[passwd]セクションのトークンは、パスワードの変更およびその他のユーザ関連サービスを定義します。
ユーザが追加、更新、および削除できる GID の範囲を指定します。 この範囲外の値は、CA ControlMinder で更新できない予約済みの GID を意味します。
注: 指定された整数が 1 つしかない場合は、1 から指定された整数までのすべての整数が予約済み GID になります。 上限よりも大きな数値を指定した場合は、デフォルトの上限(30000)が適用されます。 負の数値を指定した場合は、デフォルトの下限(1)が適用されます。 任意の数値に適用される下限は、指定された下限の +1 です。 たとえば、AllowedGidRange=100, 3000 の場合、101 が下限として扱われます。
制限: -1 ~ 2147483647
デフォルト: 100,30000
ユーザが追加、更新、および削除できる UID の範囲を指定します。 この範囲外の値は、CA ControlMinder で更新できない予約済みの UID を意味します。
注: 指定された整数が 1 つしかない場合は、1 から指定された整数までのすべての整数が予約済み UID になります。 上限よりも大きな数値を指定した場合は、デフォルトの上限(30000)が適用されます。 負の数値を指定した場合は、デフォルトの下限(1)が適用されます。 任意の数値に適用される下限は、指定された下限の +1 です。 たとえば、AllowedUidRange = 100, 3000 の場合、101 が下限として扱われます。
制限: -1 ~ 2147483647
デフォルト: 100,30000
sepass -p または sepass -s を使用して行った root のパスワード変更が、Policy Model に送信されるかどうかを指定します。 次に、PMD からそのサブスクライバにパスワードが伝達されます。
有効な値は、yes および no です。
デフォルト: no
LDAP データベースにおけるパスワードの認証および変更に、ローカル ホストが PAM を使用するかどうかを指定します。
デフォルト: no
ADMIN および PWMANAGER ユーザにパスワード ルールを適用するかどうかを指定します。
デフォルト: no
selang がすべてのユーザに対してパスワード ルールをチェックするかどうかを指定します。
有効な値は、yes および no です。
トークンが yes に設定されている場合、selang はすべてのユーザに対してパスワード ルールをチェックします。
トークンが no に設定されている場合、selang はパスワードを変更したユーザに対してのみパスワード ルールをチェックします。
デフォルト: no
注: このトークンは、API を使用する場合のみサポートされています。
(DEC UNIX のみ)。 exit スクリプトの実行タイミングを、CA ControlMinder の各コマンドによってユーザ レコードを作成、更新、または削除した後にするか、または sepass ユーティリティを使用して各ユーザのパスワードを変更した後にするかを指定します。
注: 使用方法の詳細については、ACInstallDir/samples/exits-src/USER_POST ディレクトリに格納されている README ファイルを参照してください。
デフォルト: no
システムのデフォルトのホーム ディレクトリを指定します。 ユーザのホーム ディレクトリは、指定されたシステム ホーム ディレクトリのサブディレクトリです。 たとえば、システムのホーム ディレクトリが /home の場合、新規ユーザのホーム ディレクトリは /home/username になります。 値を指定した場合、このトークンの値は、クライアントの lang.ini ファイルの値より優先されます。 nohomedir を指定すると、ホーム ディレクトリは自動的には設定されません。
デフォルト: /home
デフォルトのパスワード プログラムを指定します。 指定した場合、このパスワード プログラムは、sepass が開始され、seosd が実行中でないときに使用されます。
デフォルト: /bin/passwd
値が入力されなかった場合に CA ControlMinder によって新しい UNIX ユーザに割り当てられるプライマリ グループを指定します。
デフォルト: other
値が入力されなかった場合に CA ControlMinder によって新しい UNIX ユーザに割り当てられるデフォルトのシェルを指定します。 値を指定した場合、このトークンの値は、クライアントの lang.ini ファイルの値より優先されます。
デフォルト: /bin/sh(または、HP-UX では /sbin/sh)
パスワードとして使用できない語が格納されているファイルの完全パス名を定義します。
注: このファイルを使用するには、ファイルに辞書形式パスワード ルール(use_dbdict)を設定し、UseDict 設定をyesに設定する必要があります。 辞書形式がdbに設定された場合、使用できないパスワードは CA ControlMinder データベースから取得され、この設定は無視されます。 これは、UNIX のデフォルトの設定です。
重要: このトークンは廃止されています。 代わりにデータベース内の辞書を使用します。
デフォルト: /usr/dict/words
sepass が新しいパスワードを生成するかどうかを指定します。
有効な値は、yes および no です。
このトークンを no に設定すると、ユーザは新しいパスワードの入力を要求されます。
デフォルト: no
ユーザのプライマリ グループが変更されたときに、CA ControlMinder がユーザのホーム ディレクトリのグループ所有者権限を更新するかどうかを指定します。
有効な値は、yes および no です。
デフォルト: yes
ローカル ホストが NIS クライアントまたは NIS+ クライアントかどうかを指定します。
有効な値は no、nis、または nisplus です。
デフォルト: no
この端末が NIS+ サーバかどうかを指定します。
有効な値は、yes および no です。
このトークンの値が yes の場合、CA ControlMinder はパスワードの変更を NIS+ パスワードの変更として扱います。
デフォルト: no
sepass のデフォルト設定に -l フラグを含めるかどうかを決定します。
有効な値は、yes および no です。
このトークンが yes に設定されている場合、ローカル パスワード ファイル(通常は /etc/passwd)、セキュリティ ファイル、ローカル データベースなどのローカルでのみ、sepass はパスワードを変更します。
デフォルト: no
sepass のデフォルト設定に ‑pフラグを含むかどうかを指定します。 トークンの値が yes の場合、sepass は指定されたホストの PMDB でのみパスワードを変更します。
データベースが定義されていない場合、sepass はパスワードを変更しません。
デフォルト: no
パスワードが Policy Model サービスの一部として配布されているときに、ユーザのパスワードの暗号化に使用される方法を指定します。
有効な値は以下のとおりです。
1 - 互換モード。長いパスワードを使用しない CA ControlMinder システム間でパスワードを配布します(r12 より古いバージョンの CA ControlMinder を実行しているマシンもすべて含まれます)。
2 - MD5 モード。長いパスワードを使用し、Linux も実行している CA ControlMinder システム間でパスワードを配布します。
3 - 双方向モード。長いパスワードを使用する CA ControlMinder システム間で暗号化されたメッセージ内の平文として、パスワードを安全に配布します。
デフォルト: 1
パスワードの変更が NT ホストに伝達されるかどうかを示します。
このトークンを NT に設定することは、管理しているホストの 1 つが NT ホストであることを示しています。
デフォルト: none
パスワードがローカルに格納されているときに、ユーザのパスワードの暗号化に使用される方法を指定します。
有効な値は以下のとおりです。
crypt - UNIX での標準的な一方向の暗号化で、パスワードの最初の 8 文字のみを(DES キーとして)使用します。 crypt を指定すると、長いパスワードの使用が無効になります。
md5 - MD5 のハッシュ関数で、暗号化できるパスワードの長さに制限はありません。 md5 を指定すると、長いパスワードの使用が有効になります。
デフォルト: crypt
sepass が /opt/CA/AccessControl/ bin/segrace から起動される際に、ローカル ユーザに古いパスワードの入力を促すかどうかを指定します (完全パスを使用する必要があります)。
このトークンを yes に設定すると、ユーザは古いパスワードの入力を求められます。
デフォルト: yes
sepass で著作権に関する情報、および Policy Model へのパスワードの伝達に関するメッセージを表示するどうかを指定します。
デフォルト: no
sepass により、特権ユーザが、(-x オプションを使用して)root で変更するかのように、root のパスワードを変更できるようにするかどうかを指定します。
有効な値は以下のとおりです。
yes - 特権ユーザが、sepass を使用して、root で変更するかのように root のパスワードを変更できます。 root のパスワードを本人として変更することはできません(管理者による変更)。
no - 特権ユーザが、sepass を使用して、本人としてのみ root のパスワードを変更できます(管理者による変更)。
たとえば、トークンが yes に設定されている場合、特権ユーザは、以下のコマンドを使用して root のパスワードを変更できます。
sepass -x root
同じユーザでも、以下のコマンドを使用して root のパスワードを変更することはできません。
sepass root
このトークンが no に設定されている場合、上記の説明とは逆になります。
デフォルト: no
UNIX 環境でのグループの更新後に以前のグループ ファイルの所有者、グループ、およびモードを保存するかどうかを指定します。
有効な値は、yes および no です。
このトークンを no に設定すると、新しい値がそれぞれ 0、0、644 に設定されます。
デフォルト: no
UNIX 環境でのユーザの更新後に以前のパスワード ファイルの所有者、グループ、およびモードを保存するかどうかを指定します。
有効な値は、yes および no です。
このトークンを no に設定すると、新しい値がそれぞれ 0、0、644 に設定されます。
デフォルト: no
(AIX プラットフォームのみ)。 管理者が selang から、または sepass を使用してパスワードを変更したときに、/etc/security/passwd ファイルのユーザ エントリに ADMCHG フラグが追加されるかどうかを指定します。
デフォルト: no
新しいユーザを追加するときにフリー UID アルゴリズムを採用するかどうかを指定します。 別の任意の値に設定すると、古いプロセスが選択されることになります。 new アルゴリズムは、4 KB を超える UID 番号を提供し、より高速です。
デフォルト: new
パスワードの確認時に、(Dictionary 設定で指定された)辞書ファイルを使用するかどうかを指定します。
注: 辞書ファイルを使用するには、ファイルに辞書形式パスワード ルール(use_dbdict)を設定する必要があります。 辞書形式がdbに設定された場合、使用できないパスワードは CA ControlMinder データベースから取得され、この設定は無視されます。
デフォルト: no
NIS グループ マップの作成に使用するコマンドを指定します。
デフォルト: make group
NIS マップの作成時に使用される makefile ディレクトリの名前を指定します。
デフォルト: /var/yp
NIS パスワード マップの作成に使用するコマンドを指定します。
デフォルト: make passwd
NIS グループ マップの作成元となるグループ ファイルを指定します。
デフォルト: /etc/group
NIS パスワード マップの作成元となるパスワード ファイルを指定します。
デフォルト: /etc/passwd
NIS パスワード マップの作成に使用されるパスワードを含むセキュリティ ファイルの名前を指定します。
デフォルト: 以下のように、プラットフォームによって異なります。
新しいクライアント(selang や Security Administrator など)が ypbind テストを実行できる時間(秒単位)を指定します。このテストにより、ローカル ホストが NIS サーバに接続しているかどうかを確認できます。 指定された時間が経過すると、クライアントは終了し、エラー メッセージが表示されます。
このデフォルト値がゼロ(0)の場合、ypbind テストは実行されていません。
デフォルト: 0
|
Copyright © 2013 CA.
All rights reserved.
|
|