chuser コマンド
目的
ユーザー属性を変更します。
構文
チャウザー [ -R ロード・モジュール ] 属性=値 ... Name
説明
chuser コマンドは、 Name パラメーターによって識別されるユーザーの属性を変更します。 ユーザー名は既に存在していなければなりません。 属性を変更するには、属性名と新しい値に Attribute=Value パラメーターを付けて指定してください。 以下のファイルには、このコマンドによって設定されたローカル・ユーザー属性が入っています。
- /etc/passwd
- /etc/security/environ
- /etc/security/limits
- /etc/security/user
- /etc/security/user.roles
- /etc/security/audit/config
- /etc/group
- /etc/security/group
代替の ID および認証 (I & A) メカニズムを持つユーザーの属性を変更するには、 -R フラグを使用して、ユーザーが定義されている I & A ロード・モジュールを指定できます。 -R フラグが指定されていない場合、chuser コマンドは ユーザーをローカル・ユーザーとして扱います。 ロード・モジュールは、/usr/lib/security/methods.cfg ファイルで定義されます。
chuser コマンドで正しくない属性または属性値を 1 つ指定すると、コマンドは属性を変更しません。
System Management Interface Tool (SMIT) smit chuser 高速パスを使用して、ユーザー特性を変更することができます。
アカウントの ID を変更するとシステム・セキュリティーが脅かされる可能性があるため、変更しないようにしてください。 ただし、 chuser コマンドを使用して ID を変更した場合、ID 衝突検査は、 /etc/security/login.cfg ファイルの usw スタンザの dist_uniqid 属性によっても制御されます。 ID 衝突制御の動作は、mkuser コマンドで説明されている内容と同じです。
ユーザーの変更に関する制限
ユーザー情報の保全性を保証するために、chuser コマンドの使用にはある程度の制限が適用されます。 root ユーザーまたは UserAdmin 権限を持っているユーザーのみが、chuser コマンドを使用して、以下のタスクを実行することができます。
- admin 属性を true に設定して、 ユーザーを管理ユーザーにする。
- 管理ユーザーの属性があれば変更します。
- 1 ユーザーを管理グループに追加する。
管理グループとは、admin 属性が true に設定されているグループです。 security グループのメンバー は、非管理ユーザーの属性を変更し、ユーザーを非管理グループに 追加できます。
chuser コマンドが扱うのは、ローカル・ユーザー・データだけです。 これは、NIS および DCE のようなレジストリー・サーバーのデータを変更する場合には使用できません。
フラグ
項目 | 説明 |
---|---|
-R ロード・モジュール | ユーザーの属性の変更に使用するロード可能 I&A モジュールを指定します。 |
属性
適切な権限を持っている場合には、以下のユーザー属性を設定できます。
項目 | 説明 |
---|---|
アカウント・ロック | ユーザー・アカウントがロックされているかどうかを示します。 使用できる値は、次のとおりです。
|
管理 | ユーザーの管理状況を定義します。 使用できる値は、次のとおりです。
|
admgroups | ユーザーが管理するグループを定義します。 domainlessgroups 属性が /etc/secvars.cfg ファイルで設定されている場合、Lightweight Directory Access Protocol (LDAP) グループをローカル・ユーザーに割り当てることができます。また、逆も可能です。 詳しくは、「/etc/secvars.cfg」ファイルを参照してください。 Value パラメーターは、コンマで区切られたグループ名のリストです。 |
監査クラス | ユーザーの監査クラスを定義します。 Value パラメーターは、コンマで区切られたクラスのリスト、あるいはすべての監査クラスを示す値 ALL です。 |
auth1 | ユーザーを認証するための 1 次メソッドを定義します。 Value パラメーターは、コンマで区切られた Method ;Name の対のリストです。 Method パラメーターは、認証メソッドの名前です。 Name パラメーターは、認証されるユーザーです。 Name パラメーターを指定しないと、呼び出し中のログイン・プログラムの名前が使用されます。 有効な認証メソッドは、/etc/security/login.cfg ファイルに定義されています。 デフォルトでは、SYSTEM メソッドとローカル・パスワード認証が使用されます。 NONE メソッドは、1 次認証検査が行われないことを示します。 |
auth2 | ユーザーの認証に使用される 2 次メソッドを定義します。 Value パラメーターは、コンマで区切られた Method ;Name の対のリストです。 Method パラメーターは、認証メソッドの名前です。 Name パラメーター値は、認証されるユーザーです。 この属性を指定しないと、デフォルト設定は NONE になり、2 次認証検査が行われないことを示します。 有効な認証メソッドは、/etc/security/login.cfg ファイルに定義されています。 Name パラメーターを指定しないと、呼び出し中のログイン・プログラムの名前が使用されます。 |
機能 | login コマンドまたは su
コマンドによってユーザーに認可する特権 (機能) を定義します。 有効な 機能 は以下のとおりです。
|
コア | ユーザーのプロセスが作成できる最大のコア・ファイルのソフト制限を指定します。 Value パラメーターは、512 バイトのブロックの数を表す整数です。 |
core_compress | コア・ファイル圧縮を使用可能または使用不可にします。 この属性の有効値は、オンおよび オフです。 この属性の値がオンの場合は、圧縮が使用可能であり、そうでない場合は、圧縮が 使用不可です。 この属性のデフォルト値は、オフ です。 |
core_hard | ユーザーのプロセスが作成できる最大のコア・ファイルを指定します。 Value パラメーターは、512 バイトのブロックの数を表す整数です。 |
core_naming | コア・ファイル命名計画の選択項目の 1 つを選択します。 この属性の有効値は、オンおよび
オフです。 値がオンの場合は、コア・ファイル命名
が core.pid.time の形式で
使用可能になりますが、これは、CORE_NAMING 環境変数の場合と
同じです。 値がオフの場合は、デフォルトの名前 core
が使用されます。 |
core_path | コア・ファイル・パス指定を使用可能または使用不可にします。 この属性の有効値は、オンおよび オフです。 この属性の値がオンの場合は、コア・ファイルは、core_pathname (フィーチャーが使用可能) によって指定されるディレクトリーに置かれることになり、そうでない 場合は、コア・ファイルは、ユーザーの現在の作業ディレクトリーに 置かれます。 この属性のデフォルト値は、オフ です。 |
core_pathname | core_path 属性がオンに設定されている場合に、コア・ファイルを置くために使用される場所を指定します。 これが設定されておらず、core_path がオンに設定されている場合、コア・ファイルはユーザーの現行作業ディレクトリーに置かれます。 この属性は 256 文字に制限されます。 |
CPU | ユーザーのプロセスが使用できるシステム装置時間の最大値 (秒数) のソフト制限を識別します。 Value パラメーターは整数です。 負の値はすべて無制限と見なされます。 |
cpu_hard | ユーザーのプロセスが使用できるシステム装置時間の最大値 (秒数) を識別します。 Value パラメーターは整数です。 デフォルトの値は -1 で、制限がオフになります。 |
デーモン | Name パラメーターで指定されたユーザーが cron デーモンまたは src (システム・リソース・コントローラー) デーモンを使用してプログラムを実行できるかどうかを指示します。 使用できる値は、次のとおりです。
|
data | ユーザーのプロセスの最大データ・セグメントのソフト制限を指定します。 Value パラメーターは、512 バイトのブロックの数を表す整数です。 この属性の最小許容値は 1272 です。 指定-1 無制限にすることができます。 |
data_hard | ユーザーのプロセスのための最大データ・セグメントを指定します。 Value パラメーターは、512 バイトのブロックの数を表す整数です。 この属性の最小許容値は 1272 です。 指定-1無制限にすることができます。 |
dce_export | DCE エクスポート操作時に、DCE ユーザー情報をもつローカル・ユーザー情報を DCE レジストリーが上書きできるようにします。 使用できる値は、次のとおりです。
|
デフォルトの役割 | ユーザーのデフォルト・ロールを指定します。 Value パラメーターは、 コンマで区切った有効なロール名のリストです。 このパラメーターには、roles 属性でそのユーザーに対して割り当てたロールのみを入れることができます。 ALL キーワードを使用すると、 そのユーザーのデフォルト・ロールが割り当てロール全部であることを示すことができます。 |
辞書リスト | 新しいパスワードを検査するときに構成制限により使用されるパスワード辞書を定義します。 パスワード辞書は、コンマで区切られた絶対パス名のリストで、左から右へ評価されます。 すべての辞書ファイルとディレクトリーは、root 以外のユーザーから書き込み保護する必要があります。 辞書ファイルは、1 行に 1 ワードずつフォーマット化されます。 ワードは 1 桁目で始まって改行文字で終わります。 パスワードには、7 ビットの ASCII ワードしか使用できません。 ユーザー名は、辞書ファイルのキー・ワード $USER を指定したエントリーを追加することにより、パスワード・フィールドで不許可にすることができます。
注: キーワード $USER は、辞書ファイル内の項目のワードまたはパターンの一部として使用することはできません。
辞書ファイルに記載されたパターンまたは正規表現に一致するパスワードはすべて許可されません。 辞書ファイルのワードとパターンを区別するために、パターンは先頭文字として * 付きで示されます。 例えば、管理者が 123 で終わるパスワードを不許可にしたい場合、この情報は次のようなエントリーとして辞書ファイルに記載する必要があります。 *. * 123 (*. * 123) 最初の部分 (*) はパターン・エントリーを示すために使用され、残りの部分 (.*123) はパターンを形成します。 システム上にテキスト処理ツールをインストールする場合は、辞書ファイルを /usr/share/dict/words ファイルにすることをお勧めします。 |
domains | ユーザーが所属するドメインのリストを定義します。 |
expires | アカウントの有効期限を識別します。 Value パラメーターは、MMDDhhmmyy 形式の 10 文字の文字列です。この場合、MM は月、DD は日、hh は時刻、mm は分、yy は 1939 から 2038 年の下 2 桁です。 文字はすべて数字です。 Value パラメーターが 0 の場合、アカウントは無期限です。 デフォルトは 0 です。 詳しくは、 date コマンドを参照してください。 |
fsize | ユーザーのプロセスが作成または拡張できる最大ファイルのソフト制限を指定します。 Value パラメーターは、512 バイトのブロックの数を表す整数です。 ファイルを 2Gより大きくするには、次のように指定します。-1この属性の最小値は 8192 です。 |
fsize_hard | ユーザーのプロセスが作成または拡張できる最大ファイルを指定します。 Value パラメーターは、512 バイトのブロックの数を表す整数です。 ファイルを 2Gより大きくするには、次のように指定します。-1この属性の最小値は 8192 です。 |
gecos | Name パラメーターにより指定されたユーザーに関する一般情報を提供します。 Value パラメーターは、コロン () が埋め込まれていないストリングです。:) 改行文字が埋め込まれていません。 |
グループ | ユーザーが所属するグループを識別します。 domainlessgroups 属性が /etc/secvars.cfg ファイルで設定されている場合、LDAP グループをローカル・ユーザーに割り当てることができます。また、逆も可能です。 詳しくは、 /etc/secvars.cfgを参照してください。 Value パラメーターは、コンマで区切られたグループ名のリストです。 |
histexpire | ユーザーがパスワードを再利用できない期間 (週単位) を定義します。 この値は、10 進の整数文字列です。 デフォルトは 0 で、期間が設定されていないことを示します。 この属性変更できるのは、管理ユーザーだけです。 |
histsize | ユーザーが再利用できない以前のパスワードの数を定義します。 この値は、10 進の整数文字列です。 デフォルトは 0 です。 この属性には、0 から 50 までの範囲の値を指定できます。 この属性変更できるのは、管理ユーザーだけです。 |
home | Name パラメーターにより指定されたユーザーのホーム・ディレクトリーを識別します。 Value パラメーターは絶対パス名です。 |
id | ユーザー ID を指定します。 Value パラメーターは、固有の整数文字列です。 この属性を変更するとシステム・セキュリティーが損なわれるので、 この属性は変更しないでください。 |
login | ユーザーが login コマンドを使用してシステムにログインできるかどうかを示します。 使用できる値は、次のとおりです。
|
loginretries | 最後に正常にログインしてからシステムがアカウントをロックするまでに再試行できる不成功ログインの回数を定義します。 この値は、10 進の整数文字列です。 ゼロまたは負の値は、未制限であることを示します。 ユーザーのアカウントがロックされると、システム管理者がファイル /etc/security/lastlog 内でそのユーザーの unsuccessful_login_count 属性を loginretries よりも小さい値にリセットするまで、そのユーザーはログインできなくなります。 この属性をリセットするには、次のように入力します。
|
項目 | 説明 |
---|---|
logintimes | ユーザーがシステムへのアクセスを許可される日付と時間帯を定義します。 値は、次のいずれかのフォーマットのエントリーをコンマで区切ったリストです。
<day> の有効値は、mon、tues、w、THU、 Friday、sat、および SUNDAY などです。 ただし、day の値は曜日の省略形として示しますが、省略形は曜日名と月名の両方について固有でなければなりません。 曜日の範囲は、Tuesday-Monday のように、2 週にまたがってかまいません。 曜日名では、大文字と小文字は区別されません。 <time> の有効値は、24 時間方式で指定された時刻です。 時刻値の前には : (コロン) を付け、4 文字の文字列を指定します。 先行ゼロは必須です。 したがって、0800 (午前 8 時) は有効ですが、800 は無効です。 指定された時間帯だけのエントリー構成は、すべての日に適用されます。 開始時刻は終了時刻より前でなければなりません。 2 日にまたがる期間を指定することはできません。 < month> に指定できる値は、Jan、F、March、apr、および s です。 月の値は省略された月として示します。ただし、省略形は、日の名前と月の名前の両方について固有でなければなりません。 月の範囲は、September-June のように、2 年にまたがってかまいません。 月名では、大文字と小文字は区別されません。 <daynum> の有効値は、1 カ月の 1 日から 31 日が含まれます。 この値は、指定された月に対して検査されます。 月の値は、1 文字文字列または 2 文字文字列のどちらかに指定します。 daynum 値なしで月を指定すると、その月が指定した範囲の開始月か終了月であるかによって、それぞれ、月の第 1 日目か最終日を示します。 接頭部が! のエントリー (感嘆符) は、システムへのアクセスを拒否し、DENY エントリーと呼ばれます。 ! が指定されていないエントリー 接頭部はアクセスを許可し、ACCESS エントリーと呼ばれます。 ! は、単一エントリーに適用されるものであり、各エントリーの先頭に付ける必要があります。 現在、システムごとに 200 のエントリーを指定できます。 この属性は、各国別に設定することができます。 月名と曜日名は、システム用に設定されたロケール変数により指定された言語によって、入力および表示することができます。 月と曜日の値の相対順序も、各国別に設定することができます。 <month><daynum> フォーマットと <daynum><month> フォーマットを使用できます。 システムは、各エントリーを次の順序で評価します。
|
maxage | パスワードの最長有効期間 (週単位) を定義します。 パスワードは、この時刻までに変更する必要があります。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最長有効期間がないことを示します。 範囲: 0 から 52 |
maxexpired | 期限切れのパスワードを maxage 値以降に変更できる最長期間 (週単位) を定義します。 ここで定義された時刻以後は、管理ユーザーしかパスワードを変更できません。 この値は、10 進の整数文字列です。 デフォルトの値は -1 で、制限が設定されていることを示します。 maxexpired 属性を 0 に設定すると、パスワードが maxage 値に達したときに期限切れとなります。 maxage 属性を 0 に設定すると、maxexpired 属性は無視されます。 範囲: 0 から 52 (root ユーザーは maxexpired を免除されます) |
maxrepeats | 新しいパスワード内で 1 文字を反復できる最大回数を定義します。 値 0 では意味がないので、デフォルトの値 8 で最大数が存在しないことを示します。 この値は、10 進の整数文字列です。 範囲: 0 から 8 |
maxulogs | ユーザーごとの並行ログインの最大数を指定します。 あるユーザーの並行ログイン数が、許可されたログイン最大数を超えた場合、ログインは拒否されます。 |
minage | パスワードが変更可能になるまでに経過する必要のある最低有効期間 (週単位) を定義します。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最低有効期間がないことを示します。 範囲: 0 から 52 |
minalpha | 新しいパスワードに含める必要のある英字の最小数を定義します。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最小数がないことを示します。 範囲: 0 から 8 |
mindiff | 古いパスワードには含まれていない文字で、新しいパスワードに含める必要がある文字の最小数を定義します。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最小数がないことを示します。 範囲: 0 から 8 |
minlen | パスワードの最小長を定義します。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最小長がないことを示します。 許可される最大値は 8 です。 この属性は、詳細情報 minlen または 'minalpha + minother'(あるいはその両方) によって決定されます。 'minalpha + minother' は 8 を超えることはできません。 'minalpha + minother' が 8 より大きい場合、minother の有効値は '8 - minalpha' に減らされます。 |
minother | 新しいパスワードに含める必要のある英字以外の文字の最小数を定義します。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最小数がないことを示します。 範囲: 0 から 8 |
nofiles | ユーザー・プロセスが一度にオープンさせることができるファイル・ディスクリプターの数のソフト制限を定義します。 Value パラメーターは整数です。 |
nofiles_hard | ユーザー・プロセスが一度にオープンさせることができるファイル・ディスクリプターの数のハード制限を定義します。 Value パラメーターは整数です。 デフォルト値は -1 で、システムによる許容最大値の制限を設定します。 |
nproc | ユーザーが一度に実行させることができるプロセス数のソフト制限を定義します。 「値」 パラメーターは、1 以上の整数です。 デフォルト値は -1 で、システムによる許容最大値の制限を設定します。 |
nproc_hard | ユーザーが一度に実行させることができるプロセス数のハード制限を定義します。 「値」 パラメーターは、1 以上の整数です。 デフォルト値は -1 で、システムによる許容最大値の制限を設定します。 |
pgrp | ユーザーの 1 次グループを識別します。 domainlessgroups 属性が /etc/secvars.cfg ファイルで設定されている場合、LDAP グループを 1 次グループとしてローカル・ユーザーに割り当てることができます。また、逆も可能です。 詳しくは、 /etc/secvars.cfgを参照してください。 Value パラメーターには、有効なグループ名を指定する必要があります。null 値は指定できません。 |
projects | ユーザーのプロセスを割り当てることができるプロジェクトのリストを 定義します。 値は、コンマで区切られたプロジェクト名のリストで、左から右に 評価されます。 プロジェクト名は、システム内で定義されている有効なプロジェクト名である 必要があります。 無効のプロジェクト名がリストに検出された場合は、エラーとして 報告されます。 |
pwdchecks | 新しいパスワードに関して実施されるパスワード制限メソッドを定義します。 値は、コンマで区切られたメソッド名のリストであり、左から右へ評価されます。 メソッド名は、絶対パス名か、実行可能なロード・モジュールの /usr/lib への相対パスのどちらかです。 |
pwdwarntime | パスワードの変更が必要であることを示す警告がシステムによって表示されるまでの日数を定義します。 この値は、10 進の整数文字列です。 ゼロまたは負の値は、メッセージが表示されないことを示します。 値は、maxage 属性と minage 属性の差より小さくなければなりません。 この差より大きい値は無視され、minage 値に達するとメッセージが表示されます。 |
rcmds | rコマンド (rsh、 rexec、および rcp) のリモート実行を制御します。 考えられる値は、次のとおりです。
注: rcmds 属性は、リモート・コマンドの実行のみを制御します。 リモート・シェルを開くための rコマンド機能は制御しません。 このようなログイン機能は、 rlogin、 hostsallowedlogin、および hostsdeniedlogin 属性によって制御されます。
非推奨の ttys 属性値 |
rlogin | telnet コマンドまたは rlogin コマンドを使用して、
リモート・ロケーションからアカウントにアクセスできるようにします。 使用できる値は、次のとおりです。
|
ロール | このユーザーの管理ロールを定義します。 Value パラメーターは、ロール名のリストであり、ロール名はそれぞれコンマで区切られています。 |
rss | ユーザーのプロセスで割り振り可能な物理メモリーの最大量のソフト制限です。 Value パラメーターは、512 バイト・ブロック単位で指定された 10 進整数ストリングです。 この値は、現在はシステムで適用されません。 |
rss_hard | ユーザーのプロセスが割り当て可能な物理メモリーの最大量。 Value パラメーターは、割り当てる 512 バイト単位のブロック数で指定された 10 進整数文字列です。 この値は、現在はシステムで適用されません。 |
シェル (shell) | セッション開始時にユーザー用に実行されるプログラムを定義します。 Value パラメーターは絶対パス名です。 |
スタック | ユーザーのプロセス用の最大プロセス・スタック・セグメントのソフト制限を指定します。 Value パラメーターは、割り当てる 512 バイト・ブロックの数を表す整数です。 この属性の最小許容値は 49 です。 |
stack_hard | ユーザーのプロセスの最大プロセス・スタック・セグメントを指定します。 Value パラメーターは、割り当てる 512 バイト・ブロックの数を表す整数です。 この属性の最小許容値は 49 です。 このパラメーターの最大許容値は 2147483647 です。 |
su | su コマンドを使用して指定されたユーザー・アカウントに他のユーザーが切り替えられるかどうかを示します。 使用できる値は、次のとおりです。
|
sugroups | 指定されたユーザー・アカウントを切り替えるために su コマンドを使用できるグループを定義します。 Value パラメーターは、コンマで区切られたグループ名のリスト、あるいはすべてのグループを示す値 ALL です。 グループ名の前に感嘆符 (!) を付けると、そのグループは除外されます。 この属性が指定されていない場合には、すべてのグループが、su コマンドを使用してこのユーザー・アカウントに切り替えることができます。 domainlessgroups 属性が /etc/secvars.cfg ファイルで設定されている場合、LDAP グループをローカル・ユーザーに割り当てることができます。また、逆も可能です。 詳しくは、「/etc/secvars.cfg」ファイルを参照してください。 注: ユーザーが複数のグループに属しており、いずれかのグループが感嘆符 (!) で指定されている場合、ユーザーは su コマンドを使用して、指定されたユーザー・アカウントにアクセスすることができません。
|
sysenv | システム状態 (保護) 環境を識別します。 値 パラメーターは、 /etc/security/environ ファイルに指定されている、コンマ区切りの 属性=値 ペアのセットです。 |
スレッド | ユーザー・プロセスが作成できるスレッドの最大数のソフト制限を指定します。 Value パラメーターは 1 以上の整数で、各ユーザー・プロセスが作成できるスレッドの数を表します。 この制限は、カーネルとユーザー・スペース pthread ライブラリーの両方によって実施されます。 |
スレッド・ハード | ユーザー・プロセスが作成できるスレッドの最大可能数を指定します。 Value パラメーターは 1 以上の整数で、各ユーザー・プロセスが作成できるスレッドの数を表します。 この制限は、カーネルとユーザー・スペース pthread ライブラリーの両方によって実施されます。 |
tpath | ユーザーのトラステッド・パスの状況を示します。 可能な値は次のとおりです。
|
ttys | Name パラメーターで指定されたアカウントにアクセスできる端末を定義します。 Value パラメーターはコンマで区切られた絶対パス名のリスト、あるいはすべての端末を示す値 ALL です。 グループ名の前に ! (感嘆符) を付けると、その端末は除外されます。 この属性が指定されない場合には、すべての端末がそのユーザー・アカウントにアクセスできます。 |
umask | ファイル許可を決定します。 この値は、作成するプロセスの許可と共に、ファイル作成時のファイルの許可を決定します。 デフォルトの値は 022 です。 |
usrenv | ユーザー状態 (無保護) 環境を定義します。 値 パラメーターは、 /etc/security/environ ファイルに指定されている、コンマ区切りの 属性=値 ペアのセットです。 |
fs_keystore_access (efs_keystore_access) | ユーザー鍵ストアのデータベース・タイプを指定します。 次の値を指定できます。
制約事項: この属性が有効なのは、システムで EFS を使用可能な場合のみです。 |
efs_adminks_access | efs_admin 鍵ストアのデータベース・タイプを表します。 有効な値は file のみです。 制約事項: この属性が有効なのは、システムで EFS を使用可能な場合のみです。 |
efs_initialks_mode | ユーザー鍵ストアの初期モードを指定します。 次の値を指定できます。
この属性はユーザー鍵ストアの初期モードを指定します。 mkuser コマンドによって、この属性を使用することができます。 鍵ストアの作成後に、chuser コマンド、chgroup コマンド、 または chsec コマンドを使用したり、手動で編集したりすることで属性値を変更しても、 鍵ストアを一度削除してまた新しい鍵ストアを作成しなければ、鍵ストアのモードを変更できません。 鍵ストアのモードを変更するには、efskeymgr コマンドを使用します。 制約事項: この属性が有効なのは、システムで EFS を使用可能な場合のみです。 |
efs_allowksmodechangebyuser |
モードを変更できるようにするかどうかを指定します。 次の値を指定できます。
制約事項: この属性が有効なのは、システムで EFS を使用可能な場合のみです。 |
fs_keystore_algo | 鍵ストアの作成中にユーザーの秘密鍵を生成するために使用されるアルゴリズムを指定します。 次の値を指定できます。
mkuser コマンドによって、この属性を使用することができます。 鍵ストアの作成後に、chuser コマンド、chgroup コマンド、 または chsec コマンドを使用したり、手動で編集したりすることでこの属性値を変更しても、 鍵ストアを一度削除してまた新しい鍵ストアを作成しなければ、秘密鍵を再生成できません。 鍵のアルゴリズムを変更するには、efskeymgr コマンドを使用します。 制約事項: この属性が有効なのは、システムで EFS を使用可能な場合のみです。 |
efs_file_algo (efs_file_algo) | ユーザー・ファイル用の暗号化アルゴリズムを指定します。 次の値を指定できます。
制約事項: この属性が有効なのは、システムで EFS を使用可能な場合のみです。 |
minsl | ユーザーが持てる最小の機密性クリアランス・レベルを定義します。 注: この属性は、 Trusted AIXでのみ有効です。 有効な値は、システム用の /etc/security/enc/LabelEncodings ファイルの「Clearances」セクションに定義されています。 値に空白文字が含まれている場合、その値を引用符で囲んで定義する必要があります。 minsl 値よりユーザーの defsl 値を優先する必要があります。 |
maxsl | ユーザーが持てる最大の機密性クリアランス・レベルを定義します。 注: この属性は、 Trusted AIXでのみ有効です。 有効な値は、/etc/security/enc/LabelEncodings ファイルの「Clearances」セクションに定義されています。 値に空白文字が含まれている場合、その値を引用符で囲んで定義する必要があります。 ユーザーの defsl 値より、maxsl 値を優先する必要があります。 |
デフォルト (defsl) | ログイン中のユーザーに割り当てられるデフォルトの機密レベルを定義します。 注: この属性は、 Trusted AIXでのみ有効です。 有効な値は、/etc/security/enc/LabelEncodings ファイルの「Clearances」セクションに定義されています。 値に空白文字が含まれている場合、その値を引用符で囲んで定義する必要があります。 minsl 値より defsl 値を優先する必要がありますが、
それよりさらに maxsl 値を優先する必要があります。 |
mintl | ユーザーが持てる最小の保全性クリアランス・レベルを定義します。 注: この属性は、 Trusted AIXでのみ有効です。 有効な値は、/etc/security/enc/LabelEncodings ファイルの「Sensitivity labels」セクションに定義されています。 オプションの「Integrity labels」セクションが /etc/security/enc/LabelEncodings ファイルに定義されている場合は、このセクションから値を選ぶ必要があります。 値に空白文字が含まれている場合、その値を引用符で囲んで定義する必要があります。 mintl 値よりユーザーの deftl 値を優先する必要があります。 |
maxtl | ユーザーが持てる最大の保全性クリアランス・レベルを定義します。 注: この属性は、 Trusted AIXでのみ有効です。 有効な値は、/etc/security/enc/LabelEncodings ファイルの「Sensitivity labels」セクションに定義されています。 オプションの「Integrity labels」セクションが /etc/security/enc/LabelEncodings ファイルに定義されている場合は、このセクションから値を選ぶ必要があります。 値に空白文字が含まれている場合、その値を引用符で囲んで定義する必要があります。 ユーザーの deftl 値より、maxtl 値を優先する必要があります。 |
デフォルト | ログイン中のユーザーに割り当てられるデフォルトの保全性クリアランス・レベルを定義します。 注: この属性は、 Trusted AIXでのみ有効です。 有効な値は、/etc/security/enc/LabelEncodings ファイルの「Sensitivity labels」セクションに定義されています。 オプションの「Integrity labels」セクションが /etc/security/enc/LabelEncodings ファイルに定義されている場合は、このセクションから値を選ぶ必要があります。 値に空白文字が含まれている場合、その値を引用符で囲んで定義する必要があります。 mintl 値より deftl 値を優先する必要がありますが、
それよりさらに maxtl 値を優先する必要があります。 |
minloweralpha | 新しいパスワードに含める必要のある英小文字の最小数を定義します。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最小数がないことを示します。 範囲: 0 から PW_PASSLEN まで。 |
minupperalpha | 新しいパスワードに含める必要のある英大文字の最小数を定義します。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最小数がないことを示します。 範囲: 0 から PW_PASSLEN まで。 |
mindigit | 新しいパスワードに含める必要のある数字の最小数を定義します。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最小数がないことを示します。 範囲: 0 から PW_PASSLEN まで。 |
minspecialchar | 新しいパスワードに含める必要のある特殊文字の最小数を定義します。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最小数がないことを示します。 範囲: 0 から PW_PASSLEN まで。 |
セキュリティー
アクセス制御
このコマンドに対する実行 (x) アクセス権は、root ユーザーとセキュリティー・グループにのみ与える必要があります。 このコマンドをプログラムとしてトラステッド・コンピューティング・ベース (TCB) にインストールする必要があります。 setuid (SUID) ビットが設定されている root ユーザーが、このコマンドを所有する必要があります。
Trusted AIX システムでは、 aix.mls.clear.write 権限を持つユーザーのみが、属性 minsl、maxsl、defsl、mintl、maxtl および deftlを変更できます。
イベントの監査
イベント | 情報 |
---|---|
USER_Change | ユーザー、属性 |
アクセスされるファイル
モード | ファイル |
---|---|
rw | /etc/passwd |
rw | /etc/security/user |
rw | /etc/security/user.roles |
rw | /etc/security/limits |
rw | /etc/security/environ |
rw | /etc/security/audit/config |
rw | /etc/group |
rw | /etc/security/group |
r | /etc/security/enc/LabelEncodings |
r | /etc/security/domains |
- aix.security.user.audit
- aix.security.role.assign
- aix.security.group.change
制限
すべてのロード可能 I&A モジュールがユーザーの属性の変更をサポートしているわけではありません。 ロード可能 I&A モジュールがユーザーの属性の変更をサポートしていない場合は、エラーが表示されます。
例
- ユーザーを有効にするにはsmithリモート側でこのシステムにアクセスするには、次のように入力
chuser rlogin=true smith
- 有効期限を変更するには、davisユーザー・アカウントを 8 a.mに。 1995 年 5 月 1 日、次のように入力します。
chuser expires=0501080095 davis
- 追加davisグループにfinanceおよびaccounting、タイプ:
chuser groups=finance,accounting davis
- ユーザーを変更するにはdavisLDAP ロード・モジュールを使用して作成されたユーザーがリモート・アクセスを許可されないようにするには、次のように入力します。
chuser -R LDAP rlogin=false davis
- ユーザーのドメインを変更するにはdavis、タイプ:
chuser domains=INTRANET,APPLICATION davis
- ユーザーの役割を設定解除するにはdavis、タイプ:
chuser roles=" " davis
ファイル
項目 | 説明 |
---|---|
/usr/bin/chuser | chuser コマンドが入っています。 |
/etc/passwd | ユーザーの基本属性が入っています。 |
/etc/group | グループの基本属性が入っています。 |
/etc/security/group | 拡張グループ属性が入っています。 |
/etc/security/user | ユーザーの拡張属性が入っています。 |
/etc/security/user.roles | ユーザーの管理ロール属性が入っています。 |
/etc/security/lastlog | ユーザーの最新ログイン属性が入っています。 |
/etc/security/limits | ユーザーごとのリソース・クォータおよび制限を定義します。 |
/etc/security/audit/config | 監査構成情報が入っています。 |
/etc/security/environ | ユーザーの環境属性が入っています。 |
/etc/security/enc/LabelEncodings | Trusted AIX システムのラベル定義が入っています。 |
/etc/security/domains | システムの有効なドメイン定義が入っています。 |