引言
AIX 提供了大量的命令來處理用戶和組管理。本文討論其中一些核心安全命令,並提供可用作便捷參考的列表。這些命令的行爲在所有 AIX 版本中應該都是相同的。
命令
一般命令
如何在 AIX 上創建用戶?
要在 AIX 上創建用戶,可以輸入以下命令:
mkuser <username>
或者
useradd <username>
這兩個命令都在 AIX 上創建該用戶,並更新 /etc/passwd 文件中的用戶信息。
如何設置用戶密碼?
passwd 命令設置用戶的密碼,並將用戶的密碼信息更新到 /etc/security/passwd 文件中。在使用 passwd 命令來爲用戶設置密碼之後,它將設置 ADMCHK 標誌,以便在用戶下一次登錄期間提示他們更改密碼。
要設置密碼,可以輸入以下命令:passwd <username>
如何清除某個用戶的 ADMCHK 標誌?
要清除某個用戶的 ADMCHK 標誌和所有的密碼標誌,可以輸入以下命令:pwdadm -c <username>
-c 標誌清除用戶的 ADMCHK 標誌,並修改用戶在 /etc/security/passwd 文件中的密碼節。
如何在 AIX 上創建組?
可以使用 mkgroup 命令在 AIX 上創建組,並更新 /etc/group 和 /etc/security/group 文件中的組信息。
mkgroup <groupname>
如何刪除用戶?
可以使用兩個命令來刪除用戶。要刪除用戶,可以輸入以下命令:rmuser <username>
或userdel <username>
如何刪除組?
可以使用 rmgroup 命令來刪除組。rmgroup <groupname>
如何列出用戶的屬性?
lsuser 命令顯示 /etc/passwd 和 /etc/security/user 文件中的所有用戶屬性。
lsuser <username>
如何列出組屬性?
要顯示某個組的屬性,可以輸入命令:lsgroup <groupname>
如何更改用戶屬性?
chuser 命令更改用戶信息並更新配置文件。chuser attribute=value <username>
如何在系統上禁用遠程登錄?
用戶屬性存儲在 /etc/security/user 配置文件中。要禁止用戶遠程登錄,可以將“rlogin”屬性設置爲“false”。
用戶的“registry”和“SYSTEM”屬性之間的區別是什麼?
registry 屬性指定了管理用戶或組身份信息的位置,SYSTEM 屬性則控制使用哪些方法以及那些方法如何影響總體身份驗證。AIX 上的每個用戶的 registry 和 SYSTEM 屬性都必須具有某個值。組僅有 registry 值。
AIX 安全配置文件是什麼?
| /etc/passwd |
| /etc/group |
| /etc/security/passwd |
| /etc/security/user |
| /etc/security/group |
| /etc/security/lastlog |
| /etc/security/login.cfg |
| /usr/lib/security/methods.cfg |
如何檢查安全配置文件的不一致性?
| usrck | 此命令校正用戶信息。 |
| grpck | 此命令校正組信息。 |
| pwdck | 此命令驗證用戶數據庫文件中的密碼信息的正確性。 |
如何獲得內核中的用戶和組名稱長度限制?
帶 LOGIN_NAME_MAX 參數的 getconf 命令檢索內核中的用戶和組名稱長度限制。
getconf LOGIN_NAME_MAX
用戶和組的最大名稱長度是多少?
對於 AIX 5.2 及更低的版本,用戶和組的最大名稱長度是 8 個字符。AIX 5.3 及更高版本允許管理員將用戶和組的名稱長度最多增加到 255 個字符。
如何增加用戶和組的名稱長度?
使用 smit,smit -> System Environments -> Change / Show Characteristics of Operation System 面板可用於更改 ODM 數據庫中的值(在“Maximum login name length at boot time”字段中)。在該 smit 面板中指定的值將在下一次重新啓動後生效。
使用命令行,chdev 命令可用於通過 max_logname 屬性更改 sys0 設備在 ODM 數據庫中的 v_max_logname 參數。ODM 數據庫中更改後的值將在下一次重新啓動後生效。
# chdev -l sys0 -a max_logname=30
sys0 changed
LDAP 命令
如何在 AIX 上配置 ITDS LDAP 服務器/客戶端?
mksecldap 命令配置 ITDS LDAP 服務器/客戶端。有關更多信息,請參閱參考資料部分。
如何停止 LDAP 客戶端守護進程?
可以使用 /usr/sbin/stop-secldapclntd 命令來停止 LDAP 客戶端守護進程。
如何啓動 LDAP 客戶端守護進程?
可以使用 /usr/sbin/start-secldapclntd 命令來啓動 LDAP 客戶端守護進程。
如何重新啓動 secldapclntd 守護進程?
可以使用 /usr/sbin/restart-secldapclntd 命令來重新啓動 secldapclntd 守護進程。
如何從 LDAP 服務器獲得 LDAP 用戶信息?
lsldap 命令通過 LDAP 客戶端和 secldapclntd 守護進程從 LDAP 服務器獲得該信息。
lsldap -a passwd username OR lsuser -R LDAP username
如何從 LDAP 服務器獲得 LDAP 組信息?
lsldap -a group groupname OR lsgroup -R LDAP groupname
有關 LDAP 命令的更多信息,請參閱此白皮書。
Kerberos 命令
如何在 AIX 上配置 NAS Kerberos 服務器?
mkkrb5srv -r <realm> -s <servername> -d <domain>
此命令在 AIX 上配置 Kerberos 服務器,並創建 /etc/krb5/krb5.conf、/var/krb5/krb5kdc/kdc.conf 和 kdm5.acl 文件。
如何在 AIX 上配置 NAS Kerberos 客戶端?
mkkrb5clnt -r <realm name> -c <KDC server> -s
<Kerberos server> -d <domain> -a admin/admin -A i files -K - T
此命令在 AIX 上配置 Kerberos 客戶端,並使用“files”作爲 Kerberos 的數據庫。如果希望使用“LDAP”作爲數據庫,可以指定 LDAP 來取代上述命令中的“files”。此命令還將 KRB5files 和 KRB5 模塊信息更新到 /usr/lib/security/methods.cfg 文件中。
如何創建 Kerberos 用戶?
mkuser -R registry=KRB5files SYSTEM="KRB5files" <username>
OR
mkuser -R KRB5LDAP registry=KRB5LDAP SYSTEM="KRBLDAP" <username>
如何設置 Kerberos 用戶的密碼?
passwd -R KRB5files <username> |
如果爲 Kerberos 客戶端配置了 kadmin 支持,則此命令有效。如果不存在 kadmind 支持,則用戶無法從 Kerberos 客戶端更改他們的密碼。
如何爲 AIX Kerberos 客戶端配置 Microsoft® Windows® Active Directory 服務器?
config.krb5 -C -r <realm> -d <domain> -c <KDC server> -s <kerberos server>
其中
<realm> 是 Windows Active Directory 域名
<domain> 是承載 Active Directory 服務器的計算機的域名
<KDC server> 是 Windows 服務器的主機名稱
<kerberos server> 是 Windows 服務器的主機名稱
Microsoft Windows 支持的加密機制是什麼?
Microsoft Windows 支持 DES-CBC-MD5 和 DES-CBC-CRC 加密類型。可以按如下方式更改 AIX Kerberos 客戶端 /etc/krb5/krb5.conf 文件。 [libdefaults]
default_realm = MYREALM
default_keytab_name = FILE:/etc/krb5/krb5.keytab
default_tkt_enctypes = des-cbc-crc des-cbc-md5
default_tgs_enctypes = des-cbc-crc des-cbc-md5
如何取消配置 Kerberos 客戶端/服務器?
unconfig.krb5
此命令從客戶端和服務器中刪除 Network Authentication Service 配置信息和文件。
如何驗證在登錄期間使用了哪種身份驗證方法?
echo $AUTHSTATE
此命令提供登錄期間使用的身份驗證方法。