chgroup コマンド

目的

グループの属性を変更します。

構文

chgroup [ -R load_module ] Attribute=Value ... Group

説明

重要: Network Information Service (NIS) データベースがご使用のシステムにインストールされている 場合は、chgroup コマンドは使用しないでください。これを使用すると、重大なシステム・ データベース不整合を生じる恐れがあります。

chgroup コマンドは、Group パラメーターで指定したグループの属性を変更します。 このグループ名は、既に存在している必要があります。属性を変更するには、変更後の属性名と値を Attribute=Value パラメーターに指定します。

代替の識別と認証 (I&A) メカニズムを使って作成されたグループの属性を変更する場合は、 -R フラグを使用して I&A ロード可能モジュールを指定することができます。 ロード・モジュールは、/usr/lib/security/methods.cfg ファイルに定義されています。

System Management Interface Tool (SMIT) の smit chgroup 高速パスを使用して、このコマンドを実行することもできます。

アカウントの ID を変更するとシステム・セキュリティーが脅かされる可能性があるため、変更しないようにしてください。 ただし、chgroup コマンドを使用して ID を変更する場合、ID 衝突検査も /etc/secvars.cfg ファイルの usw スタンザの dist_uniqid 属性によって制御されます。ID 衝突制御の動作は、mkgroup コマンドで説明されている内容と同じです。

グループの変更に関する制限

グループ情報のセキュリティーを保証するために、chgroup コマンドの使用に関して制限が課されています。 root ユーザー、または UserAdmin 許可か aix.security.group.change 許可を持っているユーザーのみが、chgroup コマンドを使用してどのグループでも変更できます。これらの変更には、以下の項目があります。

  • admin 属性を true に設定することによって、グループを 管理グループにする。
  • 管理グループの属性は、いずれも変更する。
  • 管理グループの管理者リストにユーザーを追加する。

管理グループとは、admin 属性が true に設定されているグループです。 security グループのメンバーは、ユーザーを管理者リストに追加するなど、非管理グループの属性を変更できます。

フラグ

項目 説明
-R ユーザーの属性の変更に使用するロード可能 I&A モジュールを指定します。

属性

属性を変更するには、Attribute=Value パラメーターを指定します。 適切な権限を持っている場合、次のグループ属性を設定できます。

項目 説明
adms グループのメンバーと管理者を設定するなど、グループの管理用タスクを実行できるユーザーを定義します。 admin = true の場合、管理グループとして定義されているグループを変更できるのは root ユーザーのみであるため、この属性は無視されます。Value パラメーターは、コンマで区切られたユーザー・ログイン名のリストです。 Value パラメーターを指定しないと、管理者全員が除去されます。
admin グループの管理状況を定義します。 次の値を指定できます。
true
グループを管理グループとして定義します。 管理グループとして定義されているグループの属性を変更できるのは root ユーザーのみです。
false
標準グループを定義します。このグループの属性を変更できるのは、root ユーザーまたは security グループのメンバーです。 これはデフォルト値です。
id グループ ID。Value パラメーターは、固有の整数文字列です。 この属性を変更するとシステム・セキュリティーが損なわれるので、 この属性は変更しないでください。
projects ユーザーのプロセスを割り当てることができるプロジェクトのリストを 定義します。値は、コンマで区切られたプロジェクト名のリストで、左から右に 評価されます。プロジェクト名は、システム内で定義されている有効なプロジェクト名である 必要があります。無効のプロジェクト名がリストに検出された場合は、エラーとして 報告されます。
users 1 人以上のユーザーのリストは User1User2、...Usern の形式で指定します。グループ・メンバー名はコンマによって区切られます。各ユーザーがデータベース構成ファイル内に定義されていることが必要です。 ユーザーをその 1 次グループから除去することはできません。

domainlessgroups 属性が secvars.cfg ファイルで設定されている場合、Lightweight Directory Access Protocol (LDAP) グループからのユーザーをローカル・グループに割り当てることができます。また、逆も可能です。
efs_initialks_mode グループ鍵ストアの初期モードを指定します。 次の値を指定できます。
admin
root ユーザーまたは別のセキュリティー特権を持つシステム・ユーザーが、 管理者キーを使用して、グループ鍵ストアを開くことができます。
guard
root ユーザーが管理者キーを使用しても、グループ鍵ストアを開くことはできません。
デフォルト値は admin です。

この属性はグループ鍵ストアの初期モードを指定します。 mkgroup コマンドによって、この属性を使用することができます。 鍵ストアの作成後に、chuser コマンド、chgroup コマンド、 または chsec コマンドを使用したり、手動で編集したりすることで属性値を変更しても、 鍵ストアを一度削除してまた新しい鍵ストアを作成しなければ、鍵ストアのモードを変更できません。 鍵ストアのモードを変更するには、efskeymgr コマンドを使用します。

制約事項: この属性が有効なのは、システムで EFS を使用可能な場合のみです。

efs_keystore_algo 鍵ストアの作成中にグループの秘密鍵を生成するために使用されるアルゴリズムを指定します。 次の値を指定できます。
  • RSA_1024
  • RSA_2048
  • RSA_4096
デフォルト値は RSA_1024 です。

mkgroup コマンドによって、この属性を使用することができます。 鍵ストアの作成後に、chuser コマンド、chgroup コマンド、 または chsec コマンドを使用したり、手動で編集したりすることでこの属性値を変更しても、 鍵ストアを一度削除してまた新しい鍵ストアを作成しなければ、秘密鍵を再生成できません。 鍵のアルゴリズムを変更するには、efskeymgr コマンドを使用します。

制約事項: この属性が有効なのは、システムで EFS を使用可能な場合のみです。

efs_keystore_access グループ鍵ストアのデータベース・タイプを指定します。 次の値を指定できます。
ファイル
そのグループに関連する /var/efs/groups/grpname /keystore 鍵ストア・ファイルを作成します。
なし
鍵ストアは作成されません。その他の鍵ストア属性も、すべて無効です。
デフォルト値は file です。

制約事項: この属性が有効なのは、システムで EFS を使用可能な場合のみです。

adms 属性と admin 属性は、/etc/security/group ファイルに設定します。 その他の属性は、/etc/group ファイルに設定します。 chgroup コマンドで指定した属性のいずれかが無効なときは、このコマンドで何も変更されません。

終了状況

このコマンドは、以下の終了値を返します。
項目 説明
0 コマンドは正常に実行され、要求された変更はすべて完了しました。
>0 エラーが発生しました。 障害のタイプの詳細については、出力されたエラー・メッセージを参照してください。

セキュリティー

アクセス制御

このコマンドに対する実行 (x) アクセス権は、root ユーザーと security グループにのみ与えてください。 このコマンドは、トラステッド・コンピューティング・ベース (TCB) 内のプログラムとしてインストールしてください。 setuid (SUID) ビットが設定されている root ユーザーがこのコマンドを所有する必要があります。

監査イベント

イベント 情報
GROUP_Change グループ、属性

アクセスするファイル

モード ファイル
rw /etc/group
rw /etc/security/group
r /etc/passwd

RBAC ユーザーと Trusted AIX® ユーザーへの注意: このコマンドは特権命令を実行できます。特権命令を実行できるのは特権ユーザーのみです。 権限および特権の詳細情報については、「セキュリティー」の『特権コマンド・データベース』を参照してください。このコマンドに関連した特権および権限のリストについては、lssecattr コマンドまたは getcmdattr サブコマンドを参照してください。

制限

すべてのロード可能 I&A モジュールが、グループの属性の変更をサポートしているわけではありません。 ロード可能 I&A モジュールがグループの属性の変更をサポートしていない場合は、 エラーが表示されます。

  1. 現在メンバーとしては frank しかいない finance グループに sam および carol を追加する 場合は、次のように入力します。
    
chgroup users=sam,carol,frank  finance
  2. finance グループから frank は 除去するが、sam および carol は留め、finance グループの管理者を除去する場合は、次のように 入力します。
    chgroup users=sam,carol adms= finance
    この例では、2 つの属性値が変更されました。 frank の名前はメンバー・リストから削除され、adms 属性の値はブランクになっています。
  3. LDAP I&A ロード可能モジュール・グループのユーザーの属性を変更するには、 次のように入力します。 
    chgroup -R LDAP users=sam,frank monsters

ファイル

項目 説明
/usr/bin/chgroup chgroup コマンドへのパスを指定します。
/etc/group グループの基本属性が入っています。
/etc/security/group グループの拡張属性が入っています。
/etc/passwd ユーザーの基本属性が入っています。