chgroup コマンド
目的
グループの属性を変更します。
構文
chgroup [ -R load_module ] Attribute=Value ... Group
説明
chgroup コマンドは、Group パラメーターで指定したグループの属性を変更します。 このグループ名は、既に存在している必要があります。属性を変更するには、変更後の属性名と値を Attribute=Value パラメーターに指定します。
代替の識別と認証 (I&A) メカニズムを使って作成されたグループの属性を変更する場合は、 -R フラグを使用して I&A ロード可能モジュールを指定することができます。 ロード・モジュールは、/usr/lib/security/methods.cfg ファイルに定義されています。
System Management Interface Tool (SMIT) の smit chgroup 高速パスを使用して、このコマンドを実行することもできます。
アカウントの ID を変更するとシステム・セキュリティーが脅かされる可能性があるため、変更しないようにしてください。 ただし、chgroup コマンドを使用して ID を変更する場合、ID 衝突検査も /etc/secvars.cfg ファイルの usw スタンザの dist_uniqid 属性によって制御されます。ID 衝突制御の動作は、mkgroup コマンドで説明されている内容と同じです。
グループの変更に関する制限
グループ情報のセキュリティーを保証するために、chgroup コマンドの使用に関して制限が課されています。 root ユーザー、または UserAdmin 許可か aix.security.group.change 許可を持っているユーザーのみが、chgroup コマンドを使用してどのグループでも変更できます。これらの変更には、以下の項目があります。
- admin 属性を true に設定することによって、グループを 管理グループにする。
- 管理グループの属性は、いずれも変更する。
- 管理グループの管理者リストにユーザーを追加する。
管理グループとは、admin 属性が true に設定されているグループです。 security グループのメンバーは、ユーザーを管理者リストに追加するなど、非管理グループの属性を変更できます。
フラグ
項目 | 説明 |
---|---|
-R | ユーザーの属性の変更に使用するロード可能 I&A モジュールを指定します。 |
属性
属性を変更するには、Attribute=Value パラメーターを指定します。 適切な権限を持っている場合、次のグループ属性を設定できます。
項目 | 説明 |
---|---|
adms | グループのメンバーと管理者を設定するなど、グループの管理用タスクを実行できるユーザーを定義します。 admin = true の場合、管理グループとして定義されているグループを変更できるのは root ユーザーのみであるため、この属性は無視されます。Value パラメーターは、コンマで区切られたユーザー・ログイン名のリストです。 Value パラメーターを指定しないと、管理者全員が除去されます。 |
admin | グループの管理状況を定義します。
次の値を指定できます。
|
id | グループ ID。Value パラメーターは、固有の整数文字列です。 この属性を変更するとシステム・セキュリティーが損なわれるので、 この属性は変更しないでください。 |
projects | ユーザーのプロセスを割り当てることができるプロジェクトのリストを 定義します。値は、コンマで区切られたプロジェクト名のリストで、左から右に 評価されます。プロジェクト名は、システム内で定義されている有効なプロジェクト名である 必要があります。無効のプロジェクト名がリストに検出された場合は、エラーとして 報告されます。 |
users | 1 人以上のユーザーのリストは User1、User2、...、Usern の形式で指定します。グループ・メンバー名はコンマによって区切られます。各ユーザーがデータベース構成ファイル内に定義されていることが必要です。
ユーザーをその 1 次グループから除去することはできません。 domainlessgroups 属性が secvars.cfg ファイルで設定されている場合、Lightweight Directory Access Protocol (LDAP) グループからのユーザーをローカル・グループに割り当てることができます。また、逆も可能です。 |
efs_initialks_mode | グループ鍵ストアの初期モードを指定します。
次の値を指定できます。
この属性はグループ鍵ストアの初期モードを指定します。 mkgroup コマンドによって、この属性を使用することができます。 鍵ストアの作成後に、chuser コマンド、chgroup コマンド、 または chsec コマンドを使用したり、手動で編集したりすることで属性値を変更しても、 鍵ストアを一度削除してまた新しい鍵ストアを作成しなければ、鍵ストアのモードを変更できません。 鍵ストアのモードを変更するには、efskeymgr コマンドを使用します。 制約事項: この属性が有効なのは、システムで EFS を使用可能な場合のみです。 |
efs_keystore_algo | 鍵ストアの作成中にグループの秘密鍵を生成するために使用されるアルゴリズムを指定します。
次の値を指定できます。
mkgroup コマンドによって、この属性を使用することができます。 鍵ストアの作成後に、chuser コマンド、chgroup コマンド、 または chsec コマンドを使用したり、手動で編集したりすることでこの属性値を変更しても、 鍵ストアを一度削除してまた新しい鍵ストアを作成しなければ、秘密鍵を再生成できません。 鍵のアルゴリズムを変更するには、efskeymgr コマンドを使用します。 制約事項: この属性が有効なのは、システムで EFS を使用可能な場合のみです。 |
efs_keystore_access | グループ鍵ストアのデータベース・タイプを指定します。
次の値を指定できます。
制約事項: この属性が有効なのは、システムで EFS を使用可能な場合のみです。 |
adms 属性と admin 属性は、/etc/security/group ファイルに設定します。 その他の属性は、/etc/group ファイルに設定します。 chgroup コマンドで指定した属性のいずれかが無効なときは、このコマンドで何も変更されません。
終了状況
項目 | 説明 |
---|---|
0 | コマンドは正常に実行され、要求された変更はすべて完了しました。 |
>0 | エラーが発生しました。 障害のタイプの詳細については、出力されたエラー・メッセージを参照してください。 |
セキュリティー
アクセス制御
このコマンドに対する実行 (x) アクセス権は、root ユーザーと security グループにのみ与えてください。 このコマンドは、トラステッド・コンピューティング・ベース (TCB) 内のプログラムとしてインストールしてください。 setuid (SUID) ビットが設定されている root ユーザーがこのコマンドを所有する必要があります。
監査イベント
イベント | 情報 |
---|---|
GROUP_Change | グループ、属性 |
アクセスするファイル
モード | ファイル |
---|---|
rw | /etc/group |
rw | /etc/security/group |
r | /etc/passwd |
RBAC ユーザーと Trusted AIX® ユーザーへの注意: このコマンドは特権命令を実行できます。特権命令を実行できるのは特権ユーザーのみです。 権限および特権の詳細情報については、「セキュリティー」の『特権コマンド・データベース』を参照してください。このコマンドに関連した特権および権限のリストについては、lssecattr コマンドまたは getcmdattr サブコマンドを参照してください。
制限
すべてのロード可能 I&A モジュールが、グループの属性の変更をサポートしているわけではありません。 ロード可能 I&A モジュールがグループの属性の変更をサポートしていない場合は、 エラーが表示されます。
例
- 現在メンバーとしては frank しかいない
finance グループに sam および carol を追加する
場合は、次のように入力します。
chgroup users=sam,carol,frank finance
- finance グループから frank は
除去するが、sam および
carol は留め、finance グループの管理者を除去する場合は、次のように
入力します。
この例では、2 つの属性値が変更されました。 frank の名前はメンバー・リストから削除され、adms 属性の値はブランクになっています。chgroup users=sam,carol adms= finance
- LDAP I&A ロード可能モジュール・グループのユーザーの属性を変更するには、
次のように入力します。
chgroup -R LDAP users=sam,frank monsters
ファイル
項目 | 説明 |
---|---|
/usr/bin/chgroup | chgroup コマンドへのパスを指定します。 |
/etc/group | グループの基本属性が入っています。 |
/etc/security/group | グループの拡張属性が入っています。 |
/etc/passwd | ユーザーの基本属性が入っています。 |