passwd

在 [passwd] 部分中,标记定义密码替换以及其他与用户相关的服务。
cminder12901cn
在 [passwd] 部分中,标记定义密码替换以及其他与用户相关的服务。
  • AllowedGidRange
    指定用户可以添加、更新和删除的 GID 的范围。 此范围之外的值表示 CA ControlMinder 无法更新的保留 GID。
    注意:
    如果仅指定了一个整数,指定整数和默认上限 (30000) 之间的所有整数都是保留 GID。 如果指定了高于上限的数,则应用默认上限。 如果指定小于下限的负数,则应用默认下限 (100)。 为任何数应用的下限为指定下限 +1。 为任何数应用的上限为指定上限 -1。 例如,如果
    AllowedUidRange = 100, 3000
    ,那么 101 将被当作下限,2999 被当作上限。
    限制:
    -1 到 2147483647
    默认值:
    100,30000
  • AllowedUidRange
    指定用户可以添加、更新和删除的 UID 的范围。 此范围之外的值表示 CA ControlMinder 无法更新的保留 UID。
    注意:
    如果仅指定了一个整数,指定整数和默认上限 (30000) 之间的所有整数均为保留 UID。 如果指定了高于上限的数,则应用默认上限。 如果指定小于下限的负数,则应用默认下限 (100)。 为任何数应用的下限为指定下限 +1。 为任何数应用的上限为指定上限 -1。 例如,如果
    AllowedUidRange = 100, 3000
    ,那么 101 将被当作下限,2999 被当作上限。
    限制:
    -1 到 2147483647
    默认值:
    100,30000
  • AllowRootProp
    指定是否将使用 sepass -p 或 sepass -s 做出的根密码更改发送到策略模型。 之后,PMD 会将密码传播到其订户。
    有效值包括 yes 和 no。
    默认值:
    no
  • change_pam
    指定本地主机是否使用 PAM 在 LDAP 数据库中进行密码验证和更改。
    默认值:
    no
  • Check_Adm_Rules
    指定是否对 ADMIN 和 PWMANAGER 用户强制密码规则。
    默认值:
    no
  • Check_All_User_Rules
    指定 selang 是否应检查所有用户的密码规则。
    有效值包括 yes 和 no。
    如果此标记设置为 yes,selang 将检查所有用户的“密码规则”。
    如果将该标记设置为 no,则 selang 将仅检查更改密码的用户的密码规则。
    默认值:
    no
    注意
    :仅使用 API 时,支持该标记。
  • CreateHashedPasswdDatabase
    (仅限于 DEC UNIX)。 指定 exit 脚本是在创建、更新或删除用户记录的每个 CA ControlMinder 命令之后还是在使用 sepass 实用程序更改的每个用户密码之后运行。
    注意:
    有关更多的用法说明,请参阅
    ACInstallDir
    /samples/exits-src/USER_POST 目录中的自述文件。
    默认值:
    no
  • DefaultHome
    指定系统的默认主目录。 用户主目录是指定系统主目录的子目录。 例如:如果系统主目录为 /home,则新用户的主目录为 /home/
    username
    。 如果指定,此标记的值将覆盖客户端的 lang.ini 文件中的值。 如果您指定
    nohomedir
    ,那么不会自动设置主目录。
    默认值
    :/home
  • DefaultPasswdCmd
    指定默认的密码程序。 如果指定,则在启动 sepass 但未运行 seosd 时将使用此密码程序。
    默认值:
    /bin/passwd
  • DefaultPgroup
    指定未输入值时 CA ControlMinder 分配给新 UNIX 用户的主要组。
    默认值:
    other
  • DefaultShell
    指定未输入值时 CA ControlMinder 分配给新 UNIX 用户的默认 shell。 如果指定,此标记的值将覆盖客户端的 lang.ini 文件中的值。
    默认值:
    /bin/sh(或 HP-UX 上的 /sbin/sh)
  • Dictionary
    定义包含
    不能
    用作密码的单词的文件的完整路径名。
    注意:
    要使用此文件,必须将字典格式密码规则 (use_dbdict) 设置
    为 fi
    le,并将 UseDict 设置为
    yes
    。 如果字典格式设置为
    db
    ,则无法使用的密码取自 CA ControlMinder 数据库,并将忽略此设置。 这是 UNIX 上的默认值。
    重要信息!
    该标记已过时。 请使用数据库中的词典。
    默认值:
    /usr/dict/words
  • GeneratePasswd
    指定 sepass 是否自行生成新密码。
    有效值包括 yes 和 no。
    如果将此标记设置为
    no
    ,则系统会要求用户输入新密码。
    默认值:
    no
  • HomeDirUpd
    指定在用户的主要组更改时 CA ControlMinder 是否更新用户主目录的组所有权。
    有效值包括
    yes
    no
    默认值:
    yes
  • nis_env
    指定本地主机是否是 NIS 或 NIS+ 客户端。
    有效值包括 no、nis 或 nisplus。
    默认值:
    no
  • NisPlus_server
    指定本站是否是 NIS+ 服务器。
    有效值包括 yes 和 no。
    如果标记值是 yes,CA ControlMinder 会将密码替换视为 NIS+ 密码替换。
    默认值:
    no
  • only_local
    指定 sepass 的默认设置是否包括 -l 标志。
    有效值包括 yes 和 no。
    如果将此标记设置为 yes,sepass 将仅在当地替换密码;即,在本地密码文件(通常 /etc/passwd)、安全文件和本地数据库中。
    默认值:
    no
  • only_pmdb
    指定 sepass 的默认设置是否包括 p 标志。 如果标记值为 yes,则它将指示 sepass 仅在指定主机的 PMDB 上更改密码。
    如果未定义此类数据库,则 sepass 不会执行任何操作。
    默认值:
    no
  • passwd_distribution_encryption_mode
    指定在密码作为策略模型服务的一部分进行分发时加密用户密码所使用的方法。
    有效值为:
    1
    - 兼容模式 - 在不使用长密码的 CA ControlMinder 系统(这包括运行 CA ControlMinder 12.0 之前版本的所有计算机)之间分发密码。
    2
    - MD5 模式 - 在使用长密码且运行 Linux 的 CA ControlMinder 系统之间分发密码。
    3
    - 双向模式 - 在使用长密码的任何 CA ControlMinder 系统之间将密码作为加密消息中的明文安全地分发。
    默认值:
    1
  • passwd_format
    表示是否将密码更改传播至 NT 主机。
    将此标记设置为
    NT
    ,表示您所管理的其中一台主机是 NT 主机。
    默认值
    :none
  • passwd_local_encryption_method
    指定在本地存储这些密码时加密用户密码所使用的方法。
    有效值为:
    crypt
    -仅使用密码前八个字符(作为 DES 密钥)的标准单向 UNIX 加密。 指定 crypt 禁用长密码。
    md5
    -可加密不定长度的密码的 MD5 散列函数。 指定 md5 启用长密码。
    默认值
    :crypt
  • PromptOldPassword
    指定通过 /opt/CA/AccessControl/bin/segrace 调用 sepass 时是否提示本地用户输入其旧密码。 (您必须使用完整路径)。
    将此标记设置为
    yes
    表示提示用户提供他们的旧密码。
    默认值
    :yes
  • quiet_mode
    指定 sepass 是否显示版权通知以及关于将密码传播至策略模型的消息。
    默认值:
    no
  • RootPwAsOwn
    指定 sepass 是否允许特权用户更改根密码,就好像由根更改(使用
    -x
    选项)。
    有效值为:
    yes
    -特权用户可以使用 sepass 像 root 用户一样更改 root 密码。 他们无法作为自身(管理更改)更改根密码。
    no
    -特权用户仅可以自己的身份使用 sepass 更改 root 密码(管理更改)。
    例如:如果将此标记设置为
    yes
    ,则特权用户可以使用以下命令更改 root 密码:
    sepass -x root
    相同用户无法使用以下命令更改根密码:
    sepass root
    如果将此标记设置为
    no
    ,相反即为真。
    默认值:
    no
  • SaveGroupAttrs
    指定先前的组文件拥有者、组和模式是否在组更新之后保留在 UNIX 环境中。
    有效值包括 yes 和 no。
    默认值
    :no(新值分别设置为 0、0、644)
  • SavePasswdAttrs
    指定在 UNIX 环境中更新用户时是否保留先前密码文件拥有者、组和模式。
    有效值包括 yes 和 no。
    如果将此标记设置为
    no
    ,会将新值分别设置为 0, 0, 644。
    默认值:
    no
  • Shadow_Admin_Change
    (仅限于 AIX 平台)。 指定在管理员从 selang 更改密码或使用 sepass 时 ADMCHG 标志是否添加到 /etc/security/passwd 文件中的 user 条目。
    默认值:
    no
  • UIDAlgorithm
    指定在添加新用户时要使用的可用 UID 算法。 设置为其他任何值将选择较旧进程。
    算法提供的 UID 号超过 4 KB 且更快。
    默认值
    :new
  • UseDict
    指定在验证密码时是否使用词典文件(通过 Dictionary 设置进行设置)。
    注意:
    要使用字典文件,还应将字典格式密码规则 (use_dbdict) 设置为
    file
    。 如果字典格式设置为
    db
    ,则无法使用的密码取自 CA ControlMinder 数据库,并将忽略此设置。
    默认值:
    no
  • YpGrpCmd
    指定用于生成 NIS 组映射的命令。
    默认值
    :make group
  • YpMakeDir
    指定在创建 NIS 映射时要使用的 makefile 目录的名称。
    默认值
    :/var/yp
  • YpPassCmd
    指定用于生成 NIS 密码映射的命令。
    默认值:
    make passwd
  • YpServerGroup
    指定从中创建 NIS 组映射的组文件。
    默认值:
    /etc/group
  • YpServerPasswd
    指定从中生成 NIS 密码映射的密码文件。
    默认值:
    /etc/passwd
  • YpServerSecure
    指定包含要用于构建 NIS 密码映射的密码的安全文件的名称。
    默认值:
    根据平台有所不同:
  • IBM AIX:/etc/security/passwd
    • HP-UX:/.secure/etc/passwd
    • Sun Solaris:/etc/shadow
  • YpTimeOut
    指定新的客户端(selang、安全管理员等)可运行 ypbind 测试的时间(秒)。 ypbind 测试确定本地主机是否连接至 NIS 服务器。 到期时,该客户端将退出并显示错误消息。
    默认值
    :0(不进行 ypbind 测试)。