ユーザ・アカウントの割り当てとグループ化は,システム・リソースをユーザに提供する最も一般的な方法です。 この章では,ユーザ・アカウントおよびグループの管理について以下の項目を説明します。
アカウントおよびグループの管理に使用するユーティリティと,それらを使用するユーザ環境 (7.1 節)
ユーティリティの概要と,作業を進めるためのオンライン・ヘルプの使用方法 (7.2 節)
アカウントおよびグループの一般的な概念 (LDAP や NIS) を理解するための情報,アカウントおよびグループに割り当てられる一意の識別子などの重要なデータ項目,パスワードおよびグループのシステム・データ・ファイルの内容,アカウントやグループの省略時の特性の設定方法 (7.3 節)
ユーザ・アカウントおよび関連するシステム・リソースの追加,変更および削除など,それぞれのユーティリティを使用した,ユーザ・アカウントの管理手順 (7.4 節)
それぞれのユーティリティを使用したユーザ・グループの管理手順 (7.5 節)
Windows NT ドメイン・アカウントと UNIX アカウントの関連付け (同期化) (7.6 節)
ローカル・システムの構成,ユーザ環境およびユーザの好みに応じて,ユーザ・アカウントの管理に使用できるいくつかの方法とさまざまなユーティリティがあります。
以降の各項では,管理方法の選択肢を示し,これらを使用する場合の制限および必要条件について説明します。
7.1.1 管理ユーティリティ
オペレーティング・システムには,アカウントを管理するさまざまなユーティリティがあります。 この章では,これらのユーティリティすべてについて詳しく説明しませんが,その使用に関する基本方針はすべてのユーティリティにおいて同じです。 各ユーティリティのオプションについての詳細は,個々のオンライン・ヘルプとリファレンス・ページを参照してください。
ユーティリティの一覧は,表 7-1
にリストされています。
これらのユーティリティを使用するには,UNIX システムの場合 root ユーザ,Windows NT の場合ドメイン管理者でなければなりません。
表 7-1: アカウントおよびグループの管理ユーティリティ
ユーティリティ | ユーザ環境の説明 |
SysMan Menu の「アカウント」オプション 「ローカル・ユーザとグループの管理」 「NIS ユーザとグループの管理」 「LDAP ユーザとグループの管理」 |
さまざまなユーザ環境で SysMan Menu を使用できます (第 1 章を参照)。
このユーティリティでは,アカウントとグループの追加および削除など,限られた管理機能が使用できます。
ASU (Advanced Server for UNIX) をインストールしてある場合は,このユーティリティを使用して,UNIX アカウントおよびグループの省略時の特性を管理することはできません。
関連する (同期化された) Windows NT ドメイン・アカウントの作成または削除を選択することはできません。
アカウントの省略時の構成 ( SysMan Menu の「アカウント」オプションのフィルタ (検索) 機能を使用すると,大量のユーザ・アカウントを管理する方法をカスタマイズできます。 |
アカウント・マネージャ (dxaccounts ) |
これは,UNIX および Windows NT ドメインの両方のアカウントに関しての,ほとんどのユーザおよびグループの管理オプションを提供するグラフィカル・ユーザ・インタフェースです。 これは,SysMan Menu ツールではなく,X11 ベースのツールです。 CDE (省略時の UNIX 環境) は,X11 に準拠しています。 |
|
これらのコマンドは,文字セル環境の UNIX システムで実行するコマンド行ツールであり,すべてのユーザの管理作業ができます。 これらのコマンドを使用して,UNIX および関連する (同期化された) Windows NT ドメインの両方のアカウントを管理することができます。 また,アカウントの省略時の環境を構成することもできます。 |
|
これらのコマンドは,文字セル環境の UNIX システムで実行するコマンド行ツールであり,すべてのユーザ・グループの管理作業ができます。 これらのコマンドを使用して,UNIX グループの省略時の環境を構成することができます。 |
ASU ドメイン・ユーザ・
|
Microsoft Windows NT ベースの PC 用アプリケーション。 このユーティリティを使用して,Windows NT ドメインのアカウントを管理することができます。 このユーティリティと他の ASU ユーティリティを使用して,ポリシ管理オプションを使ってアカウントの省略時の特性を設定することができます。 UNIX アカウントの省略時の環境は構成できません。 |
ASU の
|
UNIX システムの端末または Windows NT サーバを実行しているシステム上の DOS プロンプトで入力できるコマンド。 これらのコマンドの動作は,ASU User Manager for Domains ユーティリティと同じです。 |
Microsoft Windows ベースのユーティリティを使用するには,ASU (Advanced Server for UNIX) をインストールして構成する必要があります。
この章では,ASU ユーティリティの使用方法の詳細は説明していません。
ASU ユーティリティについては,UNIX サーバ上での ASU ソフトウェアの実行についてのみ説明しています。
ASU のインストレーションとその使用については,『Advanced Server for UNIX インストレーション/管理ガイド』を参照してください。
7.1.2 ユーティリティの使用についての説明と制限
以下の制限は,アカウント管理ユーティリティを使用する際に,または特定のシステム機能を使用可能にする際に適用されます。
UNIX アカウントの省略時の特性 (プロパティ) の構成
省略時の UNIX アカウントおよびグループの省略時の特性を構成する際には,UNIX コマンド行ユーティリティまたはアカウント・マネージャ
dxaccounts
だけを使用できます。
ASU を使用している場合の PC アカウントの省略時の設定については,『Advanced Server for UNIX インストレーション/管理ガイド』を参照してください。
エンハンスト (C2) セキュリティ
エンハンスト・セキュリティ機能が使用可能な場合は,アカウントの作成が制限され,次のような追加機能が使用できます。
エンハンスト・パスワード制御
アカウントの使用可能化および使用不能化 (またはロック) のオプション
アカウントの削除および廃止のオプション
詳細については,『セキュリティ管理ガイド』を参照してください。
ネットワーク情報サービス (NIS)
NIS を使用すると,ユーザはローカル・ネットワーク内で NIS を実行しているすべてのシステムにログインすることができます。
アカウント名およびパスワードなどのユーザ・データは,すべての NIS を実行しているシステム間で共用されます。
この場合ユーザは,passwd
コマンドではなく,yppasswd
などの別のコマンドを使用してパスワードを変更します。
NIS を構成した場合は,2 つのユーザのクラスを管理することになります。
ユーザ・アカウント管理ユーティリティの NIS をサポートする機能は,NIS が実行されている場合だけ使用できます。 NIS 環境の設定については,『ネットワーク管理ガイド:サービス編』 を参照してください。
LDAP (Lightweight Directory Access Protocol)
LDAP は,概念的には,NIS に似ています。 認証対象に対し,1 つのレポジトリ,LDAP データベースを持ちます。
LDAP を使用すると,ユーザはローカル・ネットワーク内で LDAP を実行しているすべてのシステムにログインすることができます。
アカウント名およびパスワードなどのユーザ・データは,すべての LDAP を実行しているシステム間で共用されます。
この場合ユーザは,異なるコマンドを使用します。
たとえば,passwd
コマンドではなく,yppasswd
を使用してパスワードを変更します。
LDAP を構成した場合は,3 つのユーザのクラスを管理することになります。
ユーザ・アカウント管理ユーティリティの LDAP をサポートする機能は,LDAP が実行されている場合だけ使用できます。
LDAP の詳細は,www.OpenLDAP.org にある OpenLDAP のドキュメントを参照してください。
アカウント管理ユーティリティは,起動されるとロック・ファイルを作成して,他のアカウント管理ユーティリティ (または,同じユーティリティの 2 つのインスタンス) が
/etc/passwd
などのファイル・システムにアクセスしないようにします。
このロック・ファイルは,/etc/.AM_is_running
にあります。
ロック・ファイルの作成により,システム・ファイルのアカウント・データの破壊を防止できます。
場合によっては,このロック・ファイルが正しくクリアされず,手作業で削除しなければならないことがあります。
ロック・ファイルを削除するときには,ps
-ef
コマンドを実行して,AM_is_running
のインスタンスを検査し,アカウント管理ツールの実行中のインスタンスに関連していないことを確認してください。
LDAP をサポートしているのは,コマンド行ユーティリティと SysMan Menu ツールだけです。
アカウント管理ユーティリティ (dxaccounts
) ではサポートしていません。
SysMan Menu の「アカウント」オプションは,遅延完了を使用するように設計されています。 つまり,入力したデータは保持され,ユーザが確認を行うまでファイルに書き込まれません。 このため,別のインスタンスのアカウント管理ユーティリティが動作している最中に SysMan Menu の「アカウント」オプションを起動することはできますが,[適用] または [了解] を選択してシステム・ファイルをアップデートすることはできません。 別のインスタンスのアカウント管理ユーティリティがクローズされると,ロック・ファイルが削除されるため,処理を完了できます。
DOP (Division of Privileges) と分散管理機能を使用して,root ユーザはアカウント管理の特権を一般のユーザに容易に割り当てることができます。 ただし,同時には 1 人の特権を持ったユーザが 1 つのアカウント管理ユーティリティだけを使用できます。
アカウント管理に関するその他のドキュメントには,マニュアル,リファレンス・ページ,およびオンライン・ヘルプがあります。
7.1.3.1 マニュアル
Tru64 UNIX オペレーティング・システムのドキュメント・セットの中で,アカウント管理について説明しているドキュメントは次のとおりです。
第 6 章 では,ファイル・システムとユーザのファイル・スペースについて説明しています。
『ネットワーク管理ガイド:サービス編』 では,NIS ユーザ・アカウントについて説明しています。
『セキュリティ管理ガイド』では,リソースをユーザに割り当てるときのセキュリティ上の重要な考慮事項について説明しています。 また,エンハンスト・セキュリティ機能およびシステム監査のためのアカウントの必要条件についても説明しています。
『Common Desktop Environment: 上級ユーザ及びシステム管理者ガイド』 では,CDE 環境の構成とプリンタなどの省略時のシステム・リソースの設定について説明しています。
ASU ドキュメンテーション・キットには,『Advanced Server for UNIX コンセプトとプランニング・ガイド』,『Advanced Server for UNIX インストレーション/管理ガイド』,および『Advanced Server for UNIX リリース・ノート』があります。
リファレンス・ページには,各種コマンドがサポートするすべてのオプションとスイッチの完全なリストが記載されています。 この章で参照するリファレンス・ページは次のとおりです。
コマンド行ユーティリティは,
useradd
(8)usermod
(8)userdel
(8)groupadd
(8)groupmod
(8)groupdel
(8)
SysMan
ユーティリティは,
sysman
(8)sysman_cli
(8)
アカウント・マネージャ (dxaccounts
)
の起動については,
dxaccounts
(8)
システム・ファイルは,
passwd
(4)group
(4)shells
(4)default
(4)
個々のコマンドは,
passwd
(1)vipw
(8)grpck
(8)pwck
(8)
SysMan Menu の [アカウント] オプションおよびアカウント・マネージャ
dxaccounts
には,すべてのオプションを説明し,適切なデータの入力方法を示すオンライン・ヘルプがあります。
コマンド行ルーチンの中には,コマンド構文のヘルプ・テキストを表示するものがあります。
このヘルプ・テキストは,-h
または
-help
コマンド・フラグを指定して表示します。
7.1.4 関連ユーティリティ
次に示すリソースも,アカウントの管理に役立ちます。 これらのコマンドおよびユーティリティは,システム・クラッシュ後にグラフィカル・ユーザ環境が利用できない場合や,基本的な文字セル端末しかアクセスできない場合に,システムの問題を修正するのに役立つことがあります。
vipw
vipw
を使用すると,テキスト・エディタを起動してパスワード・ファイルを手動で編集することができます。
ファイルの編集はできれば手動で行わずに,ユーティリティを使用してください。
vipw
ユーティリティを使用してローカルのパスワード・データベースを編集することはできますが,NIS データベースを編集することはできません。
また,エンハンスト・セキュリティ機能を備えたシステム上でこのユーティリティを使用することはできません。
vipw
ユーティリティでは,passwd
ファイルを編集するだけでなく,他から使用できないように,ファイルがロックされます。
このコマンドは,root のパスワード・エントリの整合性をチェックして,passwd
ファイルに間違ったルート・パスワードが入力されないようにします。
スタンドアロン・モードでは,vipw
ユーティリティを使用して,破損した
passwd
ファイルにパッチをあてることもできます。
詳細は,
vipw
(8)
who
現在ログインしているユーザを表示します。
詳細は,
who
(1)
finger
パスワード・ファイルに記述されているユーザ情報を表示します。
詳細は,
finger
(1)
csh
,ksh
,および
sh
csh
,ksh
,および
sh
コマンドは,C シェル,Korn シェルおよび POSIX シェルを起動しコマンドを処理します。
grpck
grpck
コマンドを使用すると,group
ファイルの整合性を検査できます。
pwck
pwck
ユーティリティを使用すると,group
ファイルと
passwd
ファイルの整合性を検査することができます。
quotaon
quotaon
コマンドを使用すると,クォータ (制限) 情報を有効または無効にできます。
passwd
,chfn
,および
chsh
passwd
,chfn
,および
chsh
コマンドを使用すると,ユーザはパスワード・ファイル情報を変更できます。
passwd
では,パスワードを変更できます。
chfn
では,フル・ネームを変更できます。
chsh
では,ログイン・シェルを変更できます。
以降の項では,アカウント管理ユーティリティの起動手順について簡単に説明します。
この手順により,基本的なアカウントを簡単に作成することができます。
たとえば,root として,システムをインストールして構成した後に,とりあえず,アカウントの省略時の設定を使用して一般ユーザ・アカウントを設定することができます。
後に,7.3 節
および他の節を読むことで,システムの省略値の構成方法を理解し,アカウントおよびグループ管理ユーティリティの高度な機能を使用することができます。
7.2.1 システム・セットアップの際の初期アカウントの作成
オペレーティング・システムのフル・インストレーション後に,root ユーザとして最初にログインすると,順を追ってシステムの構成オプションを示す「システム・セットアップ」ユーティリティが表示されます。
「システム・セットアップ」の「アカウント・マネージャ」(dxaccounts
) アイコンを使用して,初期アカウントを構成することができます。
このアイコンでは,共通デスクトップ環境 (CDE) または他の X ウィンドウ環境で動作する,X11 準拠の GUI が起動されます。
アカウント・マネージャの使用についての詳細は,7.5.2 項
を参照してください。
ASU がインストールされて構成されている場合は,アカウント・マネージャ (dxaccounts
) GUI を使用して,Windows NT ドメイン・アカウントを管理することができます。
これについては,7.6 節
で説明しています。
7.2.2 アカウント・マネージャ (dxaccounts) GUI の使用
アカウント・マネージャ (dxaccounts
) には,ドラッグ・アンド・ドロップやカット・アンド・ペーストなど,CDE 環境でサポートされている機能が用意されており,既存のアカウントから新しいアカウントを素早くクローニングできます。
この GUI は,次の方法で起動できます。
次のコマンドを端末から実行して,X11 準拠のウィンドウ環境で GUI を起動します。
# dxaccounts
CDE では,フロント・パネルで,[アプリケーション・マネージャ] または [SysMan アプリケーション] ポップアップ・メニューをオープンします。 [日常管理] を選択し,「アカウント・マネージャ」アイコンをクリックします。
アカウント・マネージャ GUI (dxaccounts
) には,ASU がインストールされている場合の Windows NT ドメイン・ユーザを管理するオプションも用意されています。
ASU がインストール/構成されていない場合,これらのオプションはウィンドウ上で淡色表示になります。
アカウント・マネージャ GUI (dxaccounts
) を使用して,シェルや親ディレクトリなど,ユーザ・アカウントの省略時のオプションを構成することもできます。
詳細は,7.4.2.6 項を参照してください。
7.2.3 SysMan Menu の [アカウント] オプションの使用
SysMan Menu の [アカウント] オプションでは,dxaccounts
と同じ機能を使用できますが,次の機能のサポートに制限があります。
PC クライアントの Windows NT ドメイン・アカウントの管理
エンハンスト (C2) セキュリティ下のアカウントの管理
SysMan Menu の [アカウント] オプションは,CDE の「アプリケーション・マネージャ」や,CDE のフロント・パネル ([SysMan アプリケーション] メニュー) で,または次のようにコマンド行で実行することができます。
# sysman accounts
[アカウント] オプションを使用して,ネットワーク情報サービス (NIS) 環境と LDAP (Lightweight Directory Access Protocol) 環境でアカウントを追加したり,変更したりすることもできます。 ローカル・ユーザを NIS 環境に追加することなく,システムに追加することができます。 NIS については,『ネットワーク管理ガイド:サービス編』 を参照してください。
SysMan Menu で [アカウント] オプションを使用するには,第 1 章 に説明されているように SysMan Menu を表示して,次のようにオプションを展開します。
[アカウント] オプションを選択して,メニューを展開します。 次のメニュー・オプションが表示されます。
ローカル・ユーザの管理
ローカル・グループの管理
NIS ユーザの管理
NIS グループの管理
LDAP ユーザの管理
LDAP グループの管理
マウス・ポインタ (または Tab キー) を使用してオプションを選択します。 マウスの第一ボタン (MB1) をクリックするか,または Enter キーを押してユーティリティを起動します。
ユーティリティの初期ウィンドウ (画面) が開きます。 次のオプションがあります。
このオプションを使用して,新しいユーザ・アカウントを作成します。
このオプションを使用して,既存のユーザ・アカウントのアカウント詳細を変更します。
このオプションを使用して,ユーザ・アカウントと,そのシステム・リソースすべて (省略可能) を削除します。
このオプションを使用して,特定のユーザまたはユーザ群をフィルタリング (検索) します。 ユーザの UID やアカウントのコメントなど,さまざまな検索条件を指定できます。
このオプションを使用して,フィルタリングを自動的に開始するアカウントの数を定義します。 また,ユーザ・アカウントのリストにどのユーザ・データを含めるかも選択できます。
これらのユーティリティの使用についての詳細は,7.5.1 項およびオンライン・ヘルプで説明しています。
7.2.4 コマンド行ユーティリティの使用
アカウントおよびグループの管理に使用できるコマンド行ユーティリティは次のとおりです。
useradd
,usermod
,および
userdel
これらのコマンドを使用してユーザ・アカウントを追加,変更または削除します。
groupadd
,groupmod
,および
groupdel
これらのコマンドを使用して,グループを追加,変更および削除します。
adduser
および
addgroup
adduser
(8)addgroup
(8)
また,コマンド行ユーティリティは,ASU がインストールされている場合に Windows NT ドメインの管理オプションを提供します。
7.2.5 Advanced Server for UNIX
ASU (Advanced Server for UNIX) は,UNIX オペレーティング・システムを実行しているサーバに Windows NT バージョン 4.0 サーバのサービスおよび機能を実装するレイヤード・アプリケーションです。 これを使用すると,Windows を実行しているシステムにとって,UNIX システムは Windows NT バージョン 4.0 サーバのように見えます。 ASU を使用することで,UNIX ファイル・システムおよびプリンタを共通資源として共用することができます。 クライアント Windows ユーザが,UNIX リソースを共用するためには,省略時構成では Windows NT ドメイン・アカウントと UNIX アカウントの両方が必要です。 ASU が動作している場合,この章で説明する UNIX アカウント管理ユーティリティを使用して,アカウントの新規作成など,アカウントの特定の管理作業を行うことができます。
ASU ソフトウェアは「Associated Products Volume 2」CD-ROM で配布され,オペレーティング・システムのライセンスで 2 台まで自由に接続できます。
それ以上の台数で使用する場合は,別途ライセンスが必要です。
ソフトウェア・キットに添付されている『Advanced Server for UNIX インストレーション/管理ガイド』を参照してください。
7.3 ユーザ・アカウントおよびグループの概要
ユーザ・アカウントおよびグループの管理には,システムのパスワード・ファイルおよびグループ・ファイルの内容の管理が伴います。
スタンドアロン・システムでは,管理するファイルは
/etc/passwd
(
passwd
(1)/etc/group
(
group
(4)
ネットワーク・システムでは,通常,ネットワーク情報サービス (NIS) または LDAP (Lightweight Directory Access Protocol) を使用して,アカウントおよびグループが中央で管理されます。 NIS または LDAP を使用すると,ネットワーク上のシステムは,共通のパスワード・ファイルとグループ・ファイルを使用することができます。 詳細については,『ネットワーク管理ガイド:サービス編』と www.OpenLDAP.org を参照してください。
エンハンスト (C2) セキュリティ機能がシステムで利用できる場合は,セキュリティのために
/etc/passwd
ファイル以外のファイルも管理する必要があります。
たとえば,セキュリティ関連情報 (最小パスワード長やパスワードの満了日など) のために,保護パスワード・データベースが使用されます。
これらのタスクについては,『セキュリティ管理ガイド』に説明があります。
7.3.1 システム・ファイル
次のシステム・ファイルは,アカウント管理作業を実行するときにアップデートされます。 これらのファイル・システムは定期的にバックアップする必要があります。
/etc/group
/etc/group
ファイルには,グループ・データを記述します。
各行ではそれぞれ,グループ名,オプションの暗号化されたパスワード,数字のグループ ID,セカンダリ・グループ内のすべてのユーザのリストを,たとえば次のように指定します。
system:*:0:root luis daemon:*:1:daemon uucp:*:2:uucp mem:*:3: kmem:*:3:root bin:*:4:bin,adm sec:*:5: cron:*:14: . . . users:*:15:billP carsonK raviL annieO sysadmin:*:16: tape:*:17: . . .
/etc/passwd
/etc/passwd
ファイルには,各ユーザごとに 1 行のレコードが含まれています。
各レコードは,7 個のフィールドから構成されています。
詳細については,7.3.3 項
を参照してください。
このファイルの例を次に示します。
carsonK:6xl6duyF4JaEI:200:15:Kit Carson,3x192,1-6942, :/usr/users/carsonK:/bin/sh annieO:.murv3n1pg2Dg:200:15:Annie Olsen,3x782,1-6982, :/usr/users/annieO:/bin/sh
例ではページに入るように改行されていますが,ファイル内ではそれぞれ 1 行です。
/usr/skel
/usr/skel
ディレクトリには,.login
ファイルなど,新規アカウント用のスケルトン・ファイルが置かれています。
各ユーザは,これらのファイルを編集して,ローカル環境に合わせてアカウントをカスタマイズすることができます。
たとえば,環境変数を定義したり,プログラムまたはプロジェクト・ファイルの省略時のパスを定義します。
/etc/shells
ファイルには,システムで使用できるコマンド・シェルのリストが含まれています。
ログ・ファイル
/var/adm/wtmp
と
/var/adm/utmp
および
/usr/var/adm/syslog.dated
ディレクトリ内のログ・ファイルには,アカウントの使用状況に関する情報が記録されます。
エンハンスト・セキュリティ機能を使用している場合は,以下のセキュリティ・ファイルが関係してきます。
/etc/auth/system/default
/tcb/files/auth.db
/var/tcb/files/auth.db
ネットワーク情報サービス (NIS) を使用している場合は,以下のNIS ファイルが関係してきます。 NIS マスタ・データベースにあるこれらのファイルをバックアップすることを忘れないでください。
/var/yp/src/group
/var/yp/src/passwd
/var/yp/src/prpasswd
LDAP 情報は,LDAP データベースに格納されています。 このデータベースは,バックアップする必要があります。
以下のログ・ファイルには,アカウントの使用状況に関する情報が記録されます。
/var/adm/wtmp
/var/adm/utmp
/usr/var/adm/syslog.dated
ディレクトリ内のログ・ファイル
各ユーザ・アカウントは,ユーザ識別子 (UID) と呼ばれる一意の番号によって認識されます。 また,各ユーザはグループ識別子 (GID) と呼ばれる一意の番号によっても認識されます。 システムはこれらの番号を使用して,ユーザ・ファイルのアクセス許可およびグループの特権を追跡し,ユーザ課金統計情報を収集します。
UID および GID に指定できる最大数は,4,294,967,294 (32 ビット,このうち 2 つの値が予約済) です。 ログオンできるユーザの最大数は,使用できるシステム資源によって決まります。 ただし,実際の値はその最大数よりもはるかに小さくなります。 最大数の UID と GID を使用する場合,古いユーティリティおよびアプリケーションの中にはこの最大値をサポートしていないものがあるため,次の注意が必要です。
最新バージョンのエンド・ユーザ・アプリケーションを実行していない場合は,それらがサポートしている UID と GID の最大数を確認します。 たとえば,一般に広く使用されている Kerberos バージョン 4.0 は,特定の範囲を超える UID および GID をサポートしていません。 Kerberos バージョン 4.0 を現在使用している場合は,バージョン 5.0 にアップグレードすることを考慮してください。 同様に,PATHWORKS を使用している場合は,ASU バージョン 4.0 以上にアップグレードすることを考慮してください。
System V File System (S5FS) では,UID および GID の最大範囲をサポートしていません。
UID および GID に 65,535 を超える値を指定したファイル・システム
syscall
では,EINVAL
エラーが返されます。
UID または GID として 65,535 を超える値が割り当てたられたユーザは,System V File System 上にファイルを作成することができません。
解決策としては,UFS,または AdvFS の使用を検討してください。
UID と GID の最大範囲を増やした場合は,特定のコマンドとユーティリティの動作が変わっている可能性があります。 以下の変化がコマンドの使用に影響しないか,シェル・スクリプトなどを確認してください。
ls -l
コマンドで,クォータ・ファイルまたはスパース・ファイルのディスク・ブロック使用量が表示されなくなります。
ファイルの実際のディスク・ブロック使用量を表示するには,ls
-s
コマンドを使用します。
cp
コマンドで,クォータ・ファイルやその他のスパース・ファイルを正しくコピーできなくなります。
クォータ・ファイルや他のスパース・ファイルを正しくコピーするには,次のように
conv=sparse
パラメータを指定して
dd
コマンドを使用します。
# dd conv=sparse if=inputfile of=outputfile
クォータ・ファイルや他のスパース・ファイルを含む UFS ファイル・システムを,vdump
ユーティリティを使用してバックアップし,vrestore
ユーティリティを使用してリストアした場合,クォータ・ファイルや他のスパース・ファイルは次のようにリストアされます。
ディスク上のファイルの最初のページは,すべて占有されているページとしてリストアされます。 つまり,割り当てられていない空のディスク・ブロックは 0 で埋められます。
ディスク上のこれ以降のページはスパースとして (きっちり埋まっていないページとして) リストアされます。
スタンドアロン・システムでは,passwd
ファイルによって,root も含めシステムの各ユーザが識別されます。
passwd
ファイルの各エントリは,1 行に記述し,7 個のフィールドがあります。
各フィールドはコロンで区切られ,最後のフィールドは復帰改行文字で終わります。
各エントリの構文および各フィールドの意味は次のとおりです。
username:password:user_id:group_id:user_info:login_directory:login_shell
ユーザ・アカウントの名前。
username
は一意であって,1 〜 8 文字の英数字でなければなりません。
パスワードは,直接入力することはできません。
アカウントへのログインを不可にするには,* (アスタリスク) をその
passwd
フィールドに記述します。
パスワード・フィールドが空の場合は,そのログイン名を知っていれば誰でもそのユーザとしてシステムにログインすることができます。
このアカウントの UID (整数で指定)。
この値は,システムの各ユーザに対応しており,一意でなければなりません。
UID 0 は,root 用です。
各 UID は,100 から昇順に割り当てます。
100 未満の番号は,bin
や
daemon
などの擬似ユーザに使用されます。
(/usr/include/limits.h
ファイルも参照してください。)
このアカウントの GID (整数で指定)。
この上限値については,『Tru64 UNIX 概要』 を参照してください。
GID 0 は,system
グループ用です。
この GID は,group
ファイルに必ず定義しておきます。
このフィールドには,ユーザのフルネーム,オフィスの住所,電話の内線番号,および自宅の電話番号などの補足のユーザ情報を記述します。
user_info
フィールドの情報は
finger
コマンドが読み取ります。
ユーザは,chfn
コマンドで
user_info
フィールドの内容を変更することができます。
詳細は,リファレンス・ページの
finger
(1)chfn
(1)
ログイン直後にユーザ・アカウントが置かれるディレクトリの絶対パス名。
このパス名は,login
プログラムにより HOME 環境変数に割り当てられます。
HOME 変数の値はユーザが変更することができますが,値を変更すると,ホーム・ディレクトリとログイン・ディレクトリは別のディレクトリとなります。
passwd
ファイルにユーザ・アカウントを追加した後,ログイン・ディレクトリを作成します。
通常,ユーザの名前をログイン・ディレクトリ名として使用します。
ログイン・ディレクトリの作成についての詳細は,
chown
(1)mkdir
(1)chmod
(1)chgrp
(1)
ユーザがログインした後に起動するプログラムの絶対パス名。
このフィールドに何も指定しないと,Bourne シェル
/bin/sh
が起動されます。
Bourne
シェルについての詳細は,
sh
(1b)chsh
コマンドを使用してログイン・シェルを変更することができます。
詳細は,
chsh
(1)
ウィンドウ (グラフィカル) ユーザ環境では,アカウント・マネージャ (dxaccounts
) などのユーティリティを使用して,passwd
および
mkdir
などのコマンドによる操作のすべてを実行することができます。
コマンド行ユーティリティでは,省略時の特性の設定および変更を,制限なく行うことができますが,グラフィカル・ユーティリティの中には,省略時の特性を新規アカウントに対してだけに限って,設定できるものがあります。
アカウント・マネージャ (dxaccounts
) を使用した操作については,7.4.2.6 項
を参照してください。
/etc/passwd
ファイルが非常に大きい場合は,性能が低下することがあります。
passwd
のエントリ数が 30,000 を超える場合,mkpasswd
はハッシュ (ndbm
) データベースの作成に失敗することがあります。
このデータベースの目的は,パスワード・ファイル情報の効率的な (速い) 探索であるため,このデータベースの構築に失敗すると,このデータベースに依存するコマンドは,/etc/passwd
を順次探索するようになります。
その結果,これらのコマンドで大幅な性能低下が起こります。
mkpasswd -s
オプションを使用して,この種の障害を回避することができますが,潜在的なデータベースまたはバイナリ互換の問題が生ずる可能性があります。
mkpasswd
で作成されたパスワード・データベースにアクセスするアプリケーションが静的に (非共用で) 構築されている場合,そのアプリケーションはパスワード・データベースに対して,読み取りまたは書き込みを正しく行うことができなくなります。
このため,アプリケーションは,誤った結果を生成して失敗するか,またはコアをダンプを出力して失敗します。
静的にリンクされたアプリケーションは,
ndbm
(3)libc
ndbm
ルーチンのいずれかを直接あるいは間接的に呼び出したのち,パスワード・データベースにアクセスすると,影響を受けることがあります。
この状態を解決するには,アプリケーションを再リンクする必要があります。
この互換性の問題を避けるには,mkpasswd -s
オプションを使用しないでください。
注意
NIS 環境では,ローカルの
passwd
ファイルあるいは NIS 分散passwd
ファイルのいずれかにユーザ・アカウントを追加することができます。 ローカルのpasswd
ファイルにアカウントを追加した場合,そのアカウントはローカル・システムでのみ認識されます。 NIS 分散passwd
ファイルにアカウントを追加した場合,追加したアカウントは,その分散passwd
ファイルにアクセスできるすべての NIS クライアントで認識されます。 分散環境におけるユーザの追加についての詳細は,を参照してください。 nis_manual_setup
(7)同様に,LDAP ユーザもグローバルです。
すべてのユーザは,少なくとも 1 つのグループのメンバです。
group
ファイルでは,ユーザのグループ名を定義します。
ユーザは必ずいずれかのグループに属します。
ユーザ・アカウントをグループ化する理由には,主として次の 2 つがあります。
複数のユーザが同一のファイルおよびディレクトリで作業する場合,これらのユーザをグループ化することによって,ファイルおよびディレクトリへのアクセスが簡略化される。
システム・ファイルまたはディレクトリへのアクセスが許可されている特権ユーザをグループ化することにより,特権ユーザの識別が容易になる。
group
ファイルは次の目的で使用されます。
passwd
ファイルで使用されているグループ識別番号に名前を割り当てる。
ユーザ・アカウントを複数のグループ・エントリに追加することによって,ユーザが複数のグループに所属できるようにする。
group
ファイルの各エントリは,1 行で記述され,4 個のフィールドがあります。
各フィールドはコロンで区切られ,最後のフィールドは改行文字で終わります。
エントリの構文および各フィールドの意味は,次のとおりです。
groupname:
password:
group_id:
user1
[user2,...,userN
]
このエントリによって定義されるグループの名前。
groupname
は,1 〜 8 文字の英数字からなり,一意でなければなりません。
このフィールドには * (アスタリスク) を記述します。 このフィールドのエントリは現在は無視されます。
このグループのグループ識別番号 (GID) (整数で指定)。 この範囲の上限については,『Tru64 UNIX 概要』 を参照してください。 GID 0 は,システム用です。 GID は一意でなければなりません。
passwd
ファイルで定義されたユーザ名で識別される,このグループに属するユーザ・アカウント。
2 人以上のユーザがグループに属している場合,各ユーザ・アカウントはコンマで区切られます。
最後のユーザ・アカウントは,改行文字で終わります。
ユーザは複数のグループのメンバになることができます。
リファレンス・ページの
group
(4)/usr/include/limits.h
ファイルで LINE_MAX として定義されています。
ユーザ・アカウントを複数の管理上のグループに分割することをお勧めします。
特定の GID の省略値を,グラフィカル・ユーティリティまたはコマンド行ユーティリティを使用して設定することもできます。
アカウント・マネージャ GUI (dxaccounts
) による省略値の設定方法については,7.4.2.6 項
を参照してください。
7.4 ユーザ・アカウントの管理
以降の各項で次の管理方法について説明します。
SysMan Menu オプションによるユーザ・アカウントの管理。 この方法を使用して,ユーザをネットワーク情報サービス (NIS) 環境と LDAP (Lightweight Directory Access Protocol) 環境に追加することもできます。 SysMan Menu の起動と [ローカル・ユーザの管理] オプションの選択については,7.2.3 項で説明しています。
アカウント・マネージャ GUI (dxaccounts
) によるローカル・ユーザと NIS ユーザ,および関連する Windows NT ドメイン・アカウントの管理。
アカウント・マネージャ GUI の起動については,7.2.2 項で説明しています。
useradd
コマンド行ユーティリティを使用する方法もあり,リファレンス・ページに説明されていますが,このユーティリティでは,NIS アカウントはサポートしていません。
NIS については 『ネットワーク管理ガイド:サービス編』 を参照してください。
SysMan Menu の [アカウント] オプションは,端末,X11,または Java クライアントから使用することができます。
注意
adduser
はすべてのオプションを提供していないため,またそのセキュリティを詳細に設定できないため,このユーティリティは使用しないでください。 システム・ファイルの整合性を維持するために,ユーザ・アカウントを手動で追加しないでください。
7.4.1 SysMan Menu の [アカウント] オプションの使用
以降の各項では,SysMan Menu オプションを使用して新規アカウントを作成する方法について説明します。 次の作業について説明します。
アカウント情報の収集 (7.4.1.1 項)
ローカル・アカウント,NIS アカウント,および LDAP アカウントに適用されるアカウント・オプションの設定 (7.4.1.2 項)
ローカル・アカウント,NIS アカウント,および LDAP アカウントでのアカウント検索に適用されるフィルタ・オプションの使用 (7.4.1.3 項)
ローカル・ユーザ・アカウントの作成または変更 (7.4.1.4 項)
ローカル・ユーザ・アカウントの削除 (7.4.1.5 項)
LDAP および NIS ユーザ・アカウントの作成または変更 (7.4.1.6 項)
LDAP および NIS ユーザ・アカウントの削除 (7.4.1.7 項)
SysMan Menu ユーティリティのフィールドにデータをキーボードを使って入力する方法については,オンライン・ヘルプを参照してください。
7.4.1.1 アカウント情報の収集
アカウントの管理を始める前に,表 7-2 のワークシートを使って情報を収集します。 エンハンスト・セキュリティ機能を使用している場合,データ項目は最低限の必要条件 (パスワードの長さなど) を満たす必要があります。 詳細については,『セキュリティ管理ガイド』を参照してください。
passwd
ファイルのデータ項目の説明については,7.3.3 項
を参照してください。
フィールド | 説明 | データ項目 |
ユーザ名* |
||
コメント (gecos) | フルネーム | |
場所 | ||
電話番号 | ||
ユーザ ID (UID)* | 自動的に割り当てられる | |
パスワード* | 大文字と小文字または英数字を混在させる | |
プライマリ・グループ* | 自動的に割り当てられる | |
セカンダリ・グループ | ||
シェル | 選択可能 | |
ホーム・ディレクトリ* | 自動作成可能 | |
アカウントのロック | ||
ローカル・ユーザ | ||
NIS ユーザ | ||
Windows ユーザ | 共用が必要 |
* は必須フィールドであることを示しています。
一般的なユーザ・データの例を,表 7-3
に示します。
表 7-3: データの例を記入したアカウント管理ワークシート
フィールド | 説明 | データ項目 |
ユーザ名* |
carsonK | |
コメント (gecos) | フルネーム | Kit Carson |
場所 | オフィス 3T-34 | |
電話番号 | 4-5132 | |
ユーザ ID (UID)* | 自動的に割り当てられる | 次の使用可能な UID を使用 |
パスワード* | 大文字と小文字または英数字を混在させる | サイト固有の初期パスワードを使用 |
プライマリ・グループ | 自動的に割り当てられる | users |
セカンダリ・グループ | marsx,25 | |
シェル | 選択可能 | ksh |
ホーム・ディレクトリ* | 自動作成 | /usr/marsx/carsonK |
アカウントのロック | no | |
ローカル・ユーザ | no | |
NIS ユーザ | yes | |
Windows ユーザ | yes,\\maul\astools を共用 |
* は必須フィールドであることを示しています。
7.4.1.2 フィルタ・オプションと表示オプションの設定
フィルタ・オプション (7.4.1.3 項を参照) と表示オプションを構成するには,SysMan の [ローカル・ユーザの管理] の[オプション...] を使用します。 オプションを設定するには,SysMan Menu を起動し,7.2.3 項の説明のように [ローカル・ユーザの管理] オプションを選択します。
[オプション...] ボタンを選択すると,「SysMan アカウント管理: プログラム・オプション」ウィンドウがオープンされ,次の設定を構成できます。 ここでは,一部のオプション名を短縮しています。 短縮されている名前は,ウィンドウ内では内容を示す行として表示されます。
このオプションは,フィルタ機能のトリガ値の設定に使用します。 省略時の設定は,200 ユーザ・アカウントです。
この機能は,ユーザ・アカウントが多数 (数百または数千) ある場合に便利です。 システム上のアカウントが多いほど,SysMan アカウント・タスクがすべてのアカウントを見つけて表示するのに時間がかかります。 トリガ値を設定すると,省略時の設定で,SysMan アカウント・タスクがスタートアップ時にフィルタ (検索) モードになります。 特定のアカウントやアカウント群を選択できるようになるため,検索および表示の時間が大幅に短縮されます。
たとえば,300 ユーザ・アカウントを設定した場合,アカウント数が 300 を超えた場合だけ,SysMan「アカウント」が省略時の設定でフィルタ・モードになります。
このチェックボックスは,すべてのアカウント・リスト内にユーザ・アカウント名が表示されるようにします。
このチェックボックスは,すべてのアカウント・リスト内にユーザ識別子 (UID) が表示されるようにします。
このチェックボックスは,すべてのアカウント・リスト内にアカウントのコメント (場所や電話番号など) が表示されるようにします。
チェックボックスを選択すると,フィルタ・オプションに影響します。
アカウントのフィルタは,表示されたデータだけをベースに,アカウントをフィルタリングします。
7.4.1.3 フィルタ・オプションの使用
アカウントが多数ある場合は,[フィルタ...] オプションを使用すると,特定のアカウントやアカウントのグループを素早く見つけることができます。 フィルタは,[オプション...] (7.4.1.2 項を参照) を設定することで自動的に起動できます。 自動起動を使用すると,アカウント・マネージャがすべてのユーザ・アカウント・データを見つけてロードする際の遅延を回避できます。 この機能を使用して,ローカル・アカウントと NIS アカウントの両方をフィルタリングできます。
検索およびフィルタ・オプションを使用するには,SysMan Menu を起動し,[ローカル・ユーザの管理] オプションを選択します (7.2.3 項を参照)。 [フィルタ...] を選択して,「ローカル・ユーザの管理: 表示」というタイトルのダイアログ・ボックスをオープンします。 このウィンドウを使用すると,簡単な検索や高度な検索ができます。
フィルタ (検索文字列) を 1 つ入力するか,フィルタのセットを入力します。 簡単な検索はすべて,次のように入力されたアカウント名をベースに行われます。
s_kahn
などの,個々のユーザ名
*khan
や
?_khan
などの,ワイルドカード・パターン
*khan, kim, donny_w, tom*
のような,コンマで区切られたユーザ名またはワイルドカード・パターンのリスト
フィルタ指定と一致したアカウントは,「ローカル・ユーザの管理」ウィンドウにリストされます。 このウィンドウの上部には,オリジナルのフィルタ文字列が表示されます。
[拡張] を選択し,追加のフィルタ・オプションを表示します。 検索オプションを起動するには,チェックボックスを選択します。
次のフィルタ・オプションがあります。
簡単な検索オプションで説明したのと同様にフィルタを入力します。
1-100
のように UID の制限範囲を入力するか,終端なしの範囲 (UID が 100 以上のアカウントをすべて見つけるためには
100-
,UID が 100 以下のアカウントをすべて見つけるために
-100
など) を入力します。
ユーザ・アカウントを作成する際に「コメント」(GECOS データ) フィールドに入力されたデータで検索する検索パターンを入力します。
このデータは,電話番号や,物理的位置,その他のユーザ固有情報です。
このパターンの定義には,アスタリスク (*
) や疑問符 (?) のワイルドカードが使用できます。
たとえば,*
string*
や,*Sub*
などです。
このオプションを使用すると,ロックされたアカウントやロック解除されたアカウントを含める (または除外する) ことができます。 このオプションを使用して,現在ロックされているすべてのアカウントを見つけることができます。
簡易検索の内容をクリアしないで拡張検索を起動すると,警告ダイアログがオープンします。
この警告ダイアログが表示された場合,[了解] を選択して高度な検索を確定します。
これにより,簡単な検索で指定した検索方法が無効になります。
7.4.1.4 ローカル・アカウントの作成と変更
新しいアカウントを作成するには,7.2.3 項 に説明されているように,SysMan Menu を表示して [ローカル・ユーザの管理] オプションを選択します。 既存のローカル・ユーザ・アカウントのすべてのリストが表示されます。
オンライン・ヘルプでは,これらのフィールドとその有効なデータについて説明しています。
次の手順に従ってローカル・ユーザを追加します。
[追加...] オプションを選択して「ローカル・ユーザの管理: ユーザの追加」ダイアログ・ボックスをオープンします。
表 7-2 のワークシートの情報を使用して,データ・フィールドを入力します。
ほかに,NIS オプションが必要な場合は,[オプション...] を選択します。 「オプション」ダイアログ・ボックスがオープンします。 適切な NIS オプションを選択して,[了解] ボタンを選択し,「ユーザの追加」ダイアログボックスに戻ります。
[了解] ボタンを選択して,新規ユーザを追加します。 パスワードの入力ミスの確認など,エラーがある場合は,ユーティリティからその修正を促すプロンプトが表示されます。
「ローカル・ユーザ」ウィンドウがオープンし,確認メッセージが示されます。 [了解] を選択して,SysMan Menu に戻ります。
既存のアカウントを変更するには,7.2.3 項 に説明されているように,SysMan Menu を表示して [ローカル・ユーザの管理] オプションを選択します。 ローカル・ユーザ・テーブルが表示され,既存のローカル・ユーザ・アカウントがリストされます。
オンライン・ヘルプでは,これらのフィールドとその有効なデータについて説明しています。
次の手順に従ってユーザのエントリを変更します。
ユーザのリストをスクロールして,変更するエントリを選択します。
[修正...] を選択して「ローカル・ユーザ管理: ユーザの修正」ウィンドウをオープンします。
必要に応じて,データ・フィールドの値を変更します。
NIS オプションの追加が必要な場合は,[オプション...] を選択します。 「オプション」ダイアログ・ボックスがオープンします。 適切な NIS オプションを選択して,[了解] を選択し,「ユーザの変更」ウィンドウに戻ります。
複数のアカウントを追加または変更するには,[了解] の代わりに [適用] を選択します。 加えたすべての変更は,[了解] を選択して作業を終了するまで有効になりません。
[了解] を選択して変更を確認します。 パスワードの入力ミスの確認など,エラーがある場合は,ユーティリティからその修正を促すプロンプトが表示されます。
「ローカル・ユーザ管理」ウィンドウがオープンし,確認メッセージが示されます。 [了解] を選択して,SysMan Menu に戻ります。
アカウントを削除する前に,次の事項を検討してください。
削除する代わりに,[修正...] を使用してアカウントをロックできます。 また,[修正...] を使用してこのアカウントを他の新しいユーザに転送し,そのアカウントの詳細を変更することができます。
アカウントを削除する前に,dxarchiver
ユーティリティを起動してユーザのディレクトリおよびファイルの圧縮したアーカイブ・ファイルを作成することもできます。
詳細については,
dxarchiver
(8)
アカウントを削除するには,7.2.3 項 に説明されているように,[ローカル・ユーザ管理] オプションを選択します。 ローカル・ユーザ・テーブルが表示され,既存のアカウントがすべてリストされます。 次の手順に従ってユーザを削除します。
ユーザのリストをスクロールして,削除するユーザ・アカウントを選択します。
[削除...] を選択して,「ローカル・ユーザ管理: ユーザの削除」ダイアログ・ボックスをオープンします。
ユーザのリソースを削除してディスク・スペースを解放する場合は,「ユーザとディレクトリとファイルを削除」を選択します。
[了解] を選択してアカウントを削除します。 ローカル・ユーザのリストが即座にアップデートされます。
7.4.1.6 LDAP アカウントと NIS アカウントの作成と変更
新しい LDAP アカウントまたは NIS アカウントを作成するには,SysMan Menu を表示して,7.2.3 項 に説明されているように,[NIS ユーザの管理] オプションまたは [LDAP ユーザの管理] オプションを選択します。 「LDAP Users」テーブルまたは「NIS Users」テーブルが表示され,既存のローカル・ユーザ・アカウントがすべてリストされます。 次の手順に従ってローカル・ユーザのアカウントを作成します。
[追加...] オプションを選択して,「LDAP ユーザの管理: ユーザの追加」ウィンドウまたは「NIS ユーザの管理: ユーザの追加」ウィンドウをオープンします。
表 7-2 に示されているワークシートの情報を使って,データ・フィールドを入力します。
[了解] を選択して新しいユーザを追加します。 パスワードの入力ミスの確認など,エラーがある場合は,ユーティリティからその修正を促すプロンプトが表示されます。
「LDAP ユーザ管理」ウィンドウまたは「NIS ユーザ管理」ウィンドウがオープンし,追加が正常に行われたことを示す確認メッセージが表示されます。 [了解] を選択して,SysMan Menu に戻ります。
既存のアカウントを変更するには,SysMan Menu を表示して,7.2.3 項 に説明されているように,[LDAP ユーザの管理] オプションまたは [NIS ユーザの管理] オプションを選択します。 LDAP ユーザ・テーブルまたは NIS ユーザ・テーブルに,既存のローカル・ユーザ・アカウントがすべてリストされます。 次の手順に従ってユーザのエントリを変更します。
LDAP ユーザまたは NIS ユーザのリストをスクロールして,変更するユーザ・アカウントを選択します。
[修正...] を選択して,「LDAP ユーザの管理: ユーザの修正」ウィンドウまたは「NIS ユーザの管理: ユーザの修正」ダイアログ・ボックスを表示します。
必要に応じて,データ・フィールドの値を変更します。
[了解] を選択して変更を確認します。 パスワードの入力ミスの確認など,エラーがある場合は,ユーティリティからその修正を促すプロンプトが表示されます。
複数のアカウントを追加するには,[了解] の代わりに [適用] を選択します。 加えたすべての変更は,[了解] を選択して作業を終了するまで有効になりません。
「ローカル・ユーザ」ウィンドウがオープンし,変更が正常に行われたことを示す確認メッセージが表示されます。 [了解] を選択して,SysMan Menu に戻ります。
オンライン・ヘルプは,フィールドとその有効なデータについて説明しています。
7.4.1.7 LDAP アカウントと NIS アカウントの削除
LDAP アカウントまたは NIS アカウントを削除するには,7.2.3 項 の説明に従って,[LDAP ユーザの管理] オプション または [NIS ユーザの管理] オプションを選択します。 LDAP ユーザ・テーブルまたは NIS ユーザ・テーブルに,既存のアカウントがすべてリストされます。
次の手順に従ってユーザを削除します。
ユーザのリストをスクロールして,削除するアカウントを選択します。
[削除...] オプションを選択して,「LDAP ユーザの管理: ユーザの削除」ダイアログボックスまたは「NIS ユーザの管理: ユーザの削除」ダイアログボックスをオープンします。
ユーザのリソースを削除してディスク・スペースを解放する場合は,「ユーザのディレクトリとファイルを削除」を選択します。
[了解] を選択してアカウントを削除します。 LDAP ユーザまたは NIS ユーザのリストが即座にアップデートされます。
7.4.2 アカウント・マネージャ (dxaccounts) の使用
7.2.2 項のクイック・スタートの説明に従って,アカウント・マネージャ GUI (dxaccounts
) を起動します。
「アカウント・マネージャ: <host>
」ウィンドウが最初にオープンします。
表 7-2
に示したワークシートで収集したデータを使用して,以下の手順に従ってアカウントを管理します。
アカウント・マネージャ GUI を使用する際は,以下の手順に従ってアカウントを追加,変更,または削除します。 これらの手順は,NIS データベースを変更する権限が必要になること以外は,NIS ユーザの管理手順と同じです。 (NIS についての詳細は,『ネットワーク管理ガイド:サービス編』を参照してください。)
大半のオプションは,ユーザ・アカウント・データベースに影響を及ぼすため,root の権限が必要です。 データベースに影響を及ぼさないオプションは,すべてのユーザが使用できます。 このようなオブションの例としては,アカウントを検索するための Find オプションがあります。
ASU がインストールされている場合は,追加のオプションが「dxaccounts
」ウィンドウに表示されます。
このウィンドウを使用して,Windows NT ドメインのアカウントを管理すると同時に,対応する UNIX アカウントを作成することができます。
ASU についての詳細は,『Advanced Server for UNIX インストレーション/管理ガイド』を参照してください。
エンハンスト (C2) セキュリティが使用可能な場合は,追加のオプションによって,有効なセキュリティの設定に従いアカウントを廃止し使用不能にできます。
詳細は,『セキュリティ管理ガイド』を参照してください。
7.4.2.1 アカウントの追加と変更
「アカウント・マネージャ: <host>」ウィンドウを使用すると,次の手順でユーザ・アカウントの追加や変更ができます。
新しいアカウントを作成するには,[追加] を選択します。
既存のアカウントを変更するには,ユーザのアイコンをダブルクリックします。 アカウントが多数ある場合,7.4.2.3 項に説明されているオプションを使用してアカウントを見つけることができます。
また,既存のアカウントから新しいアカウントをコピー (クローニング) することもできます (7.4.2.4 項を参照)。
アカウントの追加や変更を行うには,次の手順を使用します。
現在の表示が「ローカル・ユーザ」でない場合は,[表示] プルダウン・メニューを表示して [ローカル・ユーザ] オプションを選択します。
[追加] を選択して「ローカル・ユーザの追加/修正」ダイアログボックスをオープンし,[追加] を選択します。
既存のアカウントを変更する場合は,ユーザのアイコンをダブルクリックします。
「ユーザ名」フィールドに新しいユーザ名を入力します。
使用可能な次の UID を選択するか,新しい UID を入力します。
ユーザの UID をアカウント・マネージャで変更しても,ユーザのファイルおよびサブディレクトリの所有権は変更されません。
また,場合によっては,ホーム・ディレクトリの所有権も変更されないことがあります。
たとえば,ユーザ johndoe の UID を 200 から 201 に変更しても,そのホーム・ディレクトリ下のファイルおよびサブディレクトリは,UID 200 に属したままです。
さらに,johndoe が自分のホーム・ディレクトリを所有していない場合は,そのディレクトリの所有権も変更されません。
この問題を回避するには,chown
コマンドを使用して,該当するディレクトリおよびファイルの所有権を変更します。
プルダウン・メニューを使用してプライマリ (1 次) グループを選択するか,またはテキスト・フィールドをクリアしてグループ名を入力します。
セカンダリ (2 次) グループを指定する場合は,[セカンダリ・グループ...] を選択します。 「セカンダリ・グループ」ウィンドウで,目的のローカル・グループまたは NIS グループ (使用可能な場合) をダブルクリックします。
プルダウン・メニューで使用するシェルを選択します。
ホーム・ディレクトリが省略時のディレクトリ
/usr/users/<username>
に作成されます。
必要に応じて,代替パスを入力します。
[パスワード...] を選択して初期パスワードを入力します。 ローカル・セキュリティの設定で定義された長さの文字列を大文字と小文字または英数字を混在させて入力します。
コメント・フィールド (GECOS フィールド・データ) のユーザ情報を入力します。
次のボックスをチェックできます。
正しい所有者と保護モードでディレクトリを作成します。
このボックスをクリアするまで,ユーザはログインできません。
[了解] を選択してアカウントを作成して,アカウント・マネージャのメイン・ウィンドウに戻ります。 パスワードの入力ミスの確認など,エラーがある場合は,ユーティリティからその修正を促すプロンプトが表示されます。
現在のビューは,新規ユーザのアイコンでアップデートされます。
7.2.2 項の説明に従って,dxaccounts
ユーティリティを起動します。
「アカウント・マネージャ: <host>」ウィンドウが最初に表示されます。
次の手順でアカウントを削除します。
削除するアカウントのアイコンをダブルクリックします。 多数のアカウントがある場合は,7.4.2.3 項の説明のオプションを使用して,アカウントを見つけます。
[削除] を選択します。
「ローカル UNIX ユーザの削除」ウィンドウがオープンします。
このウィンドウで,ユーザのファイルおよびディレクトリを削除できます。
ファイルおよびディレクトリをアーカイブする場合は,dxarchiver
オプションを参照してください。
[了解] を選択して削除を確認し,「アカウント・マネージャ: <host>」ウィンドウに戻ります。 ユーザ・アカウントの削除が即座にこのウィンドウに反映されます。
dxaccounts
ユーティリティには,ユーザ・アカウントを探すのに役立つ検索機能があります。
この機能を使用して,ユーザ・シェルまたはパスワードなどの変更をグローバルに適用するユーザのグループを選択することもできます。
7.2.2 項の説明に従って,dxaccounts
ユーティリティを起動します。
「アカウント・マネージャ: <host>」ウィンドウが最初にオープンします。
次の手順に従って検索します。
[検索] を選択します。
いずれかのフィールドに検索文字列 (テキスト文字列) を入力して,[了解] を選択します。
[検索] オプションは,検索フィールドに検索文字列が含まれているアカウントをすべて見つけて表示します。 次に例を示します。
「ユーザ名」フィールドに文字列
ad
を入力して,[了解] を選択します。
「選択されたユーザ」ウィンドウがオープンし,検索条件に一致したユーザがリストされます。
一致したユーザには,adm
,admin
,adamK
および
wadmanB
が含まれます。
これらのユーザ・アカウントは,現在のビューで強調表示されます。
ユーザ・アカウントのグループを選択してから変更または削除オプションを選択すると,選択したユーザに対してグローバル操作を実行できます。
7.4.2.4 アカウントのコピー
既存のアカウントをテンプレートとして使用して新しいアカウントを作成し,アカウントのプロパティをクローニングすることができます。 1 つ以上のアカウントの正確な複製を,次の手順で作成できます。
既存のユーザ・アカウントのアイコンを選択して強調表示するか,マウスを使用してアカウントのグループを選択します。
[了解] を選択して,アカウントをコピーします。
[貼付け] を選択して,クローン・アカウントを作成します。
元の名前に文字列
_copy
n
が付加されて,新しいアイコン・ラベルがつけられます。
ここで,n
は,コピーの順序番号です。
必要な数だけコピーを作成できます。
複製されたアカウントを順に選択し,名前とプロパティを変更します (7.4.2.1 項を参照)。
次のような必要最小限の変更をアカウントに行います。
新しいユーザ名を入力する
UID を変更するか,次に利用できる UID を選択する
パスワードを変更する
[了解] を選択して,変更されたアカウントを追加し,「アカウント・マネージャ: <host>」ウィンドウに戻ります。 新規アカウントのアイコンが即座にこのウィンドウに反映されます。
カット・アンド・ペーストまたはドラッグ・アンド・ドロップを使用してユーザ・アカウントをコピーする場合,「一般オプション」ダイアログ・ボックスの「重複したユーザ ID を許可する」オプションが動作に関係します。 たとえば,UID が 200 のユーザ・アカウントのコピーを作成する場合,「重複したユーザ ID を許可する」チェックボックスがオフ (省略時の値) であれば,一意の UID がコピー結果に自動的に設定されます。 「重複したユーザ ID を許可する」チェックボックスがオンであれば,コピーは同じ UID を持ちます。 同じ規則が,グループのコピーにも適用されます。
MB1 を使用してユーザ・アカウント,グループ,またはテンプレートのドラッグ・アンド・ドロップを行うと,移動操作ではなく,コピー操作になります。
この動作は,MB1 でドラッグ・アンド・ドロップの移動操作が行われ,Shift-MB1 でコピー操作が行われる,CDE の省略時の動作とは異なります。
たとえば,MB1 を使用してユーザ・アカウントを「Local Users」ビューからドラッグし,「NIS Users」ビューにドロップすると,ユーザ・アカウントのコピーが NIS 内に作成されます。
この問題を回避するには,コピーの完了後に,オリジナルのアイコンを削除してください。
7.4.2.5 password オプションの使用
dxaccounts
には,単一ユーザまたは複数のユーザのパスワードを変更または削除できるオプションがあります。
このオプションは,次のように使用します。
パスワードを変更する 1 つのユーザまたは複数のユーザを選択します。 ユーザのグループの選択には,検索オプションが役立ちます。
[編集] メニューで [パスワード] を選択します。
「新しいパスワード」ウィンドウで,新しいパスワードを入力してそれを確認します。
[パスワード無し] を選択して,現在のパスワードを削除します。 このオプションを選択した場合,システムのセキュリティに重要な影響があります。
[了解] を選択して変更を確認し,アカウント・マネージャのメイン・ウィンドウに戻ります。
7.4.2.6 アカウント・マネージャ (dxaccounts) の一般オプション
アカウント・マネージャ GUI (dxaccounts
) を使用して,新たに作成されたアカウントの省略値を容易に設定することができます。
また,コマンド行 (useradd
) を使用してアカウントの省略時の値を設定することもできますが,SysMan Menuの [アカウント] オプションを使用して省略時の値を設定することはできません。
次の手順に従って省略値を追加または変更します。
[オプション] メニューで,[一般...] を選択します。 「一般オプション」ウィンドウがオープンします。 このウィンドウで,次の省略値を設定することができます。
ユーザ識別子 (UID) およびグループ識別子 (GID) の重複が可能になります。
UID および GID の最小値,次に割り当てられる値,および最大値が設定できます。
省略時の 1 次グループを
users
以外のグループに設定することができます。
省略時のホーム・ディレクトリを
/usr/users
以外のディレクトリに設定することができます。
省略時のログイン・シェルを設定できます。
省略時のスケルトン・ディレクトリ・パスを
/usr/skel
以外のディレクトリに設定することができます。
ハッシュ (暗号化された) パスワード・データベースの作成を強制します。
新しく作成したすべてのアカウントにパスワードの入力を強制します。
UNIX アカウントの作成時にその関連アカウントの自動作成を強制します。
必要な変更を行った後に,[了解] をクリックし,省略値をアップデートして「アカウント・マネージャ」のメイン・ウィンドウに戻ります。
以降の各項では,次のグループ管理の方法について説明します。
SysMan Menu の次の [アカウント] オプションを使用したグループの管理
ローカル・グループの管理
NIS グループの管理
LDAP グループの管理
アカウント・マネージャ GUI (dxaccounts
) を使用した,グループの管理
また,groupadd
,groupmod
,および
groupdel
コマンドを使用してグループを管理することもできます。
コマンド行オプションについての詳細は,7.1.3 項で説明されているドキュメントを参照してください。
注意
addgroup
ユーティリティは,指定できないオプションがあるため,またセキュリティを詳細に設定できないため,使用しないでください。システム・ファイルの整合性を維持するために,ユーザ・アカウントは手動で追加しないでください。
7.5.1 SysMan Menu のグループ管理オプションの使用
以降の各項では,SysMan Menu のオプションを使用してグループを管理する方法について説明します。 次の作業について説明しています。
新しいローカル・グループ,LDAP グループ,または NIS グループの作成
既存のローカル・グループ,LDAP グループ,または NIS グループの変更
ローカル・グループ,LDAP グループ,または NIS グループの削除
SysMan Menu 画面のフィールドにデータをキーボードから入力する方法については,オンライン・ヘルプを参照してください。
7.5.1.1 グループ情報の収集
グループの管理を始める前に,表 7-4 に示したワークシートを使って情報を収集します。 エンハンスト・セキュリティ機能を使用している場合は,各データ項目が,最低限の必要条件を満たしている必要があるので注意してください。 詳細については,『セキュリティ管理ガイド』を参照してください。
group
ファイルのデータ項目の説明については,7.3.4 項
を参照してください。
SysMan Menu のオプションでは,NIS グループの省略時の値を指定することもできます。
NIS の構成については,『ネットワーク管理ガイド:サービス編』 を参照してください。
表 7-4 で,O と記されたデータ項目はオプションです。 少なくとも 1 つのユーザ・アカウントを指定しなければなりません。
フィールド | 説明 | データ項目 |
グループ名* |
||
パスワード* | 現在は使用されていない | |
グループ識別子 (GID)* | 使用されていない場合は,次の番号が自動的に割り当てられる | |
ユーザ* | ||
ユーザ | ||
ユーザ | ||
ユーザ | ||
ユーザ | ||
ユーザ |
* は必須フィールドであることを示しています。
7.5.1.2 グループの作成と変更
新たにグループを作成するには,7.2.3 項 の説明に従って,SysMan Menu を表示して [ローカル・グループの管理] オプションを選択します。 ローカル・グループ・テーブルが表示され,既存のローカル・グループがすべてリストされます。 NIS グループを追加する手順は,[NIS グループの管理] オプションを選択すること以外は同じです。
次の手順に従ってグループを作成します。
[追加...] を選択して,「グループの追加」ダイアログ・ボックスをオープンします。
表 7-4 のワークシートの情報を使用して,データ・フィールドを入力します。
必要に応じて,「メンバ」パネルで,新規グループの初期メンバとなるユーザの名前を強調表示します。
[了解] を選択して新規グループを追加します。 エラーがある場合には,ユーティリティによってその修正を促すプロンプトが表示されます。
ローカル・グループ・テーブルのダイアログ・ボックスがオープンし,追加が正常に行われたことを示す確認メッセージが表示されます。 [了解] を選択して SysMan Menu に戻ります。
既存のグループを変更するには,7.2.3 項 に説明されているように,SysMan Menu を表示して [ローカル・グループの管理] オプションを選択します。 ローカル・グループ・テーブルが表示され,既存のローカル・グループがすべて表示されます。 次の手順に従ってグループ・エントリを変更します。
グループのリストをスクロールして,変更するグループを選択します。
[修正...] を選択して,「ローカル・グループの管理: グループの修正」ウィンドウをオープンします。
必要に応じて,データ・フィールドの値を変更します。 たとえば,ユーザのリストをスクロールして,新しいユーザをそのグループに追加することができます。
[了解] を選択して変更を確認します。
複数のグループを変更するには,[了解] の代わりに,[適用] を選択します。 加えたすべての変更は,[了解] を選択して作業を終了するまで有効になりません。
「ローカル・グループ」ウィンドウがオープンし,変更が正常に行われたことを示す確認メッセージが表示されます。 [了解] を選択して SysMan Menu に戻ります。
オンライン・ヘルプには,フィールドとその有効なデータについての説明があります。
7.5.2 アカウント・マネージャ (dxaccounts) の使用
7.2.2 項に説明されているように,アカウント・マネージャ (dxaccounts
) ユーティリティを起動します。
「アカウント・マネージャ: <host>」ウィンドウが最初にオープンします。
表 7-4
のワークシートのデータを使用して,以降の各項の手順に従って
dxaccounts
を使用してグループを追加,変更または削除します。
NIS グループの管理手順は,NIS データベースを変更する権限が必要になること以外は,ローカル・グループの管理手順と同じです。
[検索] オプションなど,データベースに影響を及ぼさないオプションについては,すべてのユーザが使用できます。
システムに多数のグループがある場合は,7.5.2.4 項で説明されている [検索] オプションを使用して,変更または削除するグループを見つけてください。
LDAP グループは,アカウント・マネージャでは管理できません。
7.5.2.1 グループの追加
次の手順に従ってグループを追加します。
[表示] プルダウン・メニューで [ローカル・グループ] オプションを選択します。
[追加] ボタンを選択して,「ローカル UNIX グループの追加/修正」ウィンドウをオープンします。
「ユーザ名」フィールドに新しいグループ名を入力します。
使用可能な次の GID を選択するか,新しい GID を入力します。
ユーザ名をダブルクリックして,そのユーザをグループに追加します。 この動作は,オプションです。
[了解] を選択してグループを追加して,「アカウント・マネージャ: <host>」ウィンドウに戻ります。 新規グループのアイコンが即座にこのウィンドウに反映されます。
新しいグループを追加する別の方法としては,次のようにして既存のグループからクローンを作成する方法があります。
既存のグループ・アイコンを選択して,そのグループを強調表示します。
[複写] を選択して,グループをコピーします。
[貼付け] を選択して,新しいバージョンのグループを作成します。
元の名前に文字列
_copy
n
が付加されて,新しいアイコン・ラベルがつけられます。
ここで,n
は,コピーの順序番号です。
必要な数だけコピーを作成できます。
新たにコピーされたアイコンをダブルクリックしてそれを強調表示し,「ローカル UNIX グループの追加/修正」ウィンドウを表示します。 [修正] が自動的に選択されます。
グループへの次のような必要な変更を行います。
新しいグループ名を入力する
GID を変更するか,次に使用可能な GID を選択する
メンバを追加または削除する
[了解] を選択してグループを追加して,「アカウント・マネージャ: <host>」ウィンドウに戻ります。 新規グループのアイコンが即座にこのウィンドウに反映されます。
7.2.2 項に説明されているように
dxaccounts
ユーティリティを起動します。
「アカウント・マネージャ: <host>」ウィンドウが最初にオープンします。
次の手順を使用して,グループに変更を加えます。
変更するグループをダブルクリックします。 「ローカル UNIX グループの追加/修正」ウィンドウがオープンします。
グループへの次のような必要な変更を行います。
グループ名を変更する
GID を変更する
メンバを追加または削除する
[了解] を選択して変更を確認して「アカウント・マネージャ: <host>」ウィンドウに戻ります。 グループへの変更が即座にこのウィンドウに反映されます。
7.2.2 項に説明されているように
dxaccounts
ユーティリティを起動します。
「アカウント・マネージャ: <host>」ウィンドウが最初にオープンします。
次の手順に従ってグループを削除します。
削除するグループを選択します。
[削除] を選択します。 ユーティリティによって,そのグループの削除を確認するプロンプトが表示されます。
[了解] を選択して削除を確認して「アカウント・マネージャ: <host>」ウィンドウに戻ります。 グループの削除が即座にこのウィンドウに反映されます。
アカウント・マネージャ・ユーティリティ (dxaccounts
) を使用すると,グループおよびグループのメンバであるユーザを探すことができます。
7.2.2 項に説明されているように
dxaccounts
ユーティリティを起動します。
「アカウント・マネージャ: <host>」ウィンドウが最初にオープンします。
グループを検索するには,次の手順に従います。
[検索] を選択します。
次のいずれかの検索文字列を入力します。
[検索] オプションは,指定された文字列を含むグループ名のグループをすべて選択して表示します。
たとえば,文字列
mem
はグループ
mem
および
kmem
に一致します。
入力した数値は文字列として扱われます。
[検索] オプションは,この文字列を含む GID のグループをすべて選択して表示します。
たとえば,文字列
20
は,グループ
20
および
220
に一致します。
[検索] オプションは,この文字列を含むユーザ名のユーザをすべて選択して表示します。
たとえば,文字列
wal
は,wallyB
および
cadwalZ
という名前のユーザを含むグループと一致します。
7.6 Windows ドメイン・アカウントとグループの管理
ASU (Advanced Server for UNIX) が実行されている場合は,アカウント管理ユーティリティを構成して,Windows ドメイン・アカウントの作成および管理をサポートすることができます。 ASU のインストレーションおよび構成については,ASU の『Advanced Server for UNIX インストレーション/管理ガイド』を参照してください。 ASU がインストールされている場合,アカウント管理ユーティリティを使用して関連 (同期化された) アカウントに対して特定の操作を行うことができます。 これらのアカウントは,Windows ドメインと UNIX 環境の両方に存在する同じユーザのアカウントです。 これらのアカウントを,UNIX ユーティリティでは,同期化されたアカウントと呼びます。 Windows 2000 に特有の情報については,7.6.2 項を参照してください。
UNIX システムを構成して,関連する Windows NT ドメイン・アカウントと UNIX アカウントを作成したり,アカウントの省略時の作成オプションを設定するには,例 7-1
に説明されているように
usermod
(または
useradd
) コマンドを実行して,アカウント環境変数を設定する必要があります。
注意
ASU がインストールされて構成されている場合は,関連する Windows NT ドメイン・アカウントおよび UNIX アカウントの作成が省略時の設定で有効になります。 すべてのアカウント管理ユーティリティの PC サポート機能は有効になります。
Synchronized UNIX/PC Accts
環境変数の値は,設定がオンであることを示す1
になります。
# usermod -D [1] Local = 1 Distributed = 0 Minimum User ID = 12 Next User ID = 200 Maximum User ID = 4294967293 Duplicate User ID = 0 Use Hashed Database = 0 Max Groups Per User = 32 Base Home Directory = /usr/users [2] Administrative Lock = 1 Primary Group = users Skeleton Directory = /usr/skel Shell = /bin/sh Synchronized UNIX/PC Accts = 0 PC Minimum Password Length = 0 PC Minimum Password Age = 0 PC Maximum Password Age = 42 PC Password Uniqueness = 0 PC Force Logoff After = Never # usermod -D -x pc_synchronize=1 pc_passwd_uniqueness=1 pc_max_passwd_age=60 [3] # usermod -D . . . Synchronized UNIX/PC Accts = 1 PC Minimum Password Length = 0 PC Minimum Password Age = 0 [4] PC Maximum Password Age = 60 PC Password Uniqueness = 1 PC Force Logoff After = Never
このコマンドは,現在の省略時の環境変数を表示します。 [例に戻る]
usermod
コマンドの出力結果には,環境変数の省略値がリストされます。
アカウントの作成時にこれらの省略値が新しいアカウントに割り当てられます。
たとえば,新しいアカウントはすべて,ベース・ホーム・ディレクトリ
/usr/users
に作成されます。
[例に戻る]
このコマンドでは,Windows NT ドメイン・アカウントにのみ適用される 3 つの環境変数に,新しい省略値を指定しています。 [例に戻る]
このリストは途中が省略されていますが,次のような,環境変数の新しい省略値を表示しています。
pc_synchronize=1
ASU が実行されている場合に関連する Windows NT ドメイン・アカウントと UNIX アカウントを作成します。
pc_passwd_uniqueness=1
パスワードの独自性チェックを強制します。
pc_max_passwd_age=60
パスワードの最大有効日数。 この日数を超える前に,ユーザはパスワードを変更しなければなりません。
groupmod
-D
コマンドを使用して,新しいグループを作成する際の省略時の環境変数を設定することができます。
新しいアカウントを作成するときに,代わりの値を環境変数に指定して,省略値より優先させることもできます。
詳細については,
useradd
(8)usermod
(8)userdel
(8)コマンド行のプロンプトで,コマンドの最後に -h を入力して,さまざまなコマンド・オプションを示すヘルプ画面を表示することもできます。 ASU User Manager for Domains では,省略時のポリシを編集するときに同じような作業を行います。 これにより,新たに作成されるアカウントに同じ省略時の環境変数を設定することができます。
ASU アカウント管理ユーティリティを使用して UNIX アカウントに対してのみ操作を実行したり,UNIX ユーティリティを使用して Windows NT ドメイン・アカウントに対してのみ操作を実行することはできません。
以降の各項では,ASU が実行されている場合と同期化されたアカウントを管理する場合の UNIX アカウント管理機能および ASU アカウント管理機能の動作について説明します。
7.6.1 同期化されたアカウントの管理
ASU をセットアップして同期化されたアカウントの作成を構成した場合は,アカウント管理ユーティリティの特定の機能が自動的に有効になります。 以降の各項では,これらの機能がさまざまなアカウント管理ユーティリティでどのように使用されるかについて説明します。
ロック・ファイルによって,異なる 2 つのユーティリティ (または,同じユーティリティの 2 つのインスタンス) が同時に使用されるのを防止します。
多数の管理者が多数のアカウントを管理する大規模な環境では,このような状況がよく起こります。
このロック・ファイルは,/etc/.AM_is_running
に作成されます。
ロック・ファイルが存在する場合は,1 つのプロセスだけがユーザ・データおよびグループ・データに関連するシステム・ファイルにアクセスできます。
UNIX アカウント管理マネージャの別のインスタンスを実行しようとすると,データ・ファイルがロックされていることを示すメッセージが表示されます。
ASU ユーティリティを使用してアカウントを追加する場合は,ASU はロック・ファイルの存在を検出します。
ロック・ファイルがあると,関連する UNIX アカウントを作成することはできません。
Windows NT ドメイン・アカウントだけを作成します。
ロック・ファイルに関するエラー・メッセージは表示されず,関連アカウントが作成されなかったという確認は表示されません。
ASU ツールを使用する場合は,/etc/passwd
ファイルを検査して関連する UNIX アカウントが作成されたか確認する必要があります。
7.6.1.1 SysMan Menu のアカウント・オプションとグループ・オプションの使用
SysMan Menu [アカウント] ユーティリティのユーザ・インタフェースは,ASU が実行されている場合と見た目に違いはありません。 同期化されたアカウントが使用可能になっている場合,ウィンドウと画面には違いが生じません。 ただし,次の動作上の相違点に注意してください。
アカウント作成の一部として,アカウント所有者をグループに割り当てるときに,いくつかの
DOS----
グループから選択できます (Primary Group オプション)。
例 7-1 の説明に従って,関連する Windows NT ドメイン・アカウントの作成を有効にした場合は,その関連アカウントが自動的に作成されます。 この自動作成を無効にすることはできません。
関連する Windows NT ドメイン・アカウントが自動的に削除されます。 この削除を無効にすることはできません。 ユーザの Windows NT ドメイン・アカウントを保持したい場合は,この操作を実行しないでください。
いくつかの
DOS----
グループが選択リストに含まれ,lanman
および
lmxadmin
などの,省略時の Windows NT ドメイン・アカウントが示されます。
SysMan Menu の使用については,第 1 章
を参照してください。
7.6.1.2 アカウント・マネージャ (dxaccounts) の使用
アカウント・マネージャ・ユーティリティ (dxaccounts
) は,X11 準拠の GUI であり,CDE などの X-window ユーザ環境でのみ使用できます。
dxaccounts
のメイン・ウィンドウには,PC
(Windows NT ドメイン) アカウントを作成するオプションがあります。
このオプションは,ASU が実行されていない場合は,淡色表示になり使用することはできません。
ASU が実行されている場合は,次の機能が使用できます。
Windows NT ドメインなどの 1 つのユーザ環境でアカウントを作成する場合,UNIX 環境などの別のユーザ環境での同期化されたアカウントの作成を選択できます。
例 7-1 で示されているように,関連する Windows NT ドメイン・アカウントまたは UNIX アカウントの作成が省略時で有効になっている場合でも,この関連アカウントを作成しないように選択することができます。
[表示] メニューに追加のオプションが表示され,すべての Windows NT ドメイン・アカウントおよびグループのオープンが可能になります。 これらの追加オプションを選択した場合は,PC (Windows NT ドメイン) ユーザ・アカウントおよびグループ・アカウントのアイコンがそれぞれ表示されます。 これにより,PC アカウントまたはグループを UNIX アカウントと同じ方法で,追加,変更または削除できます。
[オプション] メニューで [PC デフォルト] オプションを使用して特性を設定することができます。 この特性は,新たに作成されるすべてのアカウントに継承されます。 [一般オプション] メニュー項目を使用して,アカウントの同期化を設定し,また,UNIX アカウントの特性を設定することができます。
[削除] でアカウントを削除する場合は削除するアカウントを,UNIX アカウント,PC アカウント,あるいはその両方から選択するように促されます。
[表示] メニューで [ローカル・グループ] オプションを使用する場合は,PC グループ (DOS----
) が表示され,それらのグループに対して管理作業を行うことができます。
[表示] メニューで [PC グループ] オプションを使用する場合は,PC ドメイン・グループが表示され,それらのグループに対して管理作業を行うことができます。
7.5.2 項 に説明されている手順を使用して, PC アカウントおよびグループに対して管理作業を行うことができます。
dxaccounts
を使用する利点は,本来の X11 アプリケーションであるため,ドラッグ・アンド・ドロップやカット・アンド・ペーストのアイコン操作などのウィンドウ環境機能で,新しいユーザ・アカウントやグループを既存のものから簡単に作れることです。
ただしこれらは,ポータビリティのある SysMan Menu のアカウント・ユーティリティと違って,CDE などの X-window ユーザ環境だけで実行できます。
LDAP グループは,アカウント・マネージャ・ユーティリティでは管理できません。
7.6.1.3 コマンド行ユーティリティの使用
ユーザ・アカウントおよびグループ・アカウントを管理するコマンド行ユーティリティを使用して,例 7-1 に示したように,省略時のアカウント特性を設定することもできます。 これらの特性は新たに作成されたすべてのアカウントに適用されるもので,ASU ユーティリティではアカウント・ポリシと呼ばれます。 グラフィカルなユーティリティとは異なり,コマンドを使用すると,省略時の環境変数を無効にして,カスタマイズした値を新しいアカウントに指定することができます。
ASU がインストールされている場合は,次のアカウントおよびグループ作成オプションが使用できます。
useradd
,usermod
-
-D
オプションを使用して,省略時の Windows NT ドメイン・アカウントの特性を設定できます。
この拡張オプションとその省略値を次に示します。
pc_synchronize=
(値: 1,オン)新しいアカウントを,Windows NT ドメイン・アカウントまたは UNIX システム・アカウントのどちらかとして作成するときに,特に指定しなくても同期化されたアカウントを作成するかどうかを指定します。 この値が 0 (ゼロ) の場合は,同期化されたアカウントは作成されません。
pc_min_password_age=
(値: 0,オフ)パスワードの変更が可能になるまでの日数を指定します。 ユーザは,この日数よりも頻繁にパスワードを変更することはできません。
pc_max_password_age=
(値: 42 日)このオプションでは,パスワードの有効日数を指定します。 ユーザは,少なくともこの日数を超える時点でパスワードを変更する必要があります。
pc_passwd_uniqueness=
(値: 0,オフ)ユーザが指定したパスワードを検査して,同じパスワードを使用しないようにします。
pc_force_logoff=
(値: Never,オフ)アカウントの有効期限が過ぎた場合に,自動的にアカウント所有者をログアウトさせる一時的なアカウントを設定します。
例 7-1 に示したように,-D -x オプションを使用してこれらの拡張オプションを設定します。 省略時の特性を無効にするには,アカウントの作成などのアカウント管理操作で次のように -x フラグを使用して,拡張オプションを指定します。
# useradd -x pc_passwd_uniqueness=1 guest9
次のコマンド・オプションは拡張オプションではないので,省略時のアカウントの特性は設定しません。 これらのアカウントの特性は,ASU ユーティリティを使用して設定することもできます。 これらのコマンド・オプションは,新しいアカウントを追加する際に使用します。
pc_username=
name_string
Windows NT ドメインでのユーザ・アカウント名。 このアカウント名は,ユーザの UNIX アカウントの名前と同じにすることも,別の名前にすることもできます。
pc_unix_username=
login_name
同期化された UNIX アカウント名。 名前が指定されない場合は,Windows NT ドメインのアカウント名と同じ名前になります。
pc_fullname=
text_string
ユーザのフルネームまたはアカウントの説明。
pc_comment=
text_string
アカウントの簡単な説明。 この説明は,管理者だけが変更できます。
pc_usercomment=
text_string
アカウントの簡単な説明。 この文字列はユーザが変更できます。
pc_homedir=
pathname
Windows NT と共通の形式で指定する,ユーザのホーム・ディレクトリのパス。
pc_primary_group=
group
ユーザが属する 1 次グループ (Windows NT ドメイン)。
pc_secondary_groups=
group,group....
ユーザが属する 2 次 Windows NT ドメイン。 この値は,コンマで区切ったリストで指定します。
pc_logon_workstations=
client_name
ユーザがログオンできるクライアント・ホスト・システムのリスト。 この値はコンマで区切ったリストで指定します。 ヌル値 (" ") は,ユーザがすべてのワークステーションからログオンできることを示します。
pc_logon_script=
pathname
省略時のログオン・スクリプトが存在するディレクトリ。 このディレクトリは,ASU の構成時に作成されます。
pc_account_type=
local|global
Windows NT ドメインでアカウントがローカルかグローバルかを指定します。
pc_account_expiration=
date_string
アカウントの有効期限が過ぎ,ログインができなくなる日付。
pc_logon_hours=
Dd0000-0000,Dd0000-0000....
ログインの有効期間を曜日と時刻で指定し,ログインを許可するかどうかを指定します。
pc_user_profile_path=
pathname
省略時のユーザ・プロファイル・ディレクトリのパス名。
pc_disable_account=
0|1
初期状態で,アカウントをロックして,ログインできなくするかどうかを指定します。
pc_passwd
0|1
アカウントの初期パスワードとして使用されるテキスト文字列。 このオプションは,-x フラグを使って指定する必要があります。 このオプションを指定すると,パスワードの入力を促すプロンプトが表示されるので,パスワードを入力して,この入力を確認する必要があります。 入力したパスワードは表示されません。
pc_passwd_choose_own=
0|1
ユーザが自分のパスワードを設定できるようにするかどうかを指定します。
pc_passwd_change_required=
0|1
最初のログイン時にユーザにパスワードを変更するように強制します。
userdel
- このコマンドで使用できる PC (Windows NT ドメイン) オプションは,Synchronized UNIX/PC Accts
だけです。
このオプションを使用して,次のように同期化されたアカウントを削除します。
# userdel -r -x pc_synchronize=1 studentB
groupadd
,groupmod
次の拡張オプションを -x フラグで使用して,Windows NT ドメインのグループを管理することができます。
pc_group_description=
stringグループを説明するテキスト文字列。
pc_group_members=
user,user....コンマで区切られたグループ・メンバのリスト。
コマンド行を使用する利点は,これを用いて管理作業を完全に制御することができることです。 すべてのコマンド・オプションを指定でき,また,アカウントの省略時の環境変数より優先させることができます。
コマンドを,シェル・スクリプトで使用してアカウントの作成をカスタマイズし,自動化することができますが,コマンド・オプションが長くなる場合は,かえって,グラフィカル・ユーティリティを使用してアカウントを設定する方が便利です。
useradd
(8)groupadd
(8)7.6.1.4 ASU ドメイン・ユーザ・マネージャの使用
ASU には,Windows NT ドメイン,ドメイン・ユーザ・アカウントおよびグループを管理するユーティリティがあります。
このアプリケーションは,Windows NT を実行しているシステムにインストールされていなければなりません。
また,このアプリケーションは,Windows NT を実行しているシステムでのみ使用でき,net
コマンド行オプションと同じ機能を提供します。
新たに作成されるすべてのアカウントに適用される,省略時の環境変数を指定できます。
これらの環境変数は,Windows NT ドメインではアカウント・ポリシと呼ばれます。
ドメイン・ユーザ・マネージャ (usrmgr.exe
) を使用している場合は,同期化された UNIX アカウントに対して省略時の環境変数を設定することはできません。
詳細については,ASU の『Advanced Server for UNIX インストレーション/管理ガイド』,およびドメイン・ユーザ・マネージャのオンライン・ヘルプを参照してください。
7.6.1.5 ASU net コマンドの使用
ASU はさまざまな
net
コマンドのセットを提供しています。
このコマンドは,UNIX コマンド行または Windows NT サーバの DOS ウィンドウで入力します。
たとえば,次のコマンドはユーザ・アカウントの追加,変更または削除に使用する
net user
コマンドのヘルプを表示します。
# net help user | more The syntax of this command is: NET USER [username [password | \*] [options]] username [password | \*] /ADD [options] username [/DELETE] . . . # net user josef /add
net
コマンド・オプションのリストを表示するには,次のコマンドを実行します。
# net help view
net
コマンドの使用方法の詳細は,『Advanced Server for UNIX インストレーション/管理ガイド』を参照してください。
7.6.2 Windows 2000 シングル・サイン・オン
UNIX サーバと Windows 2000 クライアント・システムからなるローカル・コンピューティング環境では,環境内に 1 台以上のドメイン・コントローラがある場合,オプションの Windows 2000 シングル・サイン・オン (SSO) ソフトウェアを構成できます。 SSO ソフトウェアを使用すると,Windows 2000 ドメインのアカウント保持者は,UNIX アカウントなしで,UNIX サーバのコンピューティング・リソースにアクセスすることができます。
SSO ソフトウェアは,Windows Active Directory と,関連する Windows アカウント管理ユーティリティを変更します。 この変更により,Windows 2000 ドメインの管理者は,UNIX のアカウント情報をユーザの Windows 2000 のアカウント・レコードに記録できるようになります。 UNIX サーバ・システムは,アカウント保持者のデータに安全にアクセスでき,アカウント保持者の UNIX ログイン情報 (パスワードや GID など) を読み取ることができます。
また,同じソフトウェアや管理ツールを使用する SSO ユーザ・グループを作成することもできます。
7.6.2.1 シングル・サイン・オンのインストレーション要件
この機能を構成して使用するには,次のインストレーション要件を満たす必要があります。
UNIX システムへルート・アクセスができ,SSO ソフトウェアをインストールするすべての Windows 2000 ドメイン・コントローラの管理者でなければなりません。 UNIX システム上と,少なくとも 1 つのドメイン・コントローラ上で,インストレーション・プロシージャを実行しなければなりません。
UNIX システムでは,C2 レベルのセキュリティは実行できません。 セキュリティ・レベルについての詳細は,『セキュリティ管理ガイド』を参照してください。
「Associated Products Volume 2」CD-ROM が必要です。
この CD-ROM には,SSO ソフトウェア・キットが収められています。
このキットの
/doc
ディレクトリには,『Windows 2000 Single Sign On Installation and Administration Guide』があります。
次の情報が必要です。
ドメイン名 (sso.w2k.com
など)
ドメイン・コントローラのホスト名 (w2kserv.sso.w2k.com
など)
特権ドメイン・アカウントのアカウント名とパスワード。 このアカウントは,Administrators グループに属していて管理者の特権を持っていなければなりませんが,メインの Administrator アカウント以外でなければなりません。 このようなアカウントがない場合は,作成してからインストレーションを開始してください。
7.6.2.2 シングル・サイン・オン・ソフトウェアのインストール
ソフトウェアを次のようにインストールします。
CD-ROM を CD-ROM ドライブにセットします。
次のようなコマンドを使用して,マウント・ポイントを作成し CD-ROM をマウントします。
# mkdir /apcd # mount -r /dev/disk/cdrom4c /apcd
次のコマンドで,インストレーション・キットとドキュメントを見つけます。
# ls /apcd/Windows2000_SSO
setld
コマンドを使用して,W2KSS0100
という名前のソフトウェア・サブセットをインストールします。
インストレーションの完了時に,構成スクリプト
/usr/sbin/w2ksetup
が自動的に実行されます。
『Windows 2000 Single Sign-On Installation and Administration Guide』に説明されているように,構成を完了させます。
7.6.2.3 シングル・サイン・オン・アカウントの作成についての UNIX の要件
UNIX アカウントの特性に対する次の要件が,SSO アカウントに適用されます。
SSO ユーザ・アカウントは,標準の Windows 2000 ユーザ管理ツールの変更されたバージョンを使用した場合のみ Windows 2000 ユーザ環境に作成できます。
SSO アカウントは,dxaccounts
や
useradd
などの UNIX ツールを使用して作成することはできません。
既存の Windows 2000 アカウントをアップグレードして,アカウント保持者に UNIX リソースへの SSO 特権を付加することもできます。
UNIX アカウントと Windows 2000 アカウントには,用語の違いがあります。 たとえば,アカウントの特性を示すユーザ・アカウント・データは,Windows 2000 ではプロパティ,UNIX オペレーティング・システムでは属性 (attribute) と呼ばれます。 この情報は,UNIX 環境では GECOS データと呼ばれます。 一部の UNIX コマンドやユーティリティは,このデータを使用して,アカウントの操作や,ユーザの識別を行います。 UNIX のアカウント属性については,7.3.3 項と以降の節を参照してください。
ユーザやグループごとに,次のアカウント・データを用意します。 必要であれば,この章で説明している UNIX アカウント管理ツールを使用して,各ユーザのアカウント・データが正しいフォーマットであり重複していないことを確認します。
Windows 2000 では,ユーザ名はユーザ・ログオン名です。 SSO では,この名前が 2 つの要件 (長さと,重複しないこと) を満たさなければなりません。 この条件は,グループ名にも適用されます。
Windows 2000 は非常に長いユーザ名をサポートしていますが,実際には大半のユーザは,覚えやすく入力しやすい,名前の短縮形やイニシャルを使用します。 ユーザ名の最大長は,UNIX 環境での一般的な制限により,8 文字となります。
実際の名前はユーザのイニシャルのように短くすることができますが,どちらのシステム上でも重複しない名前でなければなりません。
ユーザ名が
chs
という UNIX アカウントのみを持つユーザがいる場合は,この名前を SSO アカウントとして割り当てることはできません。
各ユーザにはパスワードが必要です。 パスワードの長さは,UNIX システムの現在の設定により決まります。 この設定は,使用されているセキュリティ・メカニズムにより異なることがあります。 詳細については,『セキュリティ管理ガイド』を参照してください。
各アカウントには,UID という識別用の重複しない整数が必要です。 また,各グループには,GID があります。 これらの識別子については,7.3.2 項および7.3.4 項を参照してください。
このフィールドを使用すると,後で参照するときに役立つように,テキストで GECOS データの説明を入力することができます。
UNIX 環境でのユーザのホーム・ディレクトリは,Windows 2000 システムでのディスク・シェアと同じ意味です。
ホーム・ディレクトリは,UNIX ファイル・システム
/usr
の一部をユーザ・アカウント用に予約したものです。
一般的に,ホーム・ディレクトリのパス名には,ユーザのアカウント名を使用します。
たとえば,/usr/staff/songch
や
/usr/users/chs
です。
ユーザがログオンしたときに起動される,ユーザの省略時の UNIX コマンド環境です。
UNIX コマンド環境には,Bourne シェル (sh
) や Korn シェル (ksh
) があります。
詳細については,
shells
(4)
7.6.2.4 シングル・サイン・オンのアカウントおよびグループの作成
7.6.2.3 項で用意した情報を使用して,次のように SSO アカウントを作成します。
Windows 2000 ドメイン・コントローラに,管理者のアカウントでログインします。
Microsoft Management Console (MMC) インタフェースを起動し,「Active Directory ユーザーとコンピュータ」ウィンドウをオープンします。
「
Users
」フォルダをオープンし,既存のユーザを選択するか,アクション・メニューをオープンし,[新規作成] オプションを選択してから [ユーザー] オプションを選択します。
3 つのダイアログ・ボックスが,連続してオープンします。 新規ユーザ・アカウントごとに,次の情報の入力が求められます。
名前などの,ユーザ・アカウントの詳細
アカウントの初期パスワードと,パスワードの特性
UNIX アカウント・プロパティ。 UID や GID など,7.6.2.3 項で説明している情報を使用します。
SSO グループを作成するには,同じ手順を使用し,手順 3 で [新規作成] と [グループ] メニュー・オプションを選択します。
7.6.2.5 シングル・サイン・オンのシステム・ファイル
ソフトウェアのインストールおよび構成時には,次のシステム・ファイルが作成されます。
ドメイン・サーバ上のアカウント情報のレジストリへのコネクションである,ldapcd
デーモン。
このデーモンが誤って抹消されたり停止された場合は,次のコマンドを使用して再起動してください。
# /sbin/init/dldapw2k restart
ldapcd
デーモンの設定が格納されている
/etc/ldapcd.conf
構成ファイル
特定のユーザにだけ UNIX 認証を強制する
/etc/w2kusers.deny
構成ファイル
これらのファイルについての詳細は,ファイル・ヘッダおよび『Windows 2000 Single Sign-On Installation and Administration Guide』を参照してください。