7    ユーザ・アカウントおよびグループの管理

ユーザ・アカウントの割り当てとグループ化は,システム・リソースをユーザに提供する最も一般的な方法です。 この章では,ユーザ・アカウントおよびグループの管理について以下の項目を説明します。

7.1    アカウント管理のオプションと制限

ローカル・システムの構成,ユーザ環境およびユーザの好みに応じて,ユーザ・アカウントの管理に使用できるいくつかの方法とさまざまなユーティリティがあります。 以降の各項では,管理方法の選択肢を示し,これらを使用する場合の制限および必要条件について説明します。

7.1.1    管理ユーティリティ

オペレーティング・システムには,アカウントを管理するさまざまなユーティリティがあります。 この章では,これらのユーティリティすべてについて詳しく説明しませんが,その使用に関する基本方針はすべてのユーティリティにおいて同じです。 各ユーティリティのオプションについての詳細は,個々のオンライン・ヘルプとリファレンス・ページを参照してください。

ユーティリティの一覧は,表 7-1 にリストされています。 これらのユーティリティを使用するには,UNIX システムの場合 root ユーザ,Windows NT の場合ドメイン管理者でなければなりません。

表 7-1:  アカウントおよびグループの管理ユーティリティ

ユーティリティ ユーザ環境の説明

SysMan Menu の「アカウント」オプション

「ローカル・ユーザとグループの管理」

「NIS ユーザとグループの管理」

「LDAP ユーザとグループの管理」

さまざまなユーザ環境で SysMan Menu を使用できます (第 1 章を参照)。 このユーティリティでは,アカウントとグループの追加および削除など,限られた管理機能が使用できます。 ASU (Advanced Server for UNIX) をインストールしてある場合は,このユーティリティを使用して,UNIX アカウントおよびグループの省略時の特性を管理することはできません。 関連する (同期化された) Windows NT ドメイン・アカウントの作成または削除を選択することはできません。 アカウントの省略時の構成 (useradd または usermod による) によって,これらの選択は自動的に行われます。

SysMan Menu の「アカウント」オプションのフィルタ (検索) 機能を使用すると,大量のユーザ・アカウントを管理する方法をカスタマイズできます。

アカウント・マネージャ (dxaccounts) これは,UNIX および Windows NT ドメインの両方のアカウントに関しての,ほとんどのユーザおよびグループの管理オプションを提供するグラフィカル・ユーザ・インタフェースです。 これは,SysMan Menu ツールではなく,X11 ベースのツールです。 CDE (省略時の UNIX 環境) は,X11 に準拠しています。

useradd
usermod
userdel

これらのコマンドは,文字セル環境の UNIX システムで実行するコマンド行ツールであり,すべてのユーザの管理作業ができます。 これらのコマンドを使用して,UNIX および関連する (同期化された) Windows NT ドメインの両方のアカウントを管理することができます。 また,アカウントの省略時の環境を構成することもできます。

groupadd
groupmod
groupdel

これらのコマンドは,文字セル環境の UNIX システムで実行するコマンド行ツールであり,すべてのユーザ・グループの管理作業ができます。 これらのコマンドを使用して,UNIX グループの省略時の環境を構成することができます。

ASU ドメイン・ユーザ・
マネージャ
User Manager for Domains

Microsoft Windows NT ベースの PC 用アプリケーション。 このユーティリティを使用して,Windows NT ドメインのアカウントを管理することができます。 このユーティリティと他の ASU ユーティリティを使用して,ポリシ管理オプションを使ってアカウントの省略時の特性を設定することができます。 UNIX アカウントの省略時の環境は構成できません。

ASU の net コマンド

UNIX システムの端末または Windows NT サーバを実行しているシステム上の DOS プロンプトで入力できるコマンド。 これらのコマンドの動作は,ASU User Manager for Domains ユーティリティと同じです。

Microsoft Windows ベースのユーティリティを使用するには,ASU (Advanced Server for UNIX) をインストールして構成する必要があります。 この章では,ASU ユーティリティの使用方法の詳細は説明していません。 ASU ユーティリティについては,UNIX サーバ上での ASU ソフトウェアの実行についてのみ説明しています。 ASU のインストレーションとその使用については,『Advanced Server for UNIX インストレーション/管理ガイド』を参照してください。

7.1.2    ユーティリティの使用についての説明と制限

以下の制限は,アカウント管理ユーティリティを使用する際に,または特定のシステム機能を使用可能にする際に適用されます。

7.1.3    関連ドキュメント

アカウント管理に関するその他のドキュメントには,マニュアル,リファレンス・ページ,およびオンライン・ヘルプがあります。

7.1.3.1    マニュアル

Tru64 UNIX オペレーティング・システムのドキュメント・セットの中で,アカウント管理について説明しているドキュメントは次のとおりです。

7.1.3.2    リファレンス・ページ

リファレンス・ページには,各種コマンドがサポートするすべてのオプションとスイッチの完全なリストが記載されています。 この章で参照するリファレンス・ページは次のとおりです。

7.1.3.3    オンライン・ヘルプ

SysMan Menu の [アカウント] オプションおよびアカウント・マネージャ dxaccounts には,すべてのオプションを説明し,適切なデータの入力方法を示すオンライン・ヘルプがあります。

コマンド行ルーチンの中には,コマンド構文のヘルプ・テキストを表示するものがあります。 このヘルプ・テキストは,-h または -help コマンド・フラグを指定して表示します。

7.1.4    関連ユーティリティ

次に示すリソースも,アカウントの管理に役立ちます。 これらのコマンドおよびユーティリティは,システム・クラッシュ後にグラフィカル・ユーザ環境が利用できない場合や,基本的な文字セル端末しかアクセスできない場合に,システムの問題を修正するのに役立つことがあります。

vipw

vipw を使用すると,テキスト・エディタを起動してパスワード・ファイルを手動で編集することができます。 ファイルの編集はできれば手動で行わずに,ユーティリティを使用してください。 vipw ユーティリティを使用してローカルのパスワード・データベースを編集することはできますが,NIS データベースを編集することはできません。 また,エンハンスト・セキュリティ機能を備えたシステム上でこのユーティリティを使用することはできません。

vipw ユーティリティでは,passwd ファイルを編集するだけでなく,他から使用できないように,ファイルがロックされます。 このコマンドは,root のパスワード・エントリの整合性をチェックして,passwd ファイルに間違ったルート・パスワードが入力されないようにします。 スタンドアロン・モードでは,vipw ユーティリティを使用して,破損した passwd ファイルにパッチをあてることもできます。

詳細は, vipw(8) を参照してください。

who

現在ログインしているユーザを表示します。 詳細は, who(1) を参照してください。

finger

パスワード・ファイルに記述されているユーザ情報を表示します。 詳細は, finger(1) を参照してください。

cshksh,および sh

cshksh,および sh コマンドは,C シェル,Korn シェルおよび POSIX シェルを起動しコマンドを処理します。

grpck

grpck コマンドを使用すると,group ファイルの整合性を検査できます。

pwck

pwck ユーティリティを使用すると,group ファイルと passwd ファイルの整合性を検査することができます。

quotaon

quotaon コマンドを使用すると,クォータ (制限) 情報を有効または無効にできます。

passwdchfn,および chsh

passwdchfn,および chsh コマンドを使用すると,ユーザはパスワード・ファイル情報を変更できます。 passwd では,パスワードを変更できます。 chfn では,フル・ネームを変更できます。 chsh では,ログイン・シェルを変更できます。

7.2    アカウント管理 - クイック・スタート

以降の項では,アカウント管理ユーティリティの起動手順について簡単に説明します。 この手順により,基本的なアカウントを簡単に作成することができます。 たとえば,root として,システムをインストールして構成した後に,とりあえず,アカウントの省略時の設定を使用して一般ユーザ・アカウントを設定することができます。 後に,7.3 節 および他の節を読むことで,システムの省略値の構成方法を理解し,アカウントおよびグループ管理ユーティリティの高度な機能を使用することができます。

7.2.1    システム・セットアップの際の初期アカウントの作成

オペレーティング・システムのフル・インストレーション後に,root ユーザとして最初にログインすると,順を追ってシステムの構成オプションを示す「システム・セットアップ」ユーティリティが表示されます。 「システム・セットアップ」の「アカウント・マネージャ」(dxaccounts) アイコンを使用して,初期アカウントを構成することができます。 このアイコンでは,共通デスクトップ環境 (CDE) または他の X ウィンドウ環境で動作する,X11 準拠の GUI が起動されます。 アカウント・マネージャの使用についての詳細は,7.5.2 項 を参照してください。 ASU がインストールされて構成されている場合は,アカウント・マネージャ (dxaccounts) GUI を使用して,Windows NT ドメイン・アカウントを管理することができます。 これについては,7.6 節 で説明しています。

7.2.2    アカウント・マネージャ (dxaccounts) GUI の使用

アカウント・マネージャ (dxaccounts) には,ドラッグ・アンド・ドロップやカット・アンド・ペーストなど,CDE 環境でサポートされている機能が用意されており,既存のアカウントから新しいアカウントを素早くクローニングできます。 この GUI は,次の方法で起動できます。

アカウント・マネージャ GUI (dxaccounts) には,ASU がインストールされている場合の Windows NT ドメイン・ユーザを管理するオプションも用意されています。 ASU がインストール/構成されていない場合,これらのオプションはウィンドウ上で淡色表示になります。

アカウント・マネージャ GUI (dxaccounts) を使用して,シェルや親ディレクトリなど,ユーザ・アカウントの省略時のオプションを構成することもできます。 詳細は,7.4.2.6 項を参照してください。

7.2.3    SysMan Menu の [アカウント] オプションの使用

SysMan Menu の [アカウント] オプションでは,dxaccounts と同じ機能を使用できますが,次の機能のサポートに制限があります。

SysMan Menu の [アカウント] オプションは,CDE の「アプリケーション・マネージャ」や,CDE のフロント・パネル ([SysMan アプリケーション] メニュー) で,または次のようにコマンド行で実行することができます。

# sysman accounts

[アカウント] オプションを使用して,ネットワーク情報サービス (NIS) 環境と LDAP (Lightweight Directory Access Protocol) 環境でアカウントを追加したり,変更したりすることもできます。 ローカル・ユーザを NIS 環境に追加することなく,システムに追加することができます。 NIS については,『ネットワーク管理ガイド:サービス編』 を参照してください。

SysMan Menu で [アカウント] オプションを使用するには,第 1 章 に説明されているように SysMan Menu を表示して,次のようにオプションを展開します。

  1. [アカウント] オプションを選択して,メニューを展開します。 次のメニュー・オプションが表示されます。

  2. マウス・ポインタ (または Tab キー) を使用してオプションを選択します。 マウスの第一ボタン (MB1) をクリックするか,または Enter キーを押してユーティリティを起動します。

  3. ユーティリティの初期ウィンドウ (画面) が開きます。 次のオプションがあります。

    [追加...]

    このオプションを使用して,新しいユーザ・アカウントを作成します。

    [修正...]

    このオプションを使用して,既存のユーザ・アカウントのアカウント詳細を変更します。

    [削除...]

    このオプションを使用して,ユーザ・アカウントと,そのシステム・リソースすべて (省略可能) を削除します。

    [フィルタ...]

    このオプションを使用して,特定のユーザまたはユーザ群をフィルタリング (検索) します。 ユーザの UID やアカウントのコメントなど,さまざまな検索条件を指定できます。

    [オプション...]

    このオプションを使用して,フィルタリングを自動的に開始するアカウントの数を定義します。 また,ユーザ・アカウントのリストにどのユーザ・データを含めるかも選択できます。

これらのユーティリティの使用についての詳細は,7.5.1 項およびオンライン・ヘルプで説明しています。

7.2.4    コマンド行ユーティリティの使用

アカウントおよびグループの管理に使用できるコマンド行ユーティリティは次のとおりです。

useraddusermod,および userdel

これらのコマンドを使用してユーザ・アカウントを追加,変更または削除します。

groupaddgroupmod,および groupdel

これらのコマンドを使用して,グループを追加,変更および削除します。

adduser および addgroup

adduser(8) および addgroup(8) に説明されているこれらのユーティリティは,旧バージョンとの互換性のためだけに提供されている古い対話式のスクリプトです。 これらのスクリプトをまだ使用している場合は,文字セル端末や Windows NT などを含む作業環境をサポートする新しいユーティリティに移行する必要があります。

また,コマンド行ユーティリティは,ASU がインストールされている場合に Windows NT ドメインの管理オプションを提供します。

7.2.5    Advanced Server for UNIX

ASU (Advanced Server for UNIX) は,UNIX オペレーティング・システムを実行しているサーバに Windows NT バージョン 4.0 サーバのサービスおよび機能を実装するレイヤード・アプリケーションです。 これを使用すると,Windows を実行しているシステムにとって,UNIX システムは Windows NT バージョン 4.0 サーバのように見えます。 ASU を使用することで,UNIX ファイル・システムおよびプリンタを共通資源として共用することができます。 クライアント Windows ユーザが,UNIX リソースを共用するためには,省略時構成では Windows NT ドメイン・アカウントと UNIX アカウントの両方が必要です。 ASU が動作している場合,この章で説明する UNIX アカウント管理ユーティリティを使用して,アカウントの新規作成など,アカウントの特定の管理作業を行うことができます。

ASU ソフトウェアは「Associated Products Volume 2」CD-ROM で配布され,オペレーティング・システムのライセンスで 2 台まで自由に接続できます。 それ以上の台数で使用する場合は,別途ライセンスが必要です。 ソフトウェア・キットに添付されている『Advanced Server for UNIX インストレーション/管理ガイド』を参照してください。

7.3    ユーザ・アカウントおよびグループの概要

ユーザ・アカウントおよびグループの管理には,システムのパスワード・ファイルおよびグループ・ファイルの内容の管理が伴います。 スタンドアロン・システムでは,管理するファイルは /etc/passwd ( passwd(1) を参照) および /etc/group ( group(4) を参照) です。

ネットワーク・システムでは,通常,ネットワーク情報サービス (NIS) または LDAP (Lightweight Directory Access Protocol) を使用して,アカウントおよびグループが中央で管理されます。 NIS または LDAP を使用すると,ネットワーク上のシステムは,共通のパスワード・ファイルとグループ・ファイルを使用することができます。 詳細については,『ネットワーク管理ガイド:サービス編』と www.OpenLDAP.org を参照してください。

エンハンスト (C2) セキュリティ機能がシステムで利用できる場合は,セキュリティのために /etc/passwd ファイル以外のファイルも管理する必要があります。 たとえば,セキュリティ関連情報 (最小パスワード長やパスワードの満了日など) のために,保護パスワード・データベースが使用されます。 これらのタスクについては,『セキュリティ管理ガイド』に説明があります。

7.3.1    システム・ファイル

次のシステム・ファイルは,アカウント管理作業を実行するときにアップデートされます。 これらのファイル・システムは定期的にバックアップする必要があります。

/etc/group

/etc/group ファイルには,グループ・データを記述します。 各行ではそれぞれ,グループ名,オプションの暗号化されたパスワード,数字のグループ ID,セカンダリ・グループ内のすべてのユーザのリストを,たとえば次のように指定します。

system:*:0:root luis
daemon:*:1:daemon
uucp:*:2:uucp
mem:*:3:
kmem:*:3:root
bin:*:4:bin,adm
sec:*:5:
cron:*:14:
.
.
.
users:*:15:billP carsonK raviL annieO
sysadmin:*:16:
tape:*:17:
.
.
.

/etc/passwd

/etc/passwd ファイルには,各ユーザごとに 1 行のレコードが含まれています。 各レコードは,7 個のフィールドから構成されています。 詳細については,7.3.3 項 を参照してください。 このファイルの例を次に示します。

carsonK:6xl6duyF4JaEI:200:15:Kit Carson,3x192,1-6942,
:/usr/users/carsonK:/bin/sh
annieO:.murv3n1pg2Dg:200:15:Annie Olsen,3x782,1-6982,
:/usr/users/annieO:/bin/sh
 
 

例ではページに入るように改行されていますが,ファイル内ではそれぞれ 1 行です。

/usr/skel

/usr/skel ディレクトリには,.login ファイルなど,新規アカウント用のスケルトン・ファイルが置かれています。 各ユーザは,これらのファイルを編集して,ローカル環境に合わせてアカウントをカスタマイズすることができます。 たとえば,環境変数を定義したり,プログラムまたはプロジェクト・ファイルの省略時のパスを定義します。 /etc/shells ファイルには,システムで使用できるコマンド・シェルのリストが含まれています。

ログ・ファイル

ログ・ファイル /var/adm/wtmp/var/adm/utmp および /usr/var/adm/syslog.dated ディレクトリ内のログ・ファイルには,アカウントの使用状況に関する情報が記録されます。

エンハンスト・セキュリティ機能を使用している場合は,以下のセキュリティ・ファイルが関係してきます。

ネットワーク情報サービス (NIS) を使用している場合は,以下のNIS ファイルが関係してきます。 NIS マスタ・データベースにあるこれらのファイルをバックアップすることを忘れないでください。

LDAP 情報は,LDAP データベースに格納されています。 このデータベースは,バックアップする必要があります。

以下のログ・ファイルには,アカウントの使用状況に関する情報が記録されます。

7.3.2    識別子 (UID と GID) の概要

各ユーザ・アカウントは,ユーザ識別子 (UID) と呼ばれる一意の番号によって認識されます。 また,各ユーザはグループ識別子 (GID) と呼ばれる一意の番号によっても認識されます。 システムはこれらの番号を使用して,ユーザ・ファイルのアクセス許可およびグループの特権を追跡し,ユーザ課金統計情報を収集します。

UID および GID に指定できる最大数は,4,294,967,294 (32 ビット,このうち 2 つの値が予約済) です。 ログオンできるユーザの最大数は,使用できるシステム資源によって決まります。 ただし,実際の値はその最大数よりもはるかに小さくなります。 最大数の UID と GID を使用する場合,古いユーティリティおよびアプリケーションの中にはこの最大値をサポートしていないものがあるため,次の注意が必要です。

7.3.3    パスワード・ファイル

スタンドアロン・システムでは,passwd ファイルによって,root も含めシステムの各ユーザが識別されます。 passwd ファイルの各エントリは,1 行に記述し,7 個のフィールドがあります。 各フィールドはコロンで区切られ,最後のフィールドは復帰改行文字で終わります。 各エントリの構文および各フィールドの意味は次のとおりです。

username:password:user_id:group_id:user_info:login_directory:login_shell

username

ユーザ・アカウントの名前。 username は一意であって,1 〜 8 文字の英数字でなければなりません。

password

パスワードは,直接入力することはできません。 アカウントへのログインを不可にするには,* (アスタリスク) をその passwd フィールドに記述します。 パスワード・フィールドが空の場合は,そのログイン名を知っていれば誰でもそのユーザとしてシステムにログインすることができます。

user_id

このアカウントの UID (整数で指定)。 この値は,システムの各ユーザに対応しており,一意でなければなりません。 UID 0 は,root 用です。 各 UID は,100 から昇順に割り当てます。 100 未満の番号は,bindaemon などの擬似ユーザに使用されます。 (/usr/include/limits.h ファイルも参照してください。)

group_id

このアカウントの GID (整数で指定)。 この上限値については,『Tru64 UNIX 概要』 を参照してください。 GID 0 は,system グループ用です。 この GID は,group ファイルに必ず定義しておきます。

user_info (または GECOS データ)

このフィールドには,ユーザのフルネーム,オフィスの住所,電話の内線番号,および自宅の電話番号などの補足のユーザ情報を記述します。 user_info フィールドの情報は finger コマンドが読み取ります。 ユーザは,chfn コマンドで user_info フィールドの内容を変更することができます。 詳細は,リファレンス・ページの finger(1) および chfn(1) を参照してください。

login_directory

ログイン直後にユーザ・アカウントが置かれるディレクトリの絶対パス名。 このパス名は,login プログラムにより HOME 環境変数に割り当てられます。 HOME 変数の値はユーザが変更することができますが,値を変更すると,ホーム・ディレクトリとログイン・ディレクトリは別のディレクトリとなります。 passwd ファイルにユーザ・アカウントを追加した後,ログイン・ディレクトリを作成します。 通常,ユーザの名前をログイン・ディレクトリ名として使用します。 ログイン・ディレクトリの作成についての詳細は, chown(1)mkdir(1)chmod(1),および chgrp(1) を参照してください。

login_shell

ユーザがログインした後に起動するプログラムの絶対パス名。 このフィールドに何も指定しないと,Bourne シェル /bin/sh が起動されます。 Bourne シェルについての詳細は, sh(1b) を参照してください。 ユーザは,chsh コマンドを使用してログイン・シェルを変更することができます。 詳細は, chsh(1) を参照してください。

ウィンドウ (グラフィカル) ユーザ環境では,アカウント・マネージャ (dxaccounts) などのユーティリティを使用して,passwd および mkdir などのコマンドによる操作のすべてを実行することができます。

コマンド行ユーティリティでは,省略時の特性の設定および変更を,制限なく行うことができますが,グラフィカル・ユーティリティの中には,省略時の特性を新規アカウントに対してだけに限って,設定できるものがあります。 アカウント・マネージャ (dxaccounts) を使用した操作については,7.4.2.6 項 を参照してください。

/etc/passwd ファイルが非常に大きい場合は,性能が低下することがあります。 passwd のエントリ数が 30,000 を超える場合,mkpasswd はハッシュ (ndbm) データベースの作成に失敗することがあります。 このデータベースの目的は,パスワード・ファイル情報の効率的な (速い) 探索であるため,このデータベースの構築に失敗すると,このデータベースに依存するコマンドは,/etc/passwd を順次探索するようになります。 その結果,これらのコマンドで大幅な性能低下が起こります。

mkpasswd -s オプションを使用して,この種の障害を回避することができますが,潜在的なデータベースまたはバイナリ互換の問題が生ずる可能性があります。 mkpasswd で作成されたパスワード・データベースにアクセスするアプリケーションが静的に (非共用で) 構築されている場合,そのアプリケーションはパスワード・データベースに対して,読み取りまたは書き込みを正しく行うことができなくなります。 このため,アプリケーションは,誤った結果を生成して失敗するか,またはコアをダンプを出力して失敗します。

静的にリンクされたアプリケーションは, ndbm(3) リファレンス・ページに記載されている libc ndbm ルーチンのいずれかを直接あるいは間接的に呼び出したのち,パスワード・データベースにアクセスすると,影響を受けることがあります。 この状態を解決するには,アプリケーションを再リンクする必要があります。 この互換性の問題を避けるには,mkpasswd -s オプションを使用しないでください。

注意

NIS 環境では,ローカルの passwd ファイルあるいは NIS 分散 passwd ファイルのいずれかにユーザ・アカウントを追加することができます。 ローカルの passwd ファイルにアカウントを追加した場合,そのアカウントはローカル・システムでのみ認識されます。 NIS 分散 passwd ファイルにアカウントを追加した場合,追加したアカウントは,その分散 passwd ファイルにアクセスできるすべての NIS クライアントで認識されます。 分散環境におけるユーザの追加についての詳細は, nis_manual_setup(7) を参照してください。

同様に,LDAP ユーザもグローバルです。

7.3.4    グループ・ファイル

すべてのユーザは,少なくとも 1 つのグループのメンバです。 group ファイルでは,ユーザのグループ名を定義します。 ユーザは必ずいずれかのグループに属します。 ユーザ・アカウントをグループ化する理由には,主として次の 2 つがあります。

group ファイルは次の目的で使用されます。

group ファイルの各エントリは,1 行で記述され,4 個のフィールドがあります。 各フィールドはコロンで区切られ,最後のフィールドは改行文字で終わります。 エントリの構文および各フィールドの意味は,次のとおりです。

groupname: password: group_id: user1 [user2,...,userN]

groupname

このエントリによって定義されるグループの名前。 groupname は,1 〜 8 文字の英数字からなり,一意でなければなりません。

password

このフィールドには * (アスタリスク) を記述します。 このフィールドのエントリは現在は無視されます。

group_id

このグループのグループ識別番号 (GID) (整数で指定)。 この範囲の上限については,『Tru64 UNIX 概要』 を参照してください。 GID 0 は,システム用です。 GID は一意でなければなりません。

user

passwd ファイルで定義されたユーザ名で識別される,このグループに属するユーザ・アカウント。 2 人以上のユーザがグループに属している場合,各ユーザ・アカウントはコンマで区切られます。 最後のユーザ・アカウントは,改行文字で終わります。 ユーザは複数のグループのメンバになることができます。

リファレンス・ページの group(4) で説明しているように,1 人のユーザが属することができるグループ数には制限があります。 行の長さの上限は,/usr/include/limits.h ファイルで LINE_MAX として定義されています。 ユーザ・アカウントを複数の管理上のグループに分割することをお勧めします。

特定の GID の省略値を,グラフィカル・ユーティリティまたはコマンド行ユーティリティを使用して設定することもできます。 アカウント・マネージャ GUI (dxaccounts) による省略値の設定方法については,7.4.2.6 項 を参照してください。

7.4    ユーザ・アカウントの管理

以降の各項で次の管理方法について説明します。

useradd コマンド行ユーティリティを使用する方法もあり,リファレンス・ページに説明されていますが,このユーティリティでは,NIS アカウントはサポートしていません。 NIS については 『ネットワーク管理ガイド:サービス編』 を参照してください。 SysMan Menu の [アカウント] オプションは,端末,X11,または Java クライアントから使用することができます。

注意

adduser はすべてのオプションを提供していないため,またそのセキュリティを詳細に設定できないため,このユーティリティは使用しないでください。 システム・ファイルの整合性を維持するために,ユーザ・アカウントを手動で追加しないでください。

7.4.1    SysMan Menu の [アカウント] オプションの使用

以降の各項では,SysMan Menu オプションを使用して新規アカウントを作成する方法について説明します。 次の作業について説明します。

SysMan Menu ユーティリティのフィールドにデータをキーボードを使って入力する方法については,オンライン・ヘルプを参照してください。

7.4.1.1    アカウント情報の収集

アカウントの管理を始める前に,表 7-2 のワークシートを使って情報を収集します。 エンハンスト・セキュリティ機能を使用している場合,データ項目は最低限の必要条件 (パスワードの長さなど) を満たす必要があります。 詳細については,『セキュリティ管理ガイド』を参照してください。

passwd ファイルのデータ項目の説明については,7.3.3 項 を参照してください。

表 7-2:  アカウント管理ワークシート

フィールド 説明 データ項目

ユーザ名*

   
コメント (gecos) フルネーム  
場所  
電話番号  
ユーザ ID (UID)* 自動的に割り当てられる  
パスワード* 大文字と小文字または英数字を混在させる  
プライマリ・グループ* 自動的に割り当てられる  
セカンダリ・グループ    
シェル 選択可能  
ホーム・ディレクトリ* 自動作成可能  
アカウントのロック    
ローカル・ユーザ    
NIS ユーザ    
Windows ユーザ 共用が必要  

* は必須フィールドであることを示しています。

一般的なユーザ・データの例を,表 7-3 に示します。

表 7-3:  データの例を記入したアカウント管理ワークシート

フィールド 説明 データ項目

ユーザ名*

  carsonK
コメント (gecos) フルネーム Kit Carson
場所 オフィス 3T-34
電話番号 4-5132
ユーザ ID (UID)* 自動的に割り当てられる 次の使用可能な UID を使用
パスワード* 大文字と小文字または英数字を混在させる サイト固有の初期パスワードを使用
プライマリ・グループ 自動的に割り当てられる users
セカンダリ・グループ   marsx,25
シェル 選択可能 ksh
ホーム・ディレクトリ* 自動作成 /usr/marsx/carsonK
アカウントのロック   no
ローカル・ユーザ   no
NIS ユーザ   yes
Windows ユーザ   yes,\\maul\astools を共用

* は必須フィールドであることを示しています。

7.4.1.2    フィルタ・オプションと表示オプションの設定

フィルタ・オプション (7.4.1.3 項を参照) と表示オプションを構成するには,SysMan の [ローカル・ユーザの管理] の[オプション...] を使用します。 オプションを設定するには,SysMan Menu を起動し,7.2.3 項の説明のように [ローカル・ユーザの管理] オプションを選択します。

[オプション...] ボタンを選択すると,「SysMan アカウント管理: プログラム・オプション」ウィンドウがオープンされ,次の設定を構成できます。 ここでは,一部のオプション名を短縮しています。 短縮されている名前は,ウィンドウ内では内容を示す行として表示されます。

「開始時に合計ユーザ数が右記の数字を越えている場合に警告」

このオプションは,フィルタ機能のトリガ値の設定に使用します。 省略時の設定は,200 ユーザ・アカウントです。

この機能は,ユーザ・アカウントが多数 (数百または数千) ある場合に便利です。 システム上のアカウントが多いほど,SysMan アカウント・タスクがすべてのアカウントを見つけて表示するのに時間がかかります。 トリガ値を設定すると,省略時の設定で,SysMan アカウント・タスクがスタートアップ時にフィルタ (検索) モードになります。 特定のアカウントやアカウント群を選択できるようになるため,検索および表示の時間が大幅に短縮されます。

たとえば,300 ユーザ・アカウントを設定した場合,アカウント数が 300 を超えた場合だけ,SysMan「アカウント」が省略時の設定でフィルタ・モードになります。

「ユーザ名」

このチェックボックスは,すべてのアカウント・リスト内にユーザ・アカウント名が表示されるようにします。

「ユーザ ID (UID)」

このチェックボックスは,すべてのアカウント・リスト内にユーザ識別子 (UID) が表示されるようにします。

「コメント」

このチェックボックスは,すべてのアカウント・リスト内にアカウントのコメント (場所や電話番号など) が表示されるようにします。

チェックボックスを選択すると,フィルタ・オプションに影響します。 アカウントのフィルタは,表示されたデータだけをベースに,アカウントをフィルタリングします。

7.4.1.3    フィルタ・オプションの使用

アカウントが多数ある場合は,[フィルタ...] オプションを使用すると,特定のアカウントやアカウントのグループを素早く見つけることができます。 フィルタは,[オプション...] (7.4.1.2 項を参照) を設定することで自動的に起動できます。 自動起動を使用すると,アカウント・マネージャがすべてのユーザ・アカウント・データを見つけてロードする際の遅延を回避できます。 この機能を使用して,ローカル・アカウントと NIS アカウントの両方をフィルタリングできます。

検索およびフィルタ・オプションを使用するには,SysMan Menu を起動し,[ローカル・ユーザの管理] オプションを選択します (7.2.3 項を参照)。 [フィルタ...] を選択して,「ローカル・ユーザの管理: 表示」というタイトルのダイアログ・ボックスをオープンします。 このウィンドウを使用すると,簡単な検索や高度な検索ができます。

簡単な検索を行うには,次の手順を実行します。

フィルタ (検索文字列) を 1 つ入力するか,フィルタのセットを入力します。 簡単な検索はすべて,次のように入力されたアカウント名をベースに行われます。

フィルタ指定と一致したアカウントは,「ローカル・ユーザの管理」ウィンドウにリストされます。 このウィンドウの上部には,オリジナルのフィルタ文字列が表示されます。

高度な検索を実行するには,次の手順に従います。

[拡張] を選択し,追加のフィルタ・オプションを表示します。 検索オプションを起動するには,チェックボックスを選択します。

次のフィルタ・オプションがあります。

「検索するユーザ名 (フィルタ)」

簡単な検索オプションで説明したのと同様にフィルタを入力します。

「検索するユーザ ID の範囲」

1-100 のように UID の制限範囲を入力するか,終端なしの範囲 (UID が 100 以上のアカウントをすべて見つけるためには 100-,UID が 100 以下のアカウントをすべて見つけるために -100 など) を入力します。

「検索するコメント・フィールドのパターン」

ユーザ・アカウントを作成する際に「コメント」(GECOS データ) フィールドに入力されたデータで検索する検索パターンを入力します。

このデータは,電話番号や,物理的位置,その他のユーザ固有情報です。 このパターンの定義には,アスタリスク (*) や疑問符 (?) のワイルドカードが使用できます。 たとえば,*string* や,*Sub* などです。

「LOCKED または UNLOCKED 検索基準」

このオプションを使用すると,ロックされたアカウントやロック解除されたアカウントを含める (または除外する) ことができます。 このオプションを使用して,現在ロックされているすべてのアカウントを見つけることができます。

簡易検索の内容をクリアしないで拡張検索を起動すると,警告ダイアログがオープンします。 この警告ダイアログが表示された場合,[了解] を選択して高度な検索を確定します。 これにより,簡単な検索で指定した検索方法が無効になります。

7.4.1.4    ローカル・アカウントの作成と変更

新しいアカウントを作成するには,7.2.3 項 に説明されているように,SysMan Menu を表示して [ローカル・ユーザの管理] オプションを選択します。 既存のローカル・ユーザ・アカウントのすべてのリストが表示されます。

オンライン・ヘルプでは,これらのフィールドとその有効なデータについて説明しています。

次の手順に従ってローカル・ユーザを追加します。

  1. [追加...] オプションを選択して「ローカル・ユーザの管理: ユーザの追加」ダイアログ・ボックスをオープンします。

  2. 表 7-2 のワークシートの情報を使用して,データ・フィールドを入力します。

  3. ほかに,NIS オプションが必要な場合は,[オプション...] を選択します。 「オプション」ダイアログ・ボックスがオープンします。 適切な NIS オプションを選択して,[了解] ボタンを選択し,「ユーザの追加」ダイアログボックスに戻ります。

  4. [了解] ボタンを選択して,新規ユーザを追加します。 パスワードの入力ミスの確認など,エラーがある場合は,ユーティリティからその修正を促すプロンプトが表示されます。

  5. 「ローカル・ユーザ」ウィンドウがオープンし,確認メッセージが示されます。 [了解] を選択して,SysMan Menu に戻ります。

既存のアカウントを変更するには,7.2.3 項 に説明されているように,SysMan Menu を表示して [ローカル・ユーザの管理] オプションを選択します。 ローカル・ユーザ・テーブルが表示され,既存のローカル・ユーザ・アカウントがリストされます。

オンライン・ヘルプでは,これらのフィールドとその有効なデータについて説明しています。

次の手順に従ってユーザのエントリを変更します。

  1. ユーザのリストをスクロールして,変更するエントリを選択します。

  2. [修正...] を選択して「ローカル・ユーザ管理: ユーザの修正」ウィンドウをオープンします。

  3. 必要に応じて,データ・フィールドの値を変更します。

  4. NIS オプションの追加が必要な場合は,[オプション...] を選択します。 「オプション」ダイアログ・ボックスがオープンします。 適切な NIS オプションを選択して,[了解] を選択し,「ユーザの変更」ウィンドウに戻ります。

    複数のアカウントを追加または変更するには,[了解] の代わりに [適用] を選択します。 加えたすべての変更は,[了解] を選択して作業を終了するまで有効になりません。

  5. [了解] を選択して変更を確認します。 パスワードの入力ミスの確認など,エラーがある場合は,ユーティリティからその修正を促すプロンプトが表示されます。

  6. 「ローカル・ユーザ管理」ウィンドウがオープンし,確認メッセージが示されます。 [了解] を選択して,SysMan Menu に戻ります。

7.4.1.5    ローカル・アカウントの削除

アカウントを削除する前に,次の事項を検討してください。

アカウントを削除するには,7.2.3 項 に説明されているように,[ローカル・ユーザ管理] オプションを選択します。 ローカル・ユーザ・テーブルが表示され,既存のアカウントがすべてリストされます。 次の手順に従ってユーザを削除します。

  1. ユーザのリストをスクロールして,削除するユーザ・アカウントを選択します。

  2. [削除...] を選択して,「ローカル・ユーザ管理: ユーザの削除」ダイアログ・ボックスをオープンします。

  3. ユーザのリソースを削除してディスク・スペースを解放する場合は,「ユーザとディレクトリとファイルを削除」を選択します。

  4. [了解] を選択してアカウントを削除します。 ローカル・ユーザのリストが即座にアップデートされます。

7.4.1.6    LDAP アカウントと NIS アカウントの作成と変更

新しい LDAP アカウントまたは NIS アカウントを作成するには,SysMan Menu を表示して,7.2.3 項 に説明されているように,[NIS ユーザの管理] オプションまたは [LDAP ユーザの管理] オプションを選択します。 「LDAP Users」テーブルまたは「NIS Users」テーブルが表示され,既存のローカル・ユーザ・アカウントがすべてリストされます。 次の手順に従ってローカル・ユーザのアカウントを作成します。

  1. [追加...] オプションを選択して,「LDAP ユーザの管理: ユーザの追加」ウィンドウまたは「NIS ユーザの管理: ユーザの追加」ウィンドウをオープンします。

  2. 表 7-2 に示されているワークシートの情報を使って,データ・フィールドを入力します。

  3. [了解] を選択して新しいユーザを追加します。 パスワードの入力ミスの確認など,エラーがある場合は,ユーティリティからその修正を促すプロンプトが表示されます。

  4. 「LDAP ユーザ管理」ウィンドウまたは「NIS ユーザ管理」ウィンドウがオープンし,追加が正常に行われたことを示す確認メッセージが表示されます。 [了解] を選択して,SysMan Menu に戻ります。

既存のアカウントを変更するには,SysMan Menu を表示して,7.2.3 項 に説明されているように,[LDAP ユーザの管理] オプションまたは [NIS ユーザの管理] オプションを選択します。 LDAP ユーザ・テーブルまたは NIS ユーザ・テーブルに,既存のローカル・ユーザ・アカウントがすべてリストされます。 次の手順に従ってユーザのエントリを変更します。

  1. LDAP ユーザまたは NIS ユーザのリストをスクロールして,変更するユーザ・アカウントを選択します。

  2. [修正...] を選択して,「LDAP ユーザの管理: ユーザの修正」ウィンドウまたは「NIS ユーザの管理: ユーザの修正」ダイアログ・ボックスを表示します。

  3. 必要に応じて,データ・フィールドの値を変更します。

  4. [了解] を選択して変更を確認します。 パスワードの入力ミスの確認など,エラーがある場合は,ユーティリティからその修正を促すプロンプトが表示されます。

    複数のアカウントを追加するには,[了解] の代わりに [適用] を選択します。 加えたすべての変更は,[了解] を選択して作業を終了するまで有効になりません。

  5. 「ローカル・ユーザ」ウィンドウがオープンし,変更が正常に行われたことを示す確認メッセージが表示されます。 [了解] を選択して,SysMan Menu に戻ります。

オンライン・ヘルプは,フィールドとその有効なデータについて説明しています。

7.4.1.7    LDAP アカウントと NIS アカウントの削除

LDAP アカウントまたは NIS アカウントを削除するには,7.2.3 項 の説明に従って,[LDAP ユーザの管理] オプション または [NIS ユーザの管理] オプションを選択します。 LDAP ユーザ・テーブルまたは NIS ユーザ・テーブルに,既存のアカウントがすべてリストされます。

次の手順に従ってユーザを削除します。

  1. ユーザのリストをスクロールして,削除するアカウントを選択します。

  2. [削除...] オプションを選択して,「LDAP ユーザの管理: ユーザの削除」ダイアログボックスまたは「NIS ユーザの管理: ユーザの削除」ダイアログボックスをオープンします。

  3. ユーザのリソースを削除してディスク・スペースを解放する場合は,「ユーザのディレクトリとファイルを削除」を選択します。

  4. [了解] を選択してアカウントを削除します。 LDAP ユーザまたは NIS ユーザのリストが即座にアップデートされます。

7.4.2    アカウント・マネージャ (dxaccounts) の使用

7.2.2 項のクイック・スタートの説明に従って,アカウント・マネージャ GUI (dxaccounts) を起動します。 「アカウント・マネージャ: <host> 」ウィンドウが最初にオープンします。 表 7-2 に示したワークシートで収集したデータを使用して,以下の手順に従ってアカウントを管理します。

アカウント・マネージャ GUI を使用する際は,以下の手順に従ってアカウントを追加,変更,または削除します。 これらの手順は,NIS データベースを変更する権限が必要になること以外は,NIS ユーザの管理手順と同じです。 (NIS についての詳細は,『ネットワーク管理ガイド:サービス編』を参照してください。)

大半のオプションは,ユーザ・アカウント・データベースに影響を及ぼすため,root の権限が必要です。 データベースに影響を及ぼさないオプションは,すべてのユーザが使用できます。 このようなオブションの例としては,アカウントを検索するための Find オプションがあります。

ASU がインストールされている場合は,追加のオプションが「dxaccounts」ウィンドウに表示されます。 このウィンドウを使用して,Windows NT ドメインのアカウントを管理すると同時に,対応する UNIX アカウントを作成することができます。 ASU についての詳細は,『Advanced Server for UNIX インストレーション/管理ガイド』を参照してください。

エンハンスト (C2) セキュリティが使用可能な場合は,追加のオプションによって,有効なセキュリティの設定に従いアカウントを廃止し使用不能にできます。 詳細は,『セキュリティ管理ガイド』を参照してください。

7.4.2.1    アカウントの追加と変更

「アカウント・マネージャ: <host>」ウィンドウを使用すると,次の手順でユーザ・アカウントの追加や変更ができます。

アカウントの追加や変更を行うには,次の手順を使用します。

  1. 現在の表示が「ローカル・ユーザ」でない場合は,[表示] プルダウン・メニューを表示して [ローカル・ユーザ] オプションを選択します。

  2. [追加] を選択して「ローカル・ユーザの追加/修正」ダイアログボックスをオープンし,[追加] を選択します。

    既存のアカウントを変更する場合は,ユーザのアイコンをダブルクリックします。

  3. 「ユーザ名」フィールドに新しいユーザ名を入力します。

  4. 使用可能な次の UID を選択するか,新しい UID を入力します。

    ユーザの UID をアカウント・マネージャで変更しても,ユーザのファイルおよびサブディレクトリの所有権は変更されません。 また,場合によっては,ホーム・ディレクトリの所有権も変更されないことがあります。 たとえば,ユーザ johndoe の UID を 200 から 201 に変更しても,そのホーム・ディレクトリ下のファイルおよびサブディレクトリは,UID 200 に属したままです。 さらに,johndoe が自分のホーム・ディレクトリを所有していない場合は,そのディレクトリの所有権も変更されません。 この問題を回避するには,chown コマンドを使用して,該当するディレクトリおよびファイルの所有権を変更します。

  5. プルダウン・メニューを使用してプライマリ (1 次) グループを選択するか,またはテキスト・フィールドをクリアしてグループ名を入力します。

    セカンダリ (2 次) グループを指定する場合は,[セカンダリ・グループ...] を選択します。 「セカンダリ・グループ」ウィンドウで,目的のローカル・グループまたは NIS グループ (使用可能な場合) をダブルクリックします。

  6. プルダウン・メニューで使用するシェルを選択します。

  7. ホーム・ディレクトリが省略時のディレクトリ /usr/users/<username> に作成されます。 必要に応じて,代替パスを入力します。

  8. [パスワード...] を選択して初期パスワードを入力します。 ローカル・セキュリティの設定で定義された長さの文字列を大文字と小文字または英数字を混在させて入力します。

  9. コメント・フィールド (GECOS フィールド・データ) のユーザ情報を入力します。

  10. 次のボックスをチェックできます。

    「ホームディレクトリを作成する」

    正しい所有者と保護モードでディレクトリを作成します。

    「アカウントをロックする」

    このボックスをクリアするまで,ユーザはログインできません。

  11. [了解] を選択してアカウントを作成して,アカウント・マネージャのメイン・ウィンドウに戻ります。 パスワードの入力ミスの確認など,エラーがある場合は,ユーティリティからその修正を促すプロンプトが表示されます。

    現在のビューは,新規ユーザのアイコンでアップデートされます。

7.4.2.2    アカウントの削除

7.2.2 項の説明に従って,dxaccounts ユーティリティを起動します。 「アカウント・マネージャ: <host>」ウィンドウが最初に表示されます。 次の手順でアカウントを削除します。

  1. 削除するアカウントのアイコンをダブルクリックします。 多数のアカウントがある場合は,7.4.2.3 項の説明のオプションを使用して,アカウントを見つけます。

  2. [削除] を選択します。 「ローカル UNIX ユーザの削除」ウィンドウがオープンします。 このウィンドウで,ユーザのファイルおよびディレクトリを削除できます。 ファイルおよびディレクトリをアーカイブする場合は,dxarchiver オプションを参照してください。

  3. [了解] を選択して削除を確認し,「アカウント・マネージャ: <host>」ウィンドウに戻ります。 ユーザ・アカウントの削除が即座にこのウィンドウに反映されます。

7.4.2.3    アカウントの検索と選択

dxaccounts ユーティリティには,ユーザ・アカウントを探すのに役立つ検索機能があります。 この機能を使用して,ユーザ・シェルまたはパスワードなどの変更をグローバルに適用するユーザのグループを選択することもできます。

7.2.2 項の説明に従って,dxaccounts ユーティリティを起動します。 「アカウント・マネージャ: <host>」ウィンドウが最初にオープンします。 次の手順に従って検索します。

  1. [検索] を選択します。

  2. いずれかのフィールドに検索文字列 (テキスト文字列) を入力して,[了解] を選択します。

[検索] オプションは,検索フィールドに検索文字列が含まれているアカウントをすべて見つけて表示します。 次に例を示します。

  1. 「ユーザ名」フィールドに文字列 ad を入力して,[了解] を選択します。

  2. 「選択されたユーザ」ウィンドウがオープンし,検索条件に一致したユーザがリストされます。

  3. 一致したユーザには,admadminadamK および wadmanB が含まれます。 これらのユーザ・アカウントは,現在のビューで強調表示されます。

ユーザ・アカウントのグループを選択してから変更または削除オプションを選択すると,選択したユーザに対してグローバル操作を実行できます。

7.4.2.4    アカウントのコピー

既存のアカウントをテンプレートとして使用して新しいアカウントを作成し,アカウントのプロパティをクローニングすることができます。 1 つ以上のアカウントの正確な複製を,次の手順で作成できます。

  1. 既存のユーザ・アカウントのアイコンを選択して強調表示するか,マウスを使用してアカウントのグループを選択します。

  2. [了解] を選択して,アカウントをコピーします。

  3. [貼付け] を選択して,クローン・アカウントを作成します。 元の名前に文字列 _copyn が付加されて,新しいアイコン・ラベルがつけられます。 ここで,n は,コピーの順序番号です。 必要な数だけコピーを作成できます。

  4. 複製されたアカウントを順に選択し,名前とプロパティを変更します (7.4.2.1 項を参照)。

  5. 次のような必要最小限の変更をアカウントに行います。

    1. 新しいユーザ名を入力する

    2. UID を変更するか,次に利用できる UID を選択する

    3. パスワードを変更する

  6. [了解] を選択して,変更されたアカウントを追加し,「アカウント・マネージャ: <host>」ウィンドウに戻ります。 新規アカウントのアイコンが即座にこのウィンドウに反映されます。

同じ手順で,グループのクローニングもできます。

カット・アンド・ペーストまたはドラッグ・アンド・ドロップを使用してユーザ・アカウントをコピーする場合,「一般オプション」ダイアログ・ボックスの「重複したユーザ ID を許可する」オプションが動作に関係します。 たとえば,UID が 200 のユーザ・アカウントのコピーを作成する場合,「重複したユーザ ID を許可する」チェックボックスがオフ (省略時の値) であれば,一意の UID がコピー結果に自動的に設定されます。 「重複したユーザ ID を許可する」チェックボックスがオンであれば,コピーは同じ UID を持ちます。 同じ規則が,グループのコピーにも適用されます。

MB1 を使用してユーザ・アカウント,グループ,またはテンプレートのドラッグ・アンド・ドロップを行うと,移動操作ではなく,コピー操作になります。 この動作は,MB1 でドラッグ・アンド・ドロップの移動操作が行われ,Shift-MB1 でコピー操作が行われる,CDE の省略時の動作とは異なります。 たとえば,MB1 を使用してユーザ・アカウントを「Local Users」ビューからドラッグし,「NIS Users」ビューにドロップすると,ユーザ・アカウントのコピーが NIS 内に作成されます。 この問題を回避するには,コピーの完了後に,オリジナルのアイコンを削除してください。

7.4.2.5    password オプションの使用

dxaccounts には,単一ユーザまたは複数のユーザのパスワードを変更または削除できるオプションがあります。 このオプションは,次のように使用します。

  1. パスワードを変更する 1 つのユーザまたは複数のユーザを選択します。 ユーザのグループの選択には,検索オプションが役立ちます。

  2. [編集] メニューで [パスワード] を選択します。

  3. 「新しいパスワード」ウィンドウで,新しいパスワードを入力してそれを確認します。

    [パスワード無し] を選択して,現在のパスワードを削除します。 このオプションを選択した場合,システムのセキュリティに重要な影響があります。

  4. [了解] を選択して変更を確認し,アカウント・マネージャのメイン・ウィンドウに戻ります。

7.4.2.6    アカウント・マネージャ (dxaccounts) の一般オプション

アカウント・マネージャ GUI (dxaccounts) を使用して,新たに作成されたアカウントの省略値を容易に設定することができます。 また,コマンド行 (useradd) を使用してアカウントの省略時の値を設定することもできますが,SysMan Menuの [アカウント] オプションを使用して省略時の値を設定することはできません。 次の手順に従って省略値を追加または変更します。

  1. [オプション] メニューで,[一般...] を選択します。 「一般オプション」ウィンドウがオープンします。 このウィンドウで,次の省略値を設定することができます。

    「重複した ID の方針」

    ユーザ識別子 (UID) およびグループ識別子 (GID) の重複が可能になります。

    「ID 範囲の方針」

    UID および GID の最小値,次に割り当てられる値,および最大値が設定できます。

    「デフォルトのプライマリ・グループ」

    省略時の 1 次グループを users 以外のグループに設定することができます。

    「デフォルトのホームディレクトリ」

    省略時のホーム・ディレクトリを /usr/users 以外のディレクトリに設定することができます。

    「ユーザのデフォルトのシェル」

    省略時のログイン・シェルを設定できます。

    「デフォルトのスケルトン・ディレクトリ」

    省略時のスケルトン・ディレクトリ・パスを /usr/skel 以外のディレクトリに設定することができます。

    「ハッシュされたパスワード・データベースを使用する」

    ハッシュ (暗号化された) パスワード・データベースの作成を強制します。

    「新規アカウントにはパスワードを要求する」

    新しく作成したすべてのアカウントにパスワードの入力を強制します。

    「UNIX と PC のアカウントを一致させる」

    UNIX アカウントの作成時にその関連アカウントの自動作成を強制します。

  2. 必要な変更を行った後に,[了解] をクリックし,省略値をアップデートして「アカウント・マネージャ」のメイン・ウィンドウに戻ります。

7.5    グループの管理

以降の各項では,次のグループ管理の方法について説明します。

また,groupaddgroupmod,および groupdel コマンドを使用してグループを管理することもできます。 コマンド行オプションについての詳細は,7.1.3 項で説明されているドキュメントを参照してください。

注意

addgroup ユーティリティは,指定できないオプションがあるため,またセキュリティを詳細に設定できないため,使用しないでください。

システム・ファイルの整合性を維持するために,ユーザ・アカウントは手動で追加しないでください。

7.5.1    SysMan Menu のグループ管理オプションの使用

以降の各項では,SysMan Menu のオプションを使用してグループを管理する方法について説明します。 次の作業について説明しています。

SysMan Menu 画面のフィールドにデータをキーボードから入力する方法については,オンライン・ヘルプを参照してください。

7.5.1.1    グループ情報の収集

グループの管理を始める前に,表 7-4 に示したワークシートを使って情報を収集します。 エンハンスト・セキュリティ機能を使用している場合は,各データ項目が,最低限の必要条件を満たしている必要があるので注意してください。 詳細については,『セキュリティ管理ガイド』を参照してください。

group ファイルのデータ項目の説明については,7.3.4 項 を参照してください。 SysMan Menu のオプションでは,NIS グループの省略時の値を指定することもできます。 NIS の構成については,『ネットワーク管理ガイド:サービス編』 を参照してください。

表 7-4 で,O と記されたデータ項目はオプションです。 少なくとも 1 つのユーザ・アカウントを指定しなければなりません。

表 7-4:  グループ管理ワークシート

フィールド 説明 データ項目

グループ名*

   
パスワード* 現在は使用されていない  
グループ識別子 (GID)* 使用されていない場合は,次の番号が自動的に割り当てられる  
ユーザ*    
ユーザ    
ユーザ    
ユーザ    
ユーザ    
ユーザ    

* は必須フィールドであることを示しています。

7.5.1.2    グループの作成と変更

新たにグループを作成するには,7.2.3 項 の説明に従って,SysMan Menu を表示して [ローカル・グループの管理] オプションを選択します。 ローカル・グループ・テーブルが表示され,既存のローカル・グループがすべてリストされます。 NIS グループを追加する手順は,[NIS グループの管理] オプションを選択すること以外は同じです。

次の手順に従ってグループを作成します。

  1. [追加...] を選択して,「グループの追加」ダイアログ・ボックスをオープンします。

  2. 表 7-4 のワークシートの情報を使用して,データ・フィールドを入力します。

  3. 必要に応じて,「メンバ」パネルで,新規グループの初期メンバとなるユーザの名前を強調表示します。

  4. [了解] を選択して新規グループを追加します。 エラーがある場合には,ユーティリティによってその修正を促すプロンプトが表示されます。

  5. ローカル・グループ・テーブルのダイアログ・ボックスがオープンし,追加が正常に行われたことを示す確認メッセージが表示されます。 [了解] を選択して SysMan Menu に戻ります。

既存のグループを変更するには,7.2.3 項 に説明されているように,SysMan Menu を表示して [ローカル・グループの管理] オプションを選択します。 ローカル・グループ・テーブルが表示され,既存のローカル・グループがすべて表示されます。 次の手順に従ってグループ・エントリを変更します。

  1. グループのリストをスクロールして,変更するグループを選択します。

  2. [修正...] を選択して,「ローカル・グループの管理: グループの修正」ウィンドウをオープンします。

  3. 必要に応じて,データ・フィールドの値を変更します。 たとえば,ユーザのリストをスクロールして,新しいユーザをそのグループに追加することができます。

  4. [了解] を選択して変更を確認します。

    複数のグループを変更するには,[了解] の代わりに,[適用] を選択します。 加えたすべての変更は,[了解] を選択して作業を終了するまで有効になりません。

  5. 「ローカル・グループ」ウィンドウがオープンし,変更が正常に行われたことを示す確認メッセージが表示されます。 [了解] を選択して SysMan Menu に戻ります。

オンライン・ヘルプには,フィールドとその有効なデータについての説明があります。

7.5.2    アカウント・マネージャ (dxaccounts) の使用

7.2.2 項に説明されているように,アカウント・マネージャ (dxaccounts) ユーティリティを起動します。 「アカウント・マネージャ: <host>」ウィンドウが最初にオープンします。 表 7-4 のワークシートのデータを使用して,以降の各項の手順に従って dxaccounts を使用してグループを追加,変更または削除します。 NIS グループの管理手順は,NIS データベースを変更する権限が必要になること以外は,ローカル・グループの管理手順と同じです。 [検索] オプションなど,データベースに影響を及ぼさないオプションについては,すべてのユーザが使用できます。

システムに多数のグループがある場合は,7.5.2.4 項で説明されている [検索] オプションを使用して,変更または削除するグループを見つけてください。

LDAP グループは,アカウント・マネージャでは管理できません。

7.5.2.1    グループの追加

次の手順に従ってグループを追加します。

  1. [表示] プルダウン・メニューで [ローカル・グループ] オプションを選択します。

  2. [追加] ボタンを選択して,「ローカル UNIX グループの追加/修正」ウィンドウをオープンします。

  3. 「ユーザ名」フィールドに新しいグループ名を入力します。

  4. 使用可能な次の GID を選択するか,新しい GID を入力します。

  5. ユーザ名をダブルクリックして,そのユーザをグループに追加します。 この動作は,オプションです。

  6. [了解] を選択してグループを追加して,「アカウント・マネージャ: <host>」ウィンドウに戻ります。 新規グループのアイコンが即座にこのウィンドウに反映されます。

新しいグループを追加する別の方法としては,次のようにして既存のグループからクローンを作成する方法があります。

  1. 既存のグループ・アイコンを選択して,そのグループを強調表示します。

  2. [複写] を選択して,グループをコピーします。

  3. [貼付け] を選択して,新しいバージョンのグループを作成します。 元の名前に文字列 _copyn が付加されて,新しいアイコン・ラベルがつけられます。 ここで,n は,コピーの順序番号です。 必要な数だけコピーを作成できます。

  4. 新たにコピーされたアイコンをダブルクリックしてそれを強調表示し,「ローカル UNIX グループの追加/修正」ウィンドウを表示します。 [修正] が自動的に選択されます。

  5. グループへの次のような必要な変更を行います。

  6. [了解] を選択してグループを追加して,「アカウント・マネージャ: <host>」ウィンドウに戻ります。 新規グループのアイコンが即座にこのウィンドウに反映されます。

7.5.2.2    グループの変更

7.2.2 項に説明されているように dxaccounts ユーティリティを起動します。 「アカウント・マネージャ: <host>」ウィンドウが最初にオープンします。 次の手順を使用して,グループに変更を加えます。

  1. 変更するグループをダブルクリックします。 「ローカル UNIX グループの追加/修正」ウィンドウがオープンします。

  2. グループへの次のような必要な変更を行います。

  3. [了解] を選択して変更を確認して「アカウント・マネージャ: <host>」ウィンドウに戻ります。 グループへの変更が即座にこのウィンドウに反映されます。

7.5.2.3    グループの削除

7.2.2 項に説明されているように dxaccounts ユーティリティを起動します。 「アカウント・マネージャ: <host>」ウィンドウが最初にオープンします。 次の手順に従ってグループを削除します。

  1. 削除するグループを選択します。

  2. [削除] を選択します。 ユーティリティによって,そのグループの削除を確認するプロンプトが表示されます。

  3. [了解] を選択して削除を確認して「アカウント・マネージャ: <host>」ウィンドウに戻ります。 グループの削除が即座にこのウィンドウに反映されます。

7.5.2.4    グループの検索

アカウント・マネージャ・ユーティリティ (dxaccounts) を使用すると,グループおよびグループのメンバであるユーザを探すことができます。

7.2.2 項に説明されているように dxaccounts ユーティリティを起動します。 「アカウント・マネージャ: <host>」ウィンドウが最初にオープンします。 グループを検索するには,次の手順に従います。

  1. [検索] を選択します。

  2. 次のいずれかの検索文字列を入力します。

    グループ名または名前の一部 (テキスト文字列)

    [検索] オプションは,指定された文字列を含むグループ名のグループをすべて選択して表示します。 たとえば,文字列 mem はグループ mem および kmem に一致します。

    GID (整数)

    入力した数値は文字列として扱われます。 [検索] オプションは,この文字列を含む GID のグループをすべて選択して表示します。 たとえば,文字列 20 は,グループ 20 および 220 に一致します。

    ユーザ名 (テキスト文字列)

    [検索] オプションは,この文字列を含むユーザ名のユーザをすべて選択して表示します。 たとえば,文字列 wal は,wallyB および cadwalZ という名前のユーザを含むグループと一致します。

7.6    Windows ドメイン・アカウントとグループの管理

ASU (Advanced Server for UNIX) が実行されている場合は,アカウント管理ユーティリティを構成して,Windows ドメイン・アカウントの作成および管理をサポートすることができます。 ASU のインストレーションおよび構成については,ASU の『Advanced Server for UNIX インストレーション/管理ガイド』を参照してください。 ASU がインストールされている場合,アカウント管理ユーティリティを使用して関連 (同期化された) アカウントに対して特定の操作を行うことができます。 これらのアカウントは,Windows ドメインと UNIX 環境の両方に存在する同じユーザのアカウントです。 これらのアカウントを,UNIX ユーティリティでは,同期化されたアカウントと呼びます。 Windows 2000 に特有の情報については,7.6.2 項を参照してください。

UNIX システムを構成して,関連する Windows NT ドメイン・アカウントと UNIX アカウントを作成したり,アカウントの省略時の作成オプションを設定するには,例 7-1 に説明されているように usermod (または useradd) コマンドを実行して,アカウント環境変数を設定する必要があります。

注意

ASU がインストールされて構成されている場合は,関連する Windows NT ドメイン・アカウントおよび UNIX アカウントの作成が省略時の設定で有効になります。 すべてのアカウント管理ユーティリティの PC サポート機能は有効になります。 Synchronized UNIX/PC Accts 環境変数の値は,設定がオンであることを示す 1 になります。

例 7-1:  usermod による省略時の環境変数の変更

# usermod -D [1]
 
Local                           = 1
Distributed                     = 0
Minimum User ID                 = 12
Next User ID                    = 200
Maximum User ID                 = 4294967293
Duplicate User ID               = 0
Use Hashed Database             = 0
Max Groups Per User             = 32
Base Home Directory             = /usr/users  [2]
Administrative Lock             = 1
Primary Group                   = users
Skeleton Directory              = /usr/skel
Shell                           = /bin/sh
Synchronized UNIX/PC Accts      = 0
PC Minimum Password Length      = 0
PC Minimum Password Age         = 0
PC Maximum Password Age         = 42
PC Password Uniqueness          = 0
PC Force Logoff After           = Never
 
# usermod -D -x pc_synchronize=1 pc_passwd_uniqueness=1 pc_max_passwd_age=60 [3]
 
# usermod -D
.
.
.
Synchronized UNIX/PC Accts      = 1
PC Minimum Password Length      = 0
PC Minimum Password Age         = 0   [4]
PC Maximum Password Age         = 60
PC Password Uniqueness          = 1
PC Force Logoff After           = Never
 
 

  1. このコマンドは,現在の省略時の環境変数を表示します。 [例に戻る]

  2. usermod コマンドの出力結果には,環境変数の省略値がリストされます。 アカウントの作成時にこれらの省略値が新しいアカウントに割り当てられます。 たとえば,新しいアカウントはすべて,ベース・ホーム・ディレクトリ /usr/users に作成されます。 [例に戻る]

  3. このコマンドでは,Windows NT ドメイン・アカウントにのみ適用される 3 つの環境変数に,新しい省略値を指定しています。 [例に戻る]

  4. このリストは途中が省略されていますが,次のような,環境変数の新しい省略値を表示しています。

    pc_synchronize=1

    ASU が実行されている場合に関連する Windows NT ドメイン・アカウントと UNIX アカウントを作成します。

    pc_passwd_uniqueness=1

    パスワードの独自性チェックを強制します。

    pc_max_passwd_age=60

    パスワードの最大有効日数。 この日数を超える前に,ユーザはパスワードを変更しなければなりません。

    [例に戻る]

groupmod -D コマンドを使用して,新しいグループを作成する際の省略時の環境変数を設定することができます。 新しいアカウントを作成するときに,代わりの値を環境変数に指定して,省略値より優先させることもできます。 詳細については, useradd(8)usermod(8)userdel(8) を参照してください。

コマンド行のプロンプトで,コマンドの最後に -h を入力して,さまざまなコマンド・オプションを示すヘルプ画面を表示することもできます。 ASU User Manager for Domains では,省略時のポリシを編集するときに同じような作業を行います。 これにより,新たに作成されるアカウントに同じ省略時の環境変数を設定することができます。

ASU アカウント管理ユーティリティを使用して UNIX アカウントに対してのみ操作を実行したり,UNIX ユーティリティを使用して Windows NT ドメイン・アカウントに対してのみ操作を実行することはできません。 以降の各項では,ASU が実行されている場合と同期化されたアカウントを管理する場合の UNIX アカウント管理機能および ASU アカウント管理機能の動作について説明します。

7.6.1    同期化されたアカウントの管理

ASU をセットアップして同期化されたアカウントの作成を構成した場合は,アカウント管理ユーティリティの特定の機能が自動的に有効になります。 以降の各項では,これらの機能がさまざまなアカウント管理ユーティリティでどのように使用されるかについて説明します。

ロック・ファイルによって,異なる 2 つのユーティリティ (または,同じユーティリティの 2 つのインスタンス) が同時に使用されるのを防止します。 多数の管理者が多数のアカウントを管理する大規模な環境では,このような状況がよく起こります。 このロック・ファイルは,/etc/.AM_is_running に作成されます。 ロック・ファイルが存在する場合は,1 つのプロセスだけがユーザ・データおよびグループ・データに関連するシステム・ファイルにアクセスできます。 UNIX アカウント管理マネージャの別のインスタンスを実行しようとすると,データ・ファイルがロックされていることを示すメッセージが表示されます。

ASU ユーティリティを使用してアカウントを追加する場合は,ASU はロック・ファイルの存在を検出します。 ロック・ファイルがあると,関連する UNIX アカウントを作成することはできません。 Windows NT ドメイン・アカウントだけを作成します。 ロック・ファイルに関するエラー・メッセージは表示されず,関連アカウントが作成されなかったという確認は表示されません。 ASU ツールを使用する場合は,/etc/passwd ファイルを検査して関連する UNIX アカウントが作成されたか確認する必要があります。

7.6.1.1    SysMan Menu のアカウント・オプションとグループ・オプションの使用

SysMan Menu [アカウント] ユーティリティのユーザ・インタフェースは,ASU が実行されている場合と見た目に違いはありません。 同期化されたアカウントが使用可能になっている場合,ウィンドウと画面には違いが生じません。 ただし,次の動作上の相違点に注意してください。

ユーザの追加

アカウント作成の一部として,アカウント所有者をグループに割り当てるときに,いくつかの DOS---- グループから選択できます (Primary Group オプション)。

例 7-1 の説明に従って,関連する Windows NT ドメイン・アカウントの作成を有効にした場合は,その関連アカウントが自動的に作成されます。 この自動作成を無効にすることはできません。

ユーザの削除

関連する Windows NT ドメイン・アカウントが自動的に削除されます。 この削除を無効にすることはできません。 ユーザの Windows NT ドメイン・アカウントを保持したい場合は,この操作を実行しないでください。

グループの追加/削除

いくつかの DOS---- グループが選択リストに含まれ,lanman および lmxadmin などの,省略時の Windows NT ドメイン・アカウントが示されます。

SysMan Menu の使用については,第 1 章 を参照してください。

7.6.1.2    アカウント・マネージャ (dxaccounts) の使用

アカウント・マネージャ・ユーティリティ (dxaccounts) は,X11 準拠の GUI であり,CDE などの X-window ユーザ環境でのみ使用できます。 dxaccounts のメイン・ウィンドウには,PC (Windows NT ドメイン) アカウントを作成するオプションがあります。 このオプションは,ASU が実行されていない場合は,淡色表示になり使用することはできません。 ASU が実行されている場合は,次の機能が使用できます。

7.5.2 項 に説明されている手順を使用して, PC アカウントおよびグループに対して管理作業を行うことができます。

dxaccounts を使用する利点は,本来の X11 アプリケーションであるため,ドラッグ・アンド・ドロップやカット・アンド・ペーストのアイコン操作などのウィンドウ環境機能で,新しいユーザ・アカウントやグループを既存のものから簡単に作れることです。 ただしこれらは,ポータビリティのある SysMan Menu のアカウント・ユーティリティと違って,CDE などの X-window ユーザ環境だけで実行できます。

LDAP グループは,アカウント・マネージャ・ユーティリティでは管理できません。

7.6.1.3    コマンド行ユーティリティの使用

ユーザ・アカウントおよびグループ・アカウントを管理するコマンド行ユーティリティを使用して,例 7-1 に示したように,省略時のアカウント特性を設定することもできます。 これらの特性は新たに作成されたすべてのアカウントに適用されるもので,ASU ユーティリティではアカウント・ポリシと呼ばれます。 グラフィカルなユーティリティとは異なり,コマンドを使用すると,省略時の環境変数を無効にして,カスタマイズした値を新しいアカウントに指定することができます。

ASU がインストールされている場合は,次のアカウントおよびグループ作成オプションが使用できます。

コマンド行を使用する利点は,これを用いて管理作業を完全に制御することができることです。 すべてのコマンド・オプションを指定でき,また,アカウントの省略時の環境変数より優先させることができます。

コマンドを,シェル・スクリプトで使用してアカウントの作成をカスタマイズし,自動化することができますが,コマンド・オプションが長くなる場合は,かえって,グラフィカル・ユーティリティを使用してアカウントを設定する方が便利です。

useradd(8)groupadd(8) およびここで示したそれらに関連するリファレンス・ページを参照してください。

7.6.1.4    ASU ドメイン・ユーザ・マネージャの使用

ASU には,Windows NT ドメイン,ドメイン・ユーザ・アカウントおよびグループを管理するユーティリティがあります。 このアプリケーションは,Windows NT を実行しているシステムにインストールされていなければなりません。 また,このアプリケーションは,Windows NT を実行しているシステムでのみ使用でき,net コマンド行オプションと同じ機能を提供します。

新たに作成されるすべてのアカウントに適用される,省略時の環境変数を指定できます。 これらの環境変数は,Windows NT ドメインではアカウント・ポリシと呼ばれます。 ドメイン・ユーザ・マネージャ (usrmgr.exe) を使用している場合は,同期化された UNIX アカウントに対して省略時の環境変数を設定することはできません。

詳細については,ASU の『Advanced Server for UNIX インストレーション/管理ガイド』,およびドメイン・ユーザ・マネージャのオンライン・ヘルプを参照してください。

7.6.1.5    ASU net コマンドの使用

ASU はさまざまな net コマンドのセットを提供しています。 このコマンドは,UNIX コマンド行または Windows NT サーバの DOS ウィンドウで入力します。

たとえば,次のコマンドはユーザ・アカウントの追加,変更または削除に使用する net user コマンドのヘルプを表示します。

# net help user | more
 
The syntax of this command is:
 
NET USER [username [password | \*] [options]]
          username [password | \*] /ADD [options]
          username [/DELETE]
.
.
.
# net user josef /add
 
 

net コマンド・オプションのリストを表示するには,次のコマンドを実行します。

# net help view

net コマンドの使用方法の詳細は,『Advanced Server for UNIX インストレーション/管理ガイド』を参照してください。

7.6.2    Windows 2000 シングル・サイン・オン

UNIX サーバと Windows 2000 クライアント・システムからなるローカル・コンピューティング環境では,環境内に 1 台以上のドメイン・コントローラがある場合,オプションの Windows 2000 シングル・サイン・オン (SSO) ソフトウェアを構成できます。 SSO ソフトウェアを使用すると,Windows 2000 ドメインのアカウント保持者は,UNIX アカウントなしで,UNIX サーバのコンピューティング・リソースにアクセスすることができます。

SSO ソフトウェアは,Windows Active Directory と,関連する Windows アカウント管理ユーティリティを変更します。 この変更により,Windows 2000 ドメインの管理者は,UNIX のアカウント情報をユーザの Windows 2000 のアカウント・レコードに記録できるようになります。 UNIX サーバ・システムは,アカウント保持者のデータに安全にアクセスでき,アカウント保持者の UNIX ログイン情報 (パスワードや GID など) を読み取ることができます。

また,同じソフトウェアや管理ツールを使用する SSO ユーザ・グループを作成することもできます。

7.6.2.1    シングル・サイン・オンのインストレーション要件

この機能を構成して使用するには,次のインストレーション要件を満たす必要があります。

7.6.2.2    シングル・サイン・オン・ソフトウェアのインストール

ソフトウェアを次のようにインストールします。

  1. CD-ROM を CD-ROM ドライブにセットします。

  2. 次のようなコマンドを使用して,マウント・ポイントを作成し CD-ROM をマウントします。

    # mkdir /apcd
    # mount -r /dev/disk/cdrom4c /apcd
    

  3. 次のコマンドで,インストレーション・キットとドキュメントを見つけます。

    # ls /apcd/Windows2000_SSO
     
     
    

  4. setld コマンドを使用して,W2KSS0100 という名前のソフトウェア・サブセットをインストールします。 インストレーションの完了時に,構成スクリプト /usr/sbin/w2ksetup が自動的に実行されます。 『Windows 2000 Single Sign-On Installation and Administration Guide』に説明されているように,構成を完了させます。

7.6.2.3    シングル・サイン・オン・アカウントの作成についての UNIX の要件

UNIX アカウントの特性に対する次の要件が,SSO アカウントに適用されます。

7.6.2.4    シングル・サイン・オンのアカウントおよびグループの作成

7.6.2.3 項で用意した情報を使用して,次のように SSO アカウントを作成します。

  1. Windows 2000 ドメイン・コントローラに,管理者のアカウントでログインします。

  2. Microsoft Management Console (MMC) インタフェースを起動し,「Active Directory ユーザーとコンピュータ」ウィンドウをオープンします。

  3. Users」フォルダをオープンし,既存のユーザを選択するか,アクション・メニューをオープンし,[新規作成] オプションを選択してから [ユーザー] オプションを選択します。

  4. 3 つのダイアログ・ボックスが,連続してオープンします。 新規ユーザ・アカウントごとに,次の情報の入力が求められます。

SSO グループを作成するには,同じ手順を使用し,手順 3 で [新規作成] と [グループ] メニュー・オプションを選択します。

7.6.2.5    シングル・サイン・オンのシステム・ファイル

ソフトウェアのインストールおよび構成時には,次のシステム・ファイルが作成されます。

これらのファイルについての詳細は,ファイル・ヘッダおよび『Windows 2000 Single Sign-On Installation and Administration Guide』を参照してください。