mkgroup コマンド
目的
新規のグループを作成します。
構文
mkgroup [ -R load_module ] [ -a ] [ -A ] [ Attribute=Value ... ] Group
説明
mkgroup コマンドは、新規のグループを作成します。 Group パラメーターは固有の文字列 (長さは、chdev コマンドを使用して管理者が構成できる) でなければならず、 キーワード ALL または default は使用できません。デフォルトでは、mkgroup コマンドにより標準グループが作成されます。 管理グループを作成するには、-a フラグを指定します。管理グループを作成するには、root ユーザーまたは GroupAdmin 権限を持つユーザーでなければなりません。
代替の Identification and Authentication (I&A) メカニズムを使用してグループを作成するには、 -R フラグを使用して、グループの作成に使用される I&A ロード・モジュールを指定することができます。 ロード・モジュールは、/usr/lib/security/methods.cfg ファイルで定義されています。
このコマンドは、System Management Interface Tool (SMIT) smit mkgroups 高速パスを使用して実行することができます。
mkgroup コマンドは、常にターゲット・グループのレジストリーを検査して、新規アカウントの ID がターゲット・レジストリーに対して固有であるか確認します。 mkgroup コマンドは、dist_uniqid システム属性を使用して、システムのすべてのグループ・レジストリーを検査するように構成することもできます。dist_uniqid システム属性は /etc/security/login.cfg ファイルの usw スタンザの属性であり、chsec コマンドを使用して管理できます。
- never - ターゲット以外のレジストリーに対して ID 衝突の検査をしません。 これはデフォルト設定です。
- always - 他のすべてのレジストリーに対して ID 衝突の検査をします。 ターゲット・レジストリーとそれ以外のレジストリーの間に衝突が検出されると、アカウントの作成や変更は失敗します。
- uniqbyname - 他のすべてのレジストリーに対して ID 衝突の検査をします。 レジストリー間の衝突が許可されるのは、作成されるアカウントの名前が既存のアカウントと同じである場合に限られます。
uniqbyname システム属性の設定は、2 つのレジストリーに対して有効に機能します。 3 つ以上のレジストリーがあり、2 つのレジストリー間に既に ID 衝突が存在する場合、衝突した ID 値を使用して第 3 のレジストリーに新規アカウントを作成した場合の mkgroup コマンドの動作は未指定です。 新規アカウントの作成は、レジストリーの検査順序によって正常に行われる場合と失敗する場合があります。
ID 衝突の検査は、ローカル・レジストリーとリモート・レジストリー間、またはリモート・レジストリー同士間の ID の固有性に関してのみ行われます。 リモート・レジストリー上で新規作成されたアカウントと、同じリモート・レジストリーを使用する他のシステム上の既存のローカル・ユーザーとの間での ID の固有性は保証されません。 mkgroup コマンドは、それが実行された時点でリモート・レジストリーに到達できないときは、そのリモート・レジストリーをバイパスします。
Encrypted File System (EFS) がシステム上で使用可能な場合は、mkgroup コマンドは、EFS 属性を使用して /etc/security/group ファイルを更新します (コマンド・ラインに EFS 属性を指定しない場合は、デフォルト値が追加されます)。efs_keystore_access=none
を指定しない場合は、1 人以上のユーザーが鍵ストアを保持していれば、mkgroup コマンドは、グループ鍵ストアを作成します。
グループ名の作成に関する制限
ログインが矛盾しないように、グループ名全体を英大文字だけで作成しないようにしなければなりません。mkgroup コマンドではマルチバイト・グループ名がサポートされますが、グループ名を POSIX 移動可能なファイル名文字セットの文字に制限することをお勧めします。
ユーザー・データベースが破損しないように、グループ名は慎重に命名されなければなりません。グループ名の先頭に - (ダッシュ)、+ (正符号)、@ (アットマーク)、~ (波形記号) を付けることはできません。 グループ名にキーワード ALL または default を使用することはできません。また、グループ名文字列には次の文字を使用しないでください。
項目 | 説明 |
---|---|
: | コロン |
" | 二重引用符 |
# | ポンド記号 |
, | コンマ |
= | 等号 |
¥ | 円記号 |
/ | スラッシュ |
? | 疑問符 |
' | 単一引用符 |
` | 逆引用符 |
また、Name パラメーターにスペース、タブ、または改行文字を使用できません。
フラグ
項目 | 説明 |
---|---|
-a | 管理グループを作成します。root ユーザーのみがこのフラグを使用できます。 |
-A | グループ管理者を、mkgroup コマンドを呼び出したユーザーに設定します。 |
-R load_module | ユーザーを作成するために使用されるロード可能 I&A モジュールを指定します。 |
Attribute=Value | 特定の属性でグループを初期化します。グループ属性の詳細については、chgroup コマンドのセクションを参照してください。 |
終了状況
項目 | 説明 |
---|---|
0 | コマンドが正常に実行され、要求されたすべての変更が行われました。 |
>0 | エラーが発生しました。 印刷されるエラー・メッセージには、コマンド失敗のタイプに関する詳細が示されます。 |
セキュリティー
アクセス制御: このコマンドは、実行 (x) アクセス権を root ユーザーとセキュリティー・グループのメンバーだけに付与します。このコマンドは、トラステッド・コンピューティング・ベース (TCB) 内のプログラムとしてインストールしなければなりません。このコマンドは、 setuid (SUID) ビットが設定されている root ユーザーが所有しなければなりません。
アクセスされるファイル:
モード | ファイル |
---|---|
rw | /etc/passwd |
rw | /etc/security/user |
rw | /etc/security/limits |
rw | /etc/security/environ |
rw | /etc/group |
rw | /etc/security/group |
r | /usr/lib/security/mkuser.default |
x | /usr/lib/security/mkuser.sys |
監査イベント:
イベント | 情報 |
---|---|
USER_Create | ユーザー |
制限
グループの作成は、すべてのロード可能 I&A モジュールによってサポートされるわけではありません。 ロード可能 I&A モジュールでグループの作成がサポートされない場合には、エラーが報告されます。
例
- finance という名前の新規のグループ・アカウントを作成するには、次のように入力します。
mkgroup finance
- payroll という名前の新規の管理グループ・アカウントを作成するには、次のように入力します。
root ユーザーのみがこのコマンドを入力できます。mkgroup -a payroll
- managers という名前の新規のグループ・アカウントを作成し、
自分を管理者として設定するには、次のように入力します。
mkgroup -A managers
- managers という名前の新規のグループ・アカウントを作成し、
管理者のリストを steve および mike に設定するには、
次のように入力します。
ユーザーの steve と mike は、システム上に存在していなければなりません。mkgroup adms=steve,mike managers
- LDAP I&A ロード可能モジュールのユーザーである新規のグループを作成するには、
次のように入力してください。
mkgroup -R LDAP monsters
ファイル
項目 | 説明 |
---|---|
/usr/bin/mkgroup | mkgroup コマンドが入っています。 |
/etc/group | グループの基本属性が入っています。 |
/etc/security/group | グループの拡張属性が入っています。 |
/etc/passwd | 基本ユーザー情報が入っています。 |
/etc/security/passwd | パスワード情報が入っています。 |