chuser コマンド

目的

ユーザー属性を変更します。

構文

チャウザー [ -R ロード・モジュール ] 属性=値 ... Name

説明

重要: ご使用のシステムに Network Information Service (NIS) データベースがインストールされている場合は、 chuser コマンドを使用しないでください。

chuser コマンドは、 Name パラメーターによって識別されるユーザーの属性を変更します。 ユーザー名は既に存在していなければなりません。 属性を変更するには、属性名と新しい値に Attribute=Value パラメーターを付けて指定してください。 以下のファイルには、このコマンドによって設定されたローカル・ユーザー属性が入っています。

  • /etc/passwd
  • /etc/security/environ
  • /etc/security/limits
  • /etc/security/user
  • /etc/security/user.roles
  • /etc/security/audit/config
  • /etc/group
  • /etc/security/group

代替の ID および認証 (I & A) メカニズムを持つユーザーの属性を変更するには、 -R フラグを使用して、ユーザーが定義されている I & A ロード・モジュールを指定できます。 -R フラグが指定されていない場合、chuser コマンドは ユーザーをローカル・ユーザーとして扱います。 ロード・モジュールは、/usr/lib/security/methods.cfg ファイルで定義されます。

chuser コマンドで正しくない属性または属性値を 1 つ指定すると、コマンドは属性を変更しません。

System Management Interface Tool (SMIT) smit chuser 高速パスを使用して、ユーザー特性を変更することができます。

アカウントの ID を変更するとシステム・セキュリティーが脅かされる可能性があるため、変更しないようにしてください。 ただし、 chuser コマンドを使用して ID を変更した場合、ID 衝突検査は、 /etc/security/login.cfg ファイルの usw スタンザの dist_uniqid 属性によっても制御されます。 ID 衝突制御の動作は、mkuser コマンドで説明されている内容と同じです。

ユーザーの変更に関する制限

ユーザー情報の保全性を保証するために、chuser コマンドの使用にはある程度の制限が適用されます。 root ユーザーまたは UserAdmin 権限を持っているユーザーのみが、chuser コマンドを使用して、以下のタスクを実行することができます。

  • admin 属性を true に設定して、 ユーザーを管理ユーザーにする。
  • 管理ユーザーの属性があれば変更します。
  • 1 ユーザーを管理グループに追加する。

管理グループとは、admin 属性が true に設定されているグループです。 security グループのメンバー は、非管理ユーザーの属性を変更し、ユーザーを非管理グループに 追加できます。

chuser コマンドが扱うのは、ローカル・ユーザー・データだけです。 これは、NIS および DCE のようなレジストリー・サーバーのデータを変更する場合には使用できません。

フラグ

項目 説明
-R ロード・モジュール ユーザーの属性の変更に使用するロード可能 I&A モジュールを指定します。

属性

適切な権限を持っている場合には、以下のユーザー属性を設定できます。

項目 説明
アカウント・ロック ユーザー・アカウントがロックされているかどうかを示します。 使用できる値は、次のとおりです。
TRUE
ユーザーのアカウントはロックされています。 値 yestrue、および always は同等です。 ユーザーは、システムへのアクセスを拒否されます。
FALSE
ユーザーのアカウントはロックされていません。 値 nofalse、および never は同等です。 ユーザーは、システムへアクセスすることができます。 これはデフォルト値です。
管理 ユーザーの管理状況を定義します。 使用できる値は、次のとおりです。
TRUE
ユーザーは管理者です。 管理者として定義されたユーザーの属性を変更できるのは、root ユーザーだけです。
FALSE
ユーザーは管理者ではありません。 これはデフォルト値です。
admgroups ユーザーが管理するグループを定義します。 domainlessgroups 属性が /etc/secvars.cfg ファイルで設定されている場合、Lightweight Directory Access Protocol (LDAP) グループをローカル・ユーザーに割り当てることができます。また、逆も可能です。 詳しくは、「/etc/secvars.cfg」ファイルを参照してください。 Value パラメーターは、コンマで区切られたグループ名のリストです。
監査クラス ユーザーの監査クラスを定義します。 Value パラメーターは、コンマで区切られたクラスのリスト、あるいはすべての監査クラスを示す値 ALL です。
auth1 ユーザーを認証するための 1 次メソッドを定義します。 Value パラメーターは、コンマで区切られた Method ;Name の対のリストです。 Method パラメーターは、認証メソッドの名前です。 Name パラメーターは、認証されるユーザーです。 Name パラメーターを指定しないと、呼び出し中のログイン・プログラムの名前が使用されます。

有効な認証メソッドは、/etc/security/login.cfg ファイルに定義されています。 デフォルトでは、SYSTEM メソッドとローカル・パスワード認証が使用されます。 NONE メソッドは、1 次認証検査が行われないことを示します。

auth2 ユーザーの認証に使用される 2 次メソッドを定義します。 Value パラメーターは、コンマで区切られた Method ;Name の対のリストです。 Method パラメーターは、認証メソッドの名前です。 Name パラメーター値は、認証されるユーザーです。

この属性を指定しないと、デフォルト設定は NONE になり、2 次認証検査が行われないことを示します。 有効な認証メソッドは、/etc/security/login.cfg ファイルに定義されています。 Name パラメーターを指定しないと、呼び出し中のログイン・プログラムの名前が使用されます。

機能 login コマンドまたは su コマンドによってユーザーに認可する特権 (機能) を定義します。 有効な 機能 は以下のとおりです。
CAP_AACCT
実行された詳細アカウンティング操作です。
CAP_ARM_APPLICATION
プロセスは ARM (アプリケーション応答測定) サービスを使用することができます。
CAP_BYPASS_RAC_VMM
プロセスは VMM リソース使用方法上の制限をバイパスできます。
CAP_EWLM_AGENT
プロセスには、EWLM (Enterprise Workload Manager) AIX®システム・サービスを使用する機能があります。 この機能は、通常は EWLM 製品の管理対象サーバー・コンポーネントを実行するユーザー ID にのみ認可されます。
CAP_NUMA_ATTACH
プロセスは特定のリソースにバインドすることができます。
CAP_PROPAGATE
機能はすべて子プロセスで継承されます。
この値はコンマで区切った 0 以上の機能名のリストです。
コア ユーザーのプロセスが作成できる最大のコア・ファイルのソフト制限を指定します。 Value パラメーターは、512 バイトのブロックの数を表す整数です。
core_compress コア・ファイル圧縮を使用可能または使用不可にします。 この属性の有効値は、オンおよび オフです。 この属性の値がオンの場合は、圧縮が使用可能であり、そうでない場合は、圧縮が 使用不可です。 この属性のデフォルト値は、オフ です。
core_hard ユーザーのプロセスが作成できる最大のコア・ファイルを指定します。 Value パラメーターは、512 バイトのブロックの数を表す整数です。
core_naming コア・ファイル命名計画の選択項目の 1 つを選択します。 この属性の有効値は、オンおよび オフです。 値がオンの場合は、コア・ファイル命名 が core.pid.time の形式で 使用可能になりますが、これは、CORE_NAMING 環境変数の場合と 同じです。 値がオフの場合は、デフォルトの名前 core が使用されます。
core_path コア・ファイル・パス指定を使用可能または使用不可にします。 この属性の有効値は、オンおよび オフです。 この属性の値がオンの場合は、コア・ファイルは、core_pathname (フィーチャーが使用可能) によって指定されるディレクトリーに置かれることになり、そうでない 場合は、コア・ファイルは、ユーザーの現在の作業ディレクトリーに 置かれます。 この属性のデフォルト値は、オフ です。
core_pathname core_path 属性がオンに設定されている場合に、コア・ファイルを置くために使用される場所を指定します。 これが設定されておらず、core_path がオンに設定されている場合、コア・ファイルはユーザーの現行作業ディレクトリーに置かれます。 この属性は 256 文字に制限されます。
CPU ユーザーのプロセスが使用できるシステム装置時間の最大値 (秒数) のソフト制限を識別します。 Value パラメーターは整数です。 負の値はすべて無制限と見なされます。
cpu_hard ユーザーのプロセスが使用できるシステム装置時間の最大値 (秒数) を識別します。 Value パラメーターは整数です。 デフォルトの値は -1 で、制限がオフになります。
デーモン Name パラメーターで指定されたユーザーが cron デーモンまたは src (システム・リソース・コントローラー) デーモンを使用してプログラムを実行できるかどうかを指示します。 使用できる値は、次のとおりです。
TRUE
ユーザーは、cron セッションおよび src セッションを開始できます。 これはデフォルトです。
FALSE
ユーザーは、cron セッションおよび src セッションを開始できません。
data ユーザーのプロセスの最大データ・セグメントのソフト制限を指定します。 Value パラメーターは、512 バイトのブロックの数を表す整数です。 この属性の最小許容値は 1272 です。 指定-1 無制限にすることができます。
data_hard ユーザーのプロセスのための最大データ・セグメントを指定します。 Value パラメーターは、512 バイトのブロックの数を表す整数です。 この属性の最小許容値は 1272 です。 指定-1無制限にすることができます。
dce_export DCE エクスポート操作時に、DCE ユーザー情報をもつローカル・ユーザー情報を DCE レジストリーが上書きできるようにします。 使用できる値は、次のとおりです。
TRUE
ローカル・ユーザー情報は上書きされます。
FALSE
ローカル・ユーザー情報は上書きされません。
デフォルトの役割 ユーザーのデフォルト・ロールを指定します。 Value パラメーターは、 コンマで区切った有効なロール名のリストです。 このパラメーターには、roles 属性でそのユーザーに対して割り当てたロールのみを入れることができます。 ALL キーワードを使用すると、 そのユーザーのデフォルト・ロールが割り当てロール全部であることを示すことができます。
辞書リスト 新しいパスワードを検査するときに構成制限により使用されるパスワード辞書を定義します。

パスワード辞書は、コンマで区切られた絶対パス名のリストで、左から右へ評価されます。 すべての辞書ファイルとディレクトリーは、root 以外のユーザーから書き込み保護する必要があります。 辞書ファイルは、1 行に 1 ワードずつフォーマット化されます。 ワードは 1 桁目で始まって改行文字で終わります。 パスワードには、7 ビットの ASCII ワードしか使用できません。

ユーザー名は、辞書ファイルのキー・ワード $USER を指定したエントリーを追加することにより、パスワード・フィールドで不許可にすることができます。
注: キーワード $USER は、辞書ファイル内の項目のワードまたはパターンの一部として使用することはできません。

辞書ファイルに記載されたパターンまたは正規表現に一致するパスワードはすべて許可されません。

辞書ファイルのワードとパターンを区別するために、パターンは先頭文字として * 付きで示されます。 例えば、管理者が 123 で終わるパスワードを不許可にしたい場合、この情報は次のようなエントリーとして辞書ファイルに記載する必要があります。

*. * 123 (*. * 123)

最初の部分 (*) はパターン・エントリーを示すために使用され、残りの部分 (.*123) はパターンを形成します。

システム上にテキスト処理ツールをインストールする場合は、辞書ファイルを /usr/share/dict/words ファイルにすることをお勧めします。

domains ユーザーが所属するドメインのリストを定義します。
expires アカウントの有効期限を識別します。 Value パラメーターは、MMDDhhmmyy 形式の 10 文字の文字列です。この場合、MM は月、DD は日、hh は時刻、mm は分、yy は 1939 から 2038 年の下 2 桁です。 文字はすべて数字です。 Value パラメーターが 0 の場合、アカウントは無期限です。 デフォルトは 0 です。 詳しくは、 date コマンドを参照してください。
fsize ユーザーのプロセスが作成または拡張できる最大ファイルのソフト制限を指定します。 Value パラメーターは、512 バイトのブロックの数を表す整数です。 ファイルを 2Gより大きくするには、次のように指定します。-1この属性の最小値は 8192 です。
fsize_hard ユーザーのプロセスが作成または拡張できる最大ファイルを指定します。 Value パラメーターは、512 バイトのブロックの数を表す整数です。 ファイルを 2Gより大きくするには、次のように指定します。-1この属性の最小値は 8192 です。
gecos Name パラメーターにより指定されたユーザーに関する一般情報を提供します。 Value パラメーターは、コロン () が埋め込まれていないストリングです。:) 改行文字が埋め込まれていません。
グループ ユーザーが所属するグループを識別します。 domainlessgroups 属性が /etc/secvars.cfg ファイルで設定されている場合、LDAP グループをローカル・ユーザーに割り当てることができます。また、逆も可能です。 詳しくは、 /etc/secvars.cfgを参照してください。 Value パラメーターは、コンマで区切られたグループ名のリストです。
histexpire ユーザーがパスワードを再利用できない期間 (週単位) を定義します。 この値は、10 進の整数文字列です。 デフォルトは 0 で、期間が設定されていないことを示します。 この属性変更できるのは、管理ユーザーだけです。
histsize ユーザーが再利用できない以前のパスワードの数を定義します。 この値は、10 進の整数文字列です。 デフォルトは 0 です。 この属性には、0 から 50 までの範囲の値を指定できます。 この属性変更できるのは、管理ユーザーだけです。
home Name パラメーターにより指定されたユーザーのホーム・ディレクトリーを識別します。 Value パラメーターは絶対パス名です。
id ユーザー ID を指定します。 Value パラメーターは、固有の整数文字列です。 この属性を変更するとシステム・セキュリティーが損なわれるので、 この属性は変更しないでください。
login ユーザーが login コマンドを使用してシステムにログインできるかどうかを示します。 使用できる値は、次のとおりです。
TRUE
ユーザーは、システムにログインできます。 これはデフォルトです。
FALSE
ユーザーは、システムにログインできません。
loginretries 最後に正常にログインしてからシステムがアカウントをロックするまでに再試行できる不成功ログインの回数を定義します。 この値は、10 進の整数文字列です。 ゼロまたは負の値は、未制限であることを示します。 ユーザーのアカウントがロックされると、システム管理者がファイル /etc/security/lastlog 内でそのユーザーの unsuccessful_login_count 属性を loginretries よりも小さい値にリセットするまで、そのユーザーはログインできなくなります。 この属性をリセットするには、次のように入力します。
chsec -f /etc/security/lastlog -s username -a \  
unsuccessful_login_count=0
項目 説明
logintimes ユーザーがシステムへのアクセスを許可される日付と時間帯を定義します。 値は、次のいずれかのフォーマットのエントリーをコンマで区切ったリストです。
[!]:<time>-<time>
 
[!]<day>[-<day>][:<time>-<time>]
 
[!]<month>[<daynum>][-<month>[<daynum>]][:<time>-<time>]

<day> の有効値は、mon、tues、w、THU、 Friday、sat、および SUNDAY などです。 ただし、day の値は曜日の省略形として示しますが、省略形は曜日名と月名の両方について固有でなければなりません。 曜日の範囲は、Tuesday-Monday のように、2 週にまたがってかまいません。 曜日名では、大文字と小文字は区別されません。

<time> の有効値は、24 時間方式で指定された時刻です。 時刻値の前には : (コロン) を付け、4 文字の文字列を指定します。 先行ゼロは必須です。 したがって、0800 (午前 8 時) は有効ですが、800 は無効です。 指定された時間帯だけのエントリー構成は、すべての日に適用されます。 開始時刻は終了時刻より前でなければなりません。 2 日にまたがる期間を指定することはできません。

< month> に指定できる値は、Jan、F、March、apr、および s です。 月の値は省略された月として示します。ただし、省略形は、日の名前と月の名前の両方について固有でなければなりません。 月の範囲は、September-June のように、2 年にまたがってかまいません。 月名では、大文字と小文字は区別されません。

<daynum> の有効値は、1 カ月の 1 日から 31 日が含まれます。 この値は、指定された月に対して検査されます。 月の値は、1 文字文字列または 2 文字文字列のどちらかに指定します。 daynum 値なしで月を指定すると、その月が指定した範囲の開始月か終了月であるかによって、それぞれ、月の第 1 日目か最終日を示します。

接頭部が! のエントリー (感嘆符) は、システムへのアクセスを拒否し、DENY エントリーと呼ばれます。 ! が指定されていないエントリー 接頭部はアクセスを許可し、ACCESS エントリーと呼ばれます。 ! は、単一エントリーに適用されるものであり、各エントリーの先頭に付ける必要があります。 現在、システムごとに 200 のエントリーを指定できます。

この属性は、各国別に設定することができます。 月名と曜日名は、システム用に設定されたロケール変数により指定された言語によって、入力および表示することができます。 月と曜日の値の相対順序も、各国別に設定することができます。 <month><daynum> フォーマットと <daynum><month> フォーマットを使用できます。

システムは、各エントリーを次の順序で評価します。

  1. すべての DENY エントリー。 エントリーがシステム時刻と一致すると、そのユーザーはアクセスが拒否され、ALLOW エントリーは処理されません。
  2. DENY エントリーが存在しない場合には、すべての ALLOW エントリー。 ALLOW エントリーがシステム時刻と一致すると、そのユーザーはアクセスを許可されます。 ALLOW エントリーがシステム時刻と一致しない場合には、そのユーザーはアクセスを拒否されます。 ALLOW エントリーが存在しなければ、そのユーザーはログインを許可されます。
maxage パスワードの最長有効期間 (週単位) を定義します。 パスワードは、この時刻までに変更する必要があります。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最長有効期間がないことを示します。 範囲: 0 から 52
maxexpired 期限切れのパスワードを maxage 値以降に変更できる最長期間 (週単位) を定義します。 ここで定義された時刻以後は、管理ユーザーしかパスワードを変更できません。 この値は、10 進の整数文字列です。 デフォルトの値は -1 で、制限が設定されていることを示します。 maxexpired 属性を 0 に設定すると、パスワードが maxage 値に達したときに期限切れとなります。 maxage 属性を 0 に設定すると、maxexpired 属性は無視されます。 範囲: 0 から 52 (root ユーザーは maxexpired を免除されます)
maxrepeats 新しいパスワード内で 1 文字を反復できる最大回数を定義します。 値 0 では意味がないので、デフォルトの値 8 で最大数が存在しないことを示します。 この値は、10 進の整数文字列です。 範囲: 0 から 8
maxulogs ユーザーごとの並行ログインの最大数を指定します。 あるユーザーの並行ログイン数が、許可されたログイン最大数を超えた場合、ログインは拒否されます。
minage パスワードが変更可能になるまでに経過する必要のある最低有効期間 (週単位) を定義します。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最低有効期間がないことを示します。 範囲: 0 から 52
minalpha 新しいパスワードに含める必要のある英字の最小数を定義します。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最小数がないことを示します。 範囲: 0 から 8
mindiff 古いパスワードには含まれていない文字で、新しいパスワードに含める必要がある文字の最小数を定義します。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最小数がないことを示します。 範囲: 0 から 8
minlen パスワードの最小長を定義します。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最小長がないことを示します。 許可される最大値は 8 です。 この属性は、詳細情報 minlen または 'minalpha + minother'(あるいはその両方) によって決定されます。 'minalpha + minother' は 8 を超えることはできません。 'minalpha + minother' が 8 より大きい場合、minother の有効値は '8 - minalpha' に減らされます。
minother 新しいパスワードに含める必要のある英字以外の文字の最小数を定義します。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最小数がないことを示します。 範囲: 0 から 8
nofiles ユーザー・プロセスが一度にオープンさせることができるファイル・ディスクリプターの数のソフト制限を定義します。 Value パラメーターは整数です。
nofiles_hard ユーザー・プロセスが一度にオープンさせることができるファイル・ディスクリプターの数のハード制限を定義します。 Value パラメーターは整数です。 デフォルト値は -1 で、システムによる許容最大値の制限を設定します。
nproc ユーザーが一度に実行させることができるプロセス数のソフト制限を定義します。 「値」 パラメーターは、1 以上の整数です。 デフォルト値は -1 で、システムによる許容最大値の制限を設定します。
nproc_hard ユーザーが一度に実行させることができるプロセス数のハード制限を定義します。 「値」 パラメーターは、1 以上の整数です。 デフォルト値は -1 で、システムによる許容最大値の制限を設定します。
pgrp ユーザーの 1 次グループを識別します。 domainlessgroups 属性が /etc/secvars.cfg ファイルで設定されている場合、LDAP グループを 1 次グループとしてローカル・ユーザーに割り当てることができます。また、逆も可能です。 詳しくは、 /etc/secvars.cfgを参照してください。 Value パラメーターには、有効なグループ名を指定する必要があります。null 値は指定できません。
projects ユーザーのプロセスを割り当てることができるプロジェクトのリストを 定義します。 値は、コンマで区切られたプロジェクト名のリストで、左から右に 評価されます。 プロジェクト名は、システム内で定義されている有効なプロジェクト名である 必要があります。 無効のプロジェクト名がリストに検出された場合は、エラーとして 報告されます。
pwdchecks 新しいパスワードに関して実施されるパスワード制限メソッドを定義します。 値は、コンマで区切られたメソッド名のリストであり、左から右へ評価されます。 メソッド名は、絶対パス名か、実行可能なロード・モジュールの /usr/lib への相対パスのどちらかです。
pwdwarntime パスワードの変更が必要であることを示す警告がシステムによって表示されるまでの日数を定義します。 この値は、10 進の整数文字列です。 ゼロまたは負の値は、メッセージが表示されないことを示します。 値は、maxage 属性と minage 属性の差より小さくなければなりません。 この差より大きい値は無視され、minage 値に達するとメッセージが表示されます。
rcmds rコマンド (rshrexec、および rcp) のリモート実行を制御します。 考えられる値は、次のとおりです。
許可
このユーザーにリモート・コマンド実行を許可します。 これはデフォルト値です。
拒否
このユーザーがリモート・コマンド実行を使用できるようにすることを拒否します。
ホスト・ログイン制御
リモート・コマンド実行の能力が hostsallowedlogin および hostsdeniedlogin 属性によって決定されることを指定します。 ユーザー (またはターゲット・ユーザー) がターゲット・システムへのログインを許可されている場合、そのユーザーはターゲット・システム上でリモート・コマンドを実行することのみが許可されます。 この値は、通常 LDAP などの中央ユーザー・データベース内に定義されているユーザーの場合に使用され、一部のシステムへのログインは許可されても、その他のシステムへのログインは許可されないことがあります。
hostsallowedlogin
ユーザーが指定されたホストにログインすることを許可します。
hostsdeniedlogin
ユーザーが指定されたホストにログインすることは許可されません。
注: rcmds 属性は、リモート・コマンドの実行のみを制御します。 リモート・シェルを開くための rコマンド機能は制御しません。 このようなログイン機能は、 rloginhostsallowedlogin、および hostsdeniedlogin 属性によって制御されます。

非推奨の ttys 属性値 !rsh( rcmds 属性を denyに設定するのと実質的に同じです) は、後方互換性の目的で引き続きサポートされていますが、代わりに rcmds 属性を使用して rコマンドの実行を制御する必要があります。

rlogin telnet コマンドまたは rlogin コマンドを使用して、 リモート・ロケーションからアカウントにアクセスできるようにします。 使用できる値は、次のとおりです。
TRUE
ユーザー・アカウントにリモート・アクセスすることができます。 これは、デフォルトの rlogin 値です。
FALSE
ユーザーはリモート・アクセスできません。
ロール このユーザーの管理ロールを定義します。 Value パラメーターは、ロール名のリストであり、ロール名はそれぞれコンマで区切られています。
rss ユーザーのプロセスで割り振り可能な物理メモリーの最大量のソフト制限です。 Value パラメーターは、512 バイト・ブロック単位で指定された 10 進整数ストリングです。 この値は、現在はシステムで適用されません。
rss_hard ユーザーのプロセスが割り当て可能な物理メモリーの最大量。 Value パラメーターは、割り当てる 512 バイト単位のブロック数で指定された 10 進整数文字列です。 この値は、現在はシステムで適用されません。
シェル (shell) セッション開始時にユーザー用に実行されるプログラムを定義します。 Value パラメーターは絶対パス名です。
スタック ユーザーのプロセス用の最大プロセス・スタック・セグメントのソフト制限を指定します。 Value パラメーターは、割り当てる 512 バイト・ブロックの数を表す整数です。 この属性の最小許容値は 49 です。
stack_hard ユーザーのプロセスの最大プロセス・スタック・セグメントを指定します。 Value パラメーターは、割り当てる 512 バイト・ブロックの数を表す整数です。 この属性の最小許容値は 49 です。 このパラメーターの最大許容値は 2147483647 です。
su su コマンドを使用して指定されたユーザー・アカウントに他のユーザーが切り替えられるかどうかを示します。 使用できる値は、次のとおりです。
TRUE
指定アカウントに他のユーザーが切り替わることができます。 これはデフォルトです。
FALSE
指定アカウントに他のユーザーが切り替わることはできません。
sugroups 指定されたユーザー・アカウントを切り替えるために su コマンドを使用できるグループを定義します。 Value パラメーターは、コンマで区切られたグループ名のリスト、あるいはすべてのグループを示す値 ALL です。 グループ名の前に感嘆符 (!) を付けると、そのグループは除外されます。 この属性が指定されていない場合には、すべてのグループが、su コマンドを使用してこのユーザー・アカウントに切り替えることができます。 domainlessgroups 属性が /etc/secvars.cfg ファイルで設定されている場合、LDAP グループをローカル・ユーザーに割り当てることができます。また、逆も可能です。 詳しくは、「/etc/secvars.cfg」ファイルを参照してください。
注: ユーザーが複数のグループに属しており、いずれかのグループが感嘆符 (!) で指定されている場合、ユーザーは su コマンドを使用して、指定されたユーザー・アカウントにアクセスすることができません。
sysenv システム状態 (保護) 環境を識別します。 パラメーターは、 /etc/security/environ ファイルに指定されている、コンマ区切りの 属性= ペアのセットです。
スレッド ユーザー・プロセスが作成できるスレッドの最大数のソフト制限を指定します。 Value パラメーターは 1 以上の整数で、各ユーザー・プロセスが作成できるスレッドの数を表します。 この制限は、カーネルとユーザー・スペース pthread ライブラリーの両方によって実施されます。
スレッド・ハード ユーザー・プロセスが作成できるスレッドの最大可能数を指定します。 Value パラメーターは 1 以上の整数で、各ユーザー・プロセスが作成できるスレッドの数を表します。 この制限は、カーネルとユーザー・スペース pthread ライブラリーの両方によって実施されます。
tpath ユーザーのトラステッド・パスの状況を示します。 可能な値は次のとおりです。
常時
ユーザーが実行できるのは、トラステッド・プロセスだけです。 これは、ユーザーの開始プログラムがトラステッド・シェルまたは他のトラステッド・プロセスの中にあることを意味しています。
tsh なし
ユーザーは、トラステッド・パス上にトラステッド・シェルを呼び出すことができません。 ユーザーがログイン後にセキュア・アテンション・キー (SAK) を入力すると、ログイン・セッションは終了します。
nosak (nosak)
セキュア・アテンション・キー (SAK) が、ユーザーが実行するすべてのプロセスについて使用不可になります。 この値は、ユーザーが SAK シーケンスを含んだバイナリー・データを転送する際に使用してください。 これはデフォルト値です。
オン
ユーザーは通常のトラステッド・パス特性を持ち、セキュア・アテンション・キー (SAK) を使ってトラステッド・パスを始動する (トラステッド・シェルに入る) ことができます。
ttys Name パラメーターで指定されたアカウントにアクセスできる端末を定義します。 Value パラメーターはコンマで区切られた絶対パス名のリスト、あるいはすべての端末を示す値 ALL です。 グループ名の前に ! (感嘆符) を付けると、その端末は除外されます。 この属性が指定されない場合には、すべての端末がそのユーザー・アカウントにアクセスできます。
umask ファイル許可を決定します。 この値は、作成するプロセスの許可と共に、ファイル作成時のファイルの許可を決定します。 デフォルトの値は 022 です。
usrenv ユーザー状態 (無保護) 環境を定義します。 パラメーターは、 /etc/security/environ ファイルに指定されている、コンマ区切りの 属性= ペアのセットです。
fs_keystore_access (efs_keystore_access) ユーザー鍵ストアのデータベース・タイプを指定します。 次の値を指定できます。
ファイル
そのユーザーに関連する /var/efs/users/usrname /keystore 鍵ストア・ファイルを作成します。
なし
鍵ストアは作成されません。 その他の鍵ストア属性も、すべて無効です。
デフォルト値は fileです。

制約事項: この属性が有効なのは、システムで EFS を使用可能な場合のみです。

efs_adminks_access efs_admin 鍵ストアのデータベース・タイプを表します。 有効な値は file のみです。

制約事項: この属性が有効なのは、システムで EFS を使用可能な場合のみです。

efs_initialks_mode ユーザー鍵ストアの初期モードを指定します。 次の値を指定できます。
admin
root ユーザーまたは別のセキュリティー特権を持つシステム・ユーザーが、 管理者キーを使用して鍵ストアを開き、鍵ストア・パスワードをリセットすることができます。
guard
root ユーザーは、管理者キーを使用して鍵ストアを開くことも、鍵ストア・パスワードをリセットすることもできません。
デフォルト値は adminです。

この属性はユーザー鍵ストアの初期モードを指定します。 mkuser コマンドによって、この属性を使用することができます。 鍵ストアの作成後に、chuser コマンド、chgroup コマンド、 または chsec コマンドを使用したり、手動で編集したりすることで属性値を変更しても、 鍵ストアを一度削除してまた新しい鍵ストアを作成しなければ、鍵ストアのモードを変更できません。 鍵ストアのモードを変更するには、efskeymgr コマンドを使用します。

制約事項: この属性が有効なのは、システムで EFS を使用可能な場合のみです。

efs_allowksmodechangebyuser

モードを変更できるようにするかどうかを指定します。 次の値を指定できます。
  • はい
  • NO
デフォルト値は yesです。

制約事項: この属性が有効なのは、システムで EFS を使用可能な場合のみです。

fs_keystore_algo 鍵ストアの作成中にユーザーの秘密鍵を生成するために使用されるアルゴリズムを指定します。 次の値を指定できます。
  • RSA_1024
  • RSA_2048
  • RSA_4096
デフォルト値は RSA_1024 です。

mkuser コマンドによって、この属性を使用することができます。 鍵ストアの作成後に、chuser コマンド、chgroup コマンド、 または chsec コマンドを使用したり、手動で編集したりすることでこの属性値を変更しても、 鍵ストアを一度削除してまた新しい鍵ストアを作成しなければ、秘密鍵を再生成できません。 鍵のアルゴリズムを変更するには、efskeymgr コマンドを使用します。

制約事項: この属性が有効なのは、システムで EFS を使用可能な場合のみです。

efs_file_algo (efs_file_algo) ユーザー・ファイル用の暗号化アルゴリズムを指定します。 次の値を指定できます。
  • AES_128_CBC
  • AES_128_ECB
  • AES_192_CBC
  • AES_192_ECB
  • AES_256_CBC
  • AES_256_ECB
デフォルト値は AES_128_CBCです。

制約事項: この属性が有効なのは、システムで EFS を使用可能な場合のみです。

minsl ユーザーが持てる最小の機密性クリアランス・レベルを定義します。
注: この属性は、 Trusted AIXでのみ有効です。
有効な値は、システム用の /etc/security/enc/LabelEncodings ファイルの「Clearances」セクションに定義されています。 値に空白文字が含まれている場合、その値を引用符で囲んで定義する必要があります。 minsl 値よりユーザーの defsl 値を優先する必要があります。
maxsl ユーザーが持てる最大の機密性クリアランス・レベルを定義します。
注: この属性は、 Trusted AIXでのみ有効です。
有効な値は、/etc/security/enc/LabelEncodings ファイルの「Clearances」セクションに定義されています。 値に空白文字が含まれている場合、その値を引用符で囲んで定義する必要があります。 ユーザーの defsl 値より、maxsl 値を優先する必要があります。
デフォルト (defsl) ログイン中のユーザーに割り当てられるデフォルトの機密レベルを定義します。
注: この属性は、 Trusted AIXでのみ有効です。
有効な値は、/etc/security/enc/LabelEncodings ファイルの「Clearances」セクションに定義されています。 値に空白文字が含まれている場合、その値を引用符で囲んで定義する必要があります。 minsl 値より defsl 値を優先する必要がありますが、 それよりさらに maxsl 値を優先する必要があります。
mintl ユーザーが持てる最小の保全性クリアランス・レベルを定義します。
注: この属性は、 Trusted AIXでのみ有効です。
有効な値は、/etc/security/enc/LabelEncodings ファイルの「Sensitivity labels」セクションに定義されています。 オプションの「Integrity labels」セクションが /etc/security/enc/LabelEncodings ファイルに定義されている場合は、このセクションから値を選ぶ必要があります。 値に空白文字が含まれている場合、その値を引用符で囲んで定義する必要があります。 mintl 値よりユーザーの deftl 値を優先する必要があります。
maxtl ユーザーが持てる最大の保全性クリアランス・レベルを定義します。
注: この属性は、 Trusted AIXでのみ有効です。
有効な値は、/etc/security/enc/LabelEncodings ファイルの「Sensitivity labels」セクションに定義されています。 オプションの「Integrity labels」セクションが /etc/security/enc/LabelEncodings ファイルに定義されている場合は、このセクションから値を選ぶ必要があります。 値に空白文字が含まれている場合、その値を引用符で囲んで定義する必要があります。 ユーザーの deftl 値より、maxtl 値を優先する必要があります。
デフォルト ログイン中のユーザーに割り当てられるデフォルトの保全性クリアランス・レベルを定義します。
注: この属性は、 Trusted AIXでのみ有効です。
有効な値は、/etc/security/enc/LabelEncodings ファイルの「Sensitivity labels」セクションに定義されています。 オプションの「Integrity labels」セクションが /etc/security/enc/LabelEncodings ファイルに定義されている場合は、このセクションから値を選ぶ必要があります。 値に空白文字が含まれている場合、その値を引用符で囲んで定義する必要があります。 mintl 値より deftl 値を優先する必要がありますが、 それよりさらに maxtl 値を優先する必要があります。
minloweralpha 新しいパスワードに含める必要のある英小文字の最小数を定義します。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最小数がないことを示します。 範囲: 0 から PW_PASSLEN まで。
minupperalpha 新しいパスワードに含める必要のある英大文字の最小数を定義します。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最小数がないことを示します。 範囲: 0 から PW_PASSLEN まで。
mindigit 新しいパスワードに含める必要のある数字の最小数を定義します。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最小数がないことを示します。 範囲: 0 から PW_PASSLEN まで。
minspecialchar 新しいパスワードに含める必要のある特殊文字の最小数を定義します。 この値は、10 進の整数文字列です。 デフォルトの値は 0 で、最小数がないことを示します。 範囲: 0 から PW_PASSLEN まで。

セキュリティー

アクセス制御

このコマンドに対する実行 (x) アクセス権は、root ユーザーとセキュリティー・グループにのみ与える必要があります。 このコマンドをプログラムとしてトラステッド・コンピューティング・ベース (TCB) にインストールする必要があります。 setuid (SUID) ビットが設定されている root ユーザーが、このコマンドを所有する必要があります。

Trusted AIX システムでは、 aix.mls.clear.write 権限を持つユーザーのみが、属性 minsl、maxsl、defsl、mintl、maxtl および deftlを変更できます。

イベントの監査

イベント 情報
USER_Change ユーザー、属性

アクセスされるファイル

モード ファイル
rw /etc/passwd
rw /etc/security/user
rw /etc/security/user.roles
rw /etc/security/limits
rw /etc/security/environ
rw /etc/security/audit/config
rw /etc/group
rw /etc/security/group
r /etc/security/enc/LabelEncodings
r /etc/security/domains
RBAC ユーザーと Trusted AIX ユーザーへの注意: このコマンドは特権操作を実行できます。 特権命令を実行できるのは特権ユーザーのみです。 権限および特権について詳しくは、「セキュリティー」の『特権コマンド・データベース』を参照してください。 このコマンドに関連した特権および権限のリストについては、lssecattr コマンドまたは getcmdattr サブコマンドの項を参照してください。 このコマンドの全機能を使用する場合、ロールには accessauths に加えて以下の権限が必要です。
  • aix.security.user.audit
  • aix.security.role.assign
  • aix.security.group.change

制限

すべてのロード可能 I&A モジュールがユーザーの属性の変更をサポートしているわけではありません。 ロード可能 I&A モジュールがユーザーの属性の変更をサポートしていない場合は、エラーが表示されます。

  1. ユーザーを有効にするにはsmithリモート側でこのシステムにアクセスするには、次のように入力
    chuser rlogin=true smith
  2. 有効期限を変更するには、davisユーザー・アカウントを 8 a.mに。 1995 年 5 月 1 日、次のように入力します。
    chuser expires=0501080095 davis
  3. 追加davisグループにfinanceおよびaccounting、タイプ:
    chuser groups=finance,accounting davis 
  4. ユーザーを変更するにはdavisLDAP ロード・モジュールを使用して作成されたユーザーがリモート・アクセスを許可されないようにするには、次のように入力します。
    chuser -R LDAP rlogin=false davis
  5. ユーザーのドメインを変更するにはdavis、タイプ:
    chuser domains=INTRANET,APPLICATION davis
  6. ユーザーの役割を設定解除するにはdavis、タイプ:
    chuser roles=" " davis

ファイル

項目 説明
/usr/bin/chuser chuser コマンドが入っています。
/etc/passwd ユーザーの基本属性が入っています。
/etc/group グループの基本属性が入っています。
/etc/security/group 拡張グループ属性が入っています。
/etc/security/user ユーザーの拡張属性が入っています。
/etc/security/user.roles ユーザーの管理ロール属性が入っています。
/etc/security/lastlog ユーザーの最新ログイン属性が入っています。
/etc/security/limits ユーザーごとのリソース・クォータおよび制限を定義します。
/etc/security/audit/config 監査構成情報が入っています。
/etc/security/environ ユーザーの環境属性が入っています。
/etc/security/enc/LabelEncodings Trusted AIX システムのラベル定義が入っています。
/etc/security/domains システムの有効なドメイン定義が入っています。