chgroup

Από The Stelios Files


1 Σκοπός

Αλλάζει χαρακτηριστικά των ομάδων.


2 Σύνταξη

chgroup [ -R load_module ] Χαρακτηριστικό=Τιμή ... Ομάδα

3 Περιγραφή

Προσοχή: Μην χρησιμοποιείτε την εντολή chgroup εάν έχετε εγκατεστημένη στο σύστημά σας μια βάση δεδομένων Network Information Service (NIS), καθώς αυτό θα μπορούσε να προκαλέσει σοβαρές ασυνέπειες στη βάση δεδομένων του συστήματος.

Η εντολή chgroup αλλάζει χαρακτηριστικά για την ομάδα που καθορίζεται από την παράμετρο Ομάδα. Το όνομα της ομάδας πρέπει να υπάρχει ήδη. Για να αλλάξετε ένα χαρακτηριστικό, καθορίστε το όνομα του χαρακτηριστικού και την τιμή στην οποία θέλετε να το αλλάξετε στην παράμετρο Χαρακτηριστικό=Τιμή.

Για να αλλάξετε τα χαρακτηριστικά για μια ομάδα που δημιουργήθηκε με έναν εναλλακτικό μηχανισμό αναγνώρισης και ελέγχου ταυτότητας (I&A), η σημαία -R μπορεί να χρησιμοποιηθεί για τον καθορισμό της μονάδας I&A με δυνατότητα φόρτωσης. Οι μονάδες φόρτωσης ορίζονται στο αρχείο /usr/lib/security/methods.cfg.

Θα μπορούσατε επίσης να χρησιμοποιήσετε τη γρήγορη διαδρομή smit chgroup Tool Management System (SMIT) για να εκτελέσετε αυτήν την εντολή.

Η αλλαγή του αναγνωριστικού για έναν λογαριασμό μπορεί να θέσει σε κίνδυνο την ασφάλεια του συστήματος και ως εκ τούτου δεν πρέπει να το κάνει. Ωστόσο, όταν το αναγνωριστικό αλλάζει χρησιμοποιώντας την εντολή chgroup, ο έλεγχος σύγκρουσης αναγνωριστικού ελέγχεται επίσης από το χαρακτηριστικό dist_uniqid στη παράγραφο usw του αρχείου /etc/secvars.cfg. Η συμπεριφορά του ελέγχου σύγκρουσης ID είναι η ίδια με αυτή που περιγράφεται για την εντολή mkgroup.

3.1 Περιορισμοί στην αλλαγή ομάδων

Για να διασφαλιστεί η ασφάλεια των πληροφοριών της ομάδας, υπάρχουν περιορισμοί στη χρήση της εντολής chgroup. Μόνο ο χρήστης root ή οι χρήστες με εξουσιοδότηση UserAdmin ή aix.security.group.change μπορούν να χρησιμοποιήσουν την εντολή chgroup για να αλλάξουν οποιαδήποτε ομάδα. Αυτές οι αλλαγές περιλαμβάνουν:

Να ορίσει μια ομάδα σαν ομάδα διαχειριστών ορίζοντας το χαρακτηριστικό admin σε true.

Αλλαγή τυχόν χαρακτηριστικών μιας διαχειριστικής ομάδας.

Προσθήκη χρηστών στη λίστα διαχειριστών μιας ομάδας διαχείρισης.

Μια ομάδα διαχείρισης είναι μια ομάδα με το χαρακτηριστικό admin ορισμένο σε true. Τα μέλη της ομάδας security μπορούν να αλλάξουν τα χαρακτηριστικά των μη διαχειριστικών ομάδων, συμπεριλαμβανομένης της προσθήκης χρηστών στη λίστα των διαχειριστών.

4 Σημαία

Είδος Περιγραφή
-R Καθορίζει τη μονάδα με δυνατότητα φόρτωσης I&A που χρησιμοποιείται για την αλλαγή των χαρακτηριστικών του χρήστη.

4.1 Χαρακτηριστικά

Αλλάζετε χαρακτηριστικά καθορίζοντας μια παράμετρο Χαρακτηριστικό=Τιμή. Εάν έχετε την κατάλληλη δικαιοδοσία, μπορείτε να ορίσετε τα ακόλουθα χαρακτηριστικά ομάδας:

Τιμή Περιγραφή
adms Καθορίζει τους χρήστες που μπορούν να εκτελούν διοικητικές εργασίες για την ομάδα, όπως τον ορισμό των μελών και των διαχειριστών της ομάδας. Αυτό το χαρακτηριστικό αγνοείται εάν admin = true, καθώς μόνο ο χρήστης root μπορεί να αλλάξει μια ομάδα που ορίζεται ως διαχειριστής. Η παράμετρος Τιμή είναι μια λίστα ονομάτων σύνδεσης χρηστών διαχωρισμένων με κόμματα. Εάν δεν καθορίσετε μια παράμετρο Τιμή, καταργούνται όλοι οι διαχειριστές.
admin Καθορίζει τη διοικητική κατάσταση της ομάδας. Μπορείτε να καθορίσετε τις ακόλουθες τιμές:

true

Ορίζει την ομάδα ως διοικητική. Μόνο ο χρήστης root μπορεί να αλλάξει τα χαρακτηριστικά των ομάδων που ορίζονται ως διαχειριστές.

false

Ορίζει μια τυπική ομάδα. Τα χαρακτηριστικά αυτών των ομάδων μπορούν να αλλάξουν από τον χρήστη root ή ένα μέλος της ομάδας ασφαλείας. Αυτή είναι η προεπιλεγμένη τιμή.

id Το αναγνωριστικό της ομάδας. Η παράμετρος Value είναι μια μοναδική ακέραια συμβολοσειρά. Η αλλαγή αυτού του χαρακτηριστικού θέτει σε κίνδυνο την ασφάλεια του συστήματος και, για αυτόν τον λόγο, δεν πρέπει να αλλάξετε αυτό το χαρακτηριστικό.
projects Καθορίζει τη λίστα των έργων στα οποία μπορούν να εκχωρηθούν οι διαδικασίες του χρήστη. Η τιμή είναι μια λίστα ονομάτων έργων διαχωρισμένων με κόμματα και αξιολογείται από αριστερά προς τα δεξιά. Το όνομα του έργου πρέπει να είναι ένα έγκυρο όνομα έργου όπως ορίζεται στο σύστημα. Εάν βρεθεί ένα μη έγκυρο όνομα έργου στη λίστα, θα αναφερθεί ως σφάλμα.
users Καθορίζει μια λίστα με έναν ή περισσότερους χρήστες με τη μορφή: User1, User2,..., Usern. Τα ονόματα των μελών της ομάδας χωρίζονται με κόμμα. Κάθε χρήστης πρέπει να οριστεί στα αρχεία διαμόρφωσης της βάσης δεδομένων. Δεν μπορείτε να αφαιρέσετε χρήστες από την κύρια ομάδα τους.

Εάν το χαρακτηριστικό domainlessgroups έχει οριστεί στο αρχείο secvars.cfg, οι χρήστες από την ομάδα Lightweight Directory Access Protocol (LDAP) μπορούν να αντιστοιχιστούν στην τοπική ομάδα και αντίστροφα.

efs_initialks_mode Καθορίζει την αρχική κατάσταση του χώρου αποθήκευσης κλειδιών ομάδας. Μπορείτε να καθορίσετε τις ακόλουθες τιμές:

admin

Οι χρήστες του συστήματος Root ή άλλων προνομιακών ασφαλείας μπορούν να ανοίξουν το ομαδικό κατάστημα κλειδιών χρησιμοποιώντας το κλειδί διαχειριστή.

guard

Οι χρήστες root δεν μπορούν να ανοίξουν το χώρο αποθήκευσης κλειδιών ομάδας χρησιμοποιώντας το κλειδί admin.

Η προεπιλεγμένη τιμή είναι admin.

Το χαρακτηριστικό καθορίζει την αρχική λειτουργία της αποθήκευσης κλειδιών ομάδας. Μπορείτε να χρησιμοποιήσετε το χαρακτηριστικό με την εντολή mkgroup. Μετά τη δημιουργία του χώρου αποθήκευσης κλειδιών, η αλλαγή της τιμής του χαρακτηριστικού με την εντολή chuser, chgroup ή chsec ή η μη αυτόματη επεξεργασία δεν αλλάζει τη λειτουργία του χώρου αποθήκευσης κλειδιών, εκτός εάν διαγραφεί ο χώρος αποθήκευσης κλειδιών και δημιουργηθεί νέο. Για να αλλάξετε τη λειτουργία αποθήκευσης κλειδιών, χρησιμοποιήστε την εντολή efskeymgr.


Περιορισμός: Το χαρακτηριστικό είναι έγκυρο μόνο όταν το σύστημα είναι ενεργοποιημένο με EFS.

efs_keystore_algo Καθορίζει τον αλγόριθμο που χρησιμοποιείται για τη δημιουργία του ιδιωτικού κλειδιού της ομάδας κατά τη δημιουργία του χώρου αποθήκευσης κλειδιών. Μπορείτε να καθορίσετε τις ακόλουθες τιμές:* RSA_1024
  • RSA_2048
  • RSA_4096


Η προεπιλεγμένη τιμή είναι RSA_1024.

Μπορείτε να χρησιμοποιήσετε το χαρακτηριστικό με την εντολή mkgroup. Μετά τη δημιουργία του χώρου αποθήκευσης κλειδιών, η αλλαγή της τιμής αυτού του χαρακτηριστικού με την εντολή chuser, chgroup ή chsec ή η μη αυτόματη επεξεργασία δεν δημιουργεί εκ νέου το ιδιωτικό κλειδί, εκτός εάν διαγραφεί το κλειδί αποθήκευσης και δημιουργηθεί νέο. Για να αλλάξετε τον αλγόριθμο για τα κλειδιά, χρησιμοποιήστε την εντολή efskeymgr.

Περιορισμός: Το χαρακτηριστικό είναι έγκυρο μόνο όταν το σύστημα είναι ενεργοποιημένο με EFS.

efs_keystore_access Καθορίζει τον τύπο βάσης δεδομένων της ομάδας αποθήκευσης κλειδιών. Μπορείτε να καθορίσετε τις ακόλουθες τιμές:

file

Δημιουργεί το αρχείο /var/efs/groups/grpname/keystore keystore που σχετίζεται με την ομάδα.

none

Η αποθήκευση κλειδιών δεν έχει δημιουργηθεί. Όλα τα άλλα χαρακτηριστικά αποθήκευσης κλειδιών δεν έχουν κανένα αποτέλεσμα.

Η προεπιλεγμένη τιμή είναι file.

Περιορισμός: Το χαρακτηριστικό είναι έγκυρο μόνο όταν το σύστημα είναι ενεργοποιημένο με EFS.


5 Παραδείγματα

Για να προσθέσετε sam και carol στην ομάδα finance, η οποία αυτή τη στιγμή έχει μονο τον frank σαν μέλος, πληκτρολογήστε:

chgroup users=sam,carol,frank  finance

Για να αφαιρέσετε τον frank από την ομάδα finance, αλλά να διατηρήσετε sam και carol, και για να αφαιρέσετε τους διαχειριστές από την ομάδα finance, πληκτρολογήστε::

chgroup users=sam,carol adms= finance
Σε αυτό το παράδειγμα, άλλαξαν δύο τιμές χαρακτηριστικών. Το όνομα frank παραλείφθηκε από τη λίστα των μελών και η τιμή για το χαρακτηριστικό adms έμεινε κενή.


Για να αλλάξετε το χαρακτηριστικό χρήστη της ομάδας λειτουργικών μονάδων LDAP I&A με δυνατότητα φόρτωσης, πληκτρολογήστε:

chgroup -R LDAP users=sam,frank monsters

6 Πηγή