debe estar definido entre comillas si tiene espacios en blanco. El valor maxsl debe dominar el valor defsl para el usuario.
defsl Define el nivel de sensibilidad predeterminado que se le asigna al usuario durante el inicio de sesión.
Nota: Este atributo sólo es válido para De confianza AIX.
Los valores válidos se definen en la sección "Espacios libres" del archivo /etc/security/enc/LabelEncodings . El valor debe estar definido entre comillas si tiene espacios en blanco. El valor defsl debe dominar el valor minsl y estar dominado por el valor maxsl .
mintl Define el nivel mínimo de autorización de integridad que puede poseer el usuario.
Nota: Este atributo sólo es válido para De confianza AIX.
Los valores válidos se definen en la sección "Etiquetas de sensibilidad" del archivo /etc/security/enc/LabelEncodings . Si la sección "Etiquetas de integridad" opcional está definida en el archivo /etc/security/enc/LabelEncodings , el valor debe ser de esta sección. El valor debe estar definido entre comillas si contiene espacios en blanco. El valor mintl debe estar dominado por el valor deftl para el usuario.
maxtl Define el nivel máximo de autorización de integridad que puede poseer el usuario.
Nota: Este atributo sólo es válido para De confianza AIX.
Los valores válidos se definen en la sección "Etiquetas de sensibilidad" del archivo /etc/security/enc/LabelEncodings . Si la sección "Etiquetas de integridad" opcional está definida en el archivo /etc/security/enc/LabelEncodings , el valor debe ser de esta sección. El valor debe estar definido entre comillas si contiene espacios en blanco. El valor maxtl debe dominar el valor deftl para el usuario.
deftl Define el nivel de autorización de integración predeterminado que se le asigna al usuario durante el inicio de sesión.
Nota: Este atributo sólo es válido para De confianza AIX.
Los valores válidos se definen en la sección "Etiquetas de sensibilidad" del archivo /etc/security/enc/LabelEncodings . Si la sección "Etiquetas de integridad" opcional está definida en el archivo /etc/security/enc/LabelEncodings , el valor debe ser de esta sección. El valor debe estar definido entre comillas si contiene espacios en blanco. El valor deftl debe dominar el valor mintl y estar dominado por el valor maxtl .
minloweralpha Define el número mínimo de caracteres alfabéticos en minúsculas que deben estar en una nueva contraseña. El valor es una serie de un entero decimal. El valor predeterminado es 0, que indica que no hay número mínimo. Rango: 0 a PW_PASSLEN.
minupperalpha Define el número mínimo de caracteres alfabéticos en mayúsculas que deben estar en una nueva contraseña. El valor es una serie de un entero decimal. El valor predeterminado es un valor de 0,indicating no hay número mínimo. Rango: 0 a PW_PASSLEN.
mindigit Define el número mínimo de dígitos que deben estar en una nueva contraseña. El valor es una serie de un entero decimal. El valor predeterminado es 0, que indica que no hay número mínimo. Rango: 0 a PW_PASSLEN.
minspecialchar Define el número mínimo de caracteres especiales que deben estar en una contraseña nueva. El valor es una serie de un entero decimal. El valor predeterminado es 0, que indica que no hay número mínimo. Rango: 0 a PW_PASSLEN.

Seguridad

Control de accesos

Este mandato debe otorgar acceso de ejecución (x) sólo al usuario root y al grupo de seguridad. Este mandato debe instalarse como un programa en la base de cálculo fiable (TCB). El mandato debe ser propiedad del usuario root con el conjunto de bits setuid (SUID).

En un sistema Trusted AIX , solo los usuarios con la autorización aix.mls.clear.write pueden modificar los atributos minsl, maxsl, defsl, mintl, maxtl y deftl.

Sucesos de auditoría

Suceso Información
USER_Change usuario, atributos

Archivos accedidos

Modo Archivo
rw /etc/passwd
rw /etc/security/user
rw /etc/security/user.roles
rw /etc/security/limits
rw /etc/security/environ
rw /etc/security/audit/config
rw /etc/group
rw /etc/security/group
:NONE. /etc/security/enc/LabelEncodings
:NONE. /etc/security/domains
Atención usuarios de RBAC y Trusted AIX: este mandato puede realizar operaciones con privilegios. Sólo los usuarios con privilegios pueden ejecutar operaciones con privilegios. Para obtener más información sobre autorizaciones y privilegios, consulte el apartado Base de datos de mandatos con privilegios en Seguridad. Para obtener una lista de los privilegios y las autorizaciones asociadas a este mandato, consulte el mandato lssecattr o el submandato getcmdattr. Para obtener la funcionalidad completa del mandato, además de accessauths, el rol también debe tener las autorizaciones siguientes:
  • aix.security.user.audit
  • aix.security.role.assign
  • aix.security.group.change

Limitaciones

El cambio de los atributos de un usuario puede no estar soportado por todos los módulos de I & A cargables. Si el módulo I & A cargable no da soporte a la modificación de los atributos de un usuario, se informa de un error.

Ejemplos

  1. Para habilitar el usuariosmithpara acceder a este sistema de forma remota, escriba:
    chuser rlogin=true smith
  2. Para cambiar la fecha de caducidad deldaviscuenta de usuario a 8 a.m., 1 de mayo de 1995, tipo:
    chuser expires=0501080095 davis
  3. Para añadirdavisa los gruposfinanceyaccounting, escriba:
    chuser groups=finance,accounting davis 
  4. Para cambiar el usuariodavis, que se ha creado con el módulo de carga LDAP, para que no se le permita el acceso remoto, escriba:
    chuser -R LDAP rlogin=false davis
  5. Para cambiar los dominios del usuariodavis, escriba:
    chuser domains=INTRANET,APPLICATION davis
  6. Para desestablecer los roles del usuariodavis, escriba:
    chuser roles=" " davis

Archivos

Elemento Descripción
/usr/bin/chuser Contiene el mandato chuser .
/etc/passwd Contiene los atributos básicos de los usuarios.
/etc/group Contiene los atributos básicos de los grupos.
/etc/security/group Contiene los atributos ampliados de grupos.
/etc/security/user Contiene los atributos ampliados de los usuarios.
/etc/security/user.roles Contiene los atributos de rol administrativo de los usuarios.
/etc/security/lastlog Contiene los últimos atributos de inicio de sesión de los usuarios.
/etc/security/limits Define cuotas y límites de recursos para cada usuario.
/etc/security/audit/config Contiene información de configuración de auditoría.
/etc/security/environ Contiene los atributos de entorno de los usuarios.
/etc/security/enc/LabelEncodings Contiene las definiciones de etiqueta para el sistema Trusted AIX .
/etc/security/domains Contiene las definiciones de dominio válidas para el sistema.