passwd
[passwd]セクションのトークンは、パスワードの変更およびその他のユーザ関連サービスを定義します。
cminder12901jp
[passwd]セクションのトークンは、パスワードの変更およびその他のユーザ関連サービスを定義します。
- AllowedGidRangeユーザが追加、更新、および削除できる GID の範囲を指定します。 この範囲外の値は、CA ControlMinder で更新できない予約済みの GID を意味します。注:指定された整数が 1 つしかない場合は、指定された整数とデフォルトの上限(30000)の間のすべての整数が予約済み GID になります。 上限よりも大きな数値を指定した場合は、デフォルトの上限が適用されます。 下限よりも小さな負の数値を指定した場合は、デフォルトの下限(100)が適用されます。 任意の数値に適用される下限は、指定された下限の +1 です。 任意の数値に適用される上限は、指定された上限の -1 です。 たとえば、AllowedUidRange = 100, 3000の場合、101 が下限として扱われ、2999 が上限として扱われます。制限:-1 ~ 2147483647デフォルト:100,30000
- AllowedUidRangeユーザが追加、更新、および削除できる UID の範囲を指定します。 この範囲外の値は、CA ControlMinder で更新できない予約済みの UID を意味します。注:指定された整数が 1 つしかない場合は、指定された整数とデフォルトの上限(30000)の間のすべての整数が予約済み UID になります。 上限よりも大きな数値を指定した場合は、デフォルトの上限が適用されます。 下限よりも小さな負の数値を指定した場合は、デフォルトの下限(100)が適用されます。 任意の数値に適用される下限は、指定された下限の +1 です。 任意の数値に適用される上限は、指定された上限の -1 です。 たとえば、AllowedUidRange = 100, 3000の場合、101 が下限として扱われ、2999 が上限として扱われます。制限:-1 ~ 2147483647デフォルト:100,30000
- AllowRootPropsepass -p または sepass -s を使用して行った root のパスワード変更が、Policy Model に送信されるかどうかを指定します。 次に、PMD からそのサブスクライバにパスワードが伝達されます。有効な値は、yes および no です。デフォルト:no
- change_pamLDAP データベースにおけるパスワードの認証および変更に、ローカル ホストが PAM を使用するかどうかを指定します。デフォルト:no
- Check_Adm_RulesADMIN および PWMANAGER ユーザにパスワード ルールを適用するかどうかを指定します。デフォルト:no
- Check_All_User_Rulesselang がすべてのユーザに対してパスワード ルールをチェックするかどうかを指定します。有効な値は、yes および no です。トークンが yes に設定されている場合、selang はすべてのユーザに対してパスワード ルールをチェックします。トークンが no に設定されている場合、selang はパスワードを変更したユーザに対してのみパスワード ルールをチェックします。デフォルト:no注:このトークンは、API を使用する場合のみサポートされています。
- CreateHashedPasswdDatabase(DEC UNIX のみ)。 exit スクリプトの実行タイミングを、CA ControlMinder の各コマンドによってユーザ レコードを作成、更新、または削除した後にするか、または sepass ユーティリティを使用して各ユーザのパスワードを変更した後にするかを指定します。注:使用方法の詳細については、ACInstallDir/samples/exits-src/USER_POST ディレクトリに格納されている README ファイルを参照してください。デフォルト:no
- DefaultHomeシステムのデフォルトのホーム ディレクトリを指定します。 ユーザのホーム ディレクトリは、指定されたシステム ホーム ディレクトリのサブディレクトリです。 たとえば、システムのホーム ディレクトリが /home の場合、新規ユーザのホーム ディレクトリは /home/usernameになります。 値を指定した場合、このトークンの値は、クライアントの lang.ini ファイルの値より優先されます。nohomedirを指定すると、ホーム ディレクトリは自動的には設定されません。デフォルト:/home
- DefaultPasswdCmdデフォルトのパスワード プログラムを指定します。 指定した場合、このパスワード プログラムは、sepass が開始され、seosd が実行中でないときに使用されます。デフォルト:/bin/passwd
- DefaultPgroup値が入力されなかった場合に CA ControlMinder によって新しい UNIX ユーザに割り当てられるプライマリ グループを指定します。デフォルト:other
- DefaultShell値が入力されなかった場合に CA ControlMinder によって新しい UNIX ユーザに割り当てられるデフォルトのシェルを指定します。 値を指定した場合、このトークンの値は、クライアントの lang.ini ファイルの値より優先されます。デフォルト:/bin/sh(または、HP-UX では /sbin/sh)
- 辞書パスワードとして使用できない単語が格納されているファイルの完全パス名を定義します。注:このファイルを使用するには、ファイルに辞書形式パスワード ルール(use_dbdict)を設定し、UseDict 設定をyesに設定する必要があります。 辞書形式がdbに設定された場合、使用できないパスワードは CA ControlMinder データベースから取得され、この設定は無視されます。 これは、UNIX のデフォルトの設定です。重要:このトークンは廃止されています。 代わりにデータベース内の辞書を使用します。デフォルト:/usr/dict/words
- GeneratePasswdsepass が新しいパスワードを生成するかどうかを指定します。有効な値は、yes および no です。このトークンをnoに設定すると、ユーザは新しいパスワードの入力を要求されます。デフォルト:no
- HomeDirUpdユーザのプライマリ グループが変更されたときに、CA ControlMinder がユーザのホーム ディレクトリのグループ所有者権限を更新するかどうかを指定します。有効な値は、yesおよびnoです。デフォルト:yes
- nis_envローカル ホストが NIS クライアントまたは NIS+ クライアントかどうかを指定します。有効な値は no、nis、または nisplus です。デフォルト:no
- NisPlus_serverこの端末が NIS+ サーバかどうかを指定します。有効な値は、yes および no です。このトークンの値が yes の場合、CA ControlMinder はパスワードの変更を NIS+ パスワードの変更として扱います。デフォルト:no
- only_localsepass のデフォルト設定に -l フラグを含めるかどうかを決定します。有効な値は、yes および no です。このトークンが yes に設定されている場合、ローカル パスワード ファイル(通常は /etc/passwd)、セキュリティ ファイル、ローカル データベースなどのローカルでのみ、sepass はパスワードを変更します。デフォルト:no
- only_pmdbsepassのデフォルト設定に-pフラグを含むかどうかを指定します。 トークンの値が yes の場合、sepass は指定されたホストの PMDB でのみパスワードを変更します。データベースが定義されていない場合、sepass はパスワードを変更しません。デフォルト:no
- passwd_distribution_encryption_modeパスワードが Policy Model サービスの一部として配布されているときに、ユーザのパスワードの暗号化に使用される方法を指定します。有効な値は以下のとおりです。1- 互換モード。長いパスワードを使用しない CA ControlMinder システム間でパスワードを配布します(r12.0 より古いバージョンの CA ControlMinder を実行しているマシンもすべて含まれます)。2- MD5 モード。長いパスワードを使用し、Linux も実行している CA ControlMinder システム間でパスワードを配布します。3- 双方向モード。長いパスワードを使用する CA ControlMinder システム間で暗号化されたメッセージ内の平文として、パスワードを安全に配布します。デフォルト:1
- passwd_formatパスワードの変更が NT ホストに伝達されるかどうかを示します。このトークンをNTに設定することは、管理しているホストの 1 つが NT ホストであることを示しています。デフォルト:none
- passwd_local_encryption_methodパスワードがローカルに格納されているときに、ユーザのパスワードの暗号化に使用される方法を指定します。有効な値は以下のとおりです。crypt- UNIX での標準的な一方向の暗号化で、パスワードの最初の 8 文字のみを(DES キーとして)使用します。 crypt を指定すると、長いパスワードの使用が無効になります。md5- MD5 のハッシュ関数で、暗号化できるパスワードの長さに制限はありません。 md5 を指定すると、長いパスワードの使用が有効になります。デフォルト:crypt
- PromptOldPasswordsepass が opt/CA/AccessControl/bin/segrace から起動される際に、ローカル ユーザに古いパスワードの入力を促すかどうかを指定します (完全パスを使用する必要があります)。このトークンをyesに設定すると、ユーザは古いパスワードの入力を求められます。デフォルト:yes
- quiet_modesepass で著作権に関する情報、および Policy Model へのパスワードの伝達に関するメッセージを表示するどうかを指定します。デフォルト:no
- RootPwAsOwnsepass により、特権ユーザが、(-xオプションを使用して)root で変更するかのように、root のパスワードを変更できるようにするかどうかを指定します。有効な値は以下のとおりです。yes- 特権ユーザが、sepass を使用して、root で変更するかのように root のパスワードを変更できます。 root のパスワードを本人として変更することはできません(管理者による変更)。no- 特権ユーザが、sepass を使用して、本人としてのみ root のパスワードを変更できます(管理者による変更)。たとえば、トークンがyesに設定されている場合、特権ユーザは、以下のコマンドを使用して root のパスワードを変更できます。sepass -x root同じユーザでも、以下のコマンドを使用して root のパスワードを変更することはできません。sepass rootこのトークンがnoに設定されている場合、上記の説明とは逆になります。デフォルト:no
- SaveGroupAttrsUNIX 環境でのグループの更新後に以前のグループ ファイルの所有者、グループ、およびモードを保存するかどうかを指定します。有効な値は、yes および no です。デフォルト:no (新しい値はそれぞれ 0、0、644 に設定されます)
- SavePasswdAttrsUNIX 環境でのユーザの更新後に以前のパスワード ファイルの所有者、グループ、およびモードを保存するかどうかを指定します。有効な値は、yes および no です。このトークンをnoに設定すると、新しい値がそれぞれ 0、0、644 に設定されます。デフォルト:no
- Shadow_Admin_Change(AIX プラットフォームのみ)。 管理者が selang から、または sepass を使用してパスワードを変更したときに、/etc/security/passwd ファイルのユーザ エントリに ADMCHG フラグが追加されるかどうかを指定します。デフォルト:no
- UIDAlgorithm新しいユーザを追加するときにフリー UID アルゴリズムを採用するかどうかを指定します。 別の任意の値に設定すると、古いプロセスが選択されます。newアルゴリズムは、4 KB を超える UID 番号を提供し、より高速です。デフォルト:new
- UseDictパスワードの確認時に、(Dictionary 設定で指定された)辞書ファイルを使用するかどうかを指定します。注:辞書ファイルを使用するには、ファイルに辞書形式パスワード ルール(use_dbdict)を設定する必要があります。 辞書形式がdbに設定されている場合、使用できないパスワードは CA ControlMinder データベースから取得され、この設定は無視されます。デフォルト:no
- YpGrpCmdNIS グループ マップの作成に使用するコマンドを指定します。デフォルト:make group
- YpMakeDirNIS マップの作成時に使用される makefile ディレクトリの名前を指定します。デフォルト:/var/yp
- YpPassCmdNIS パスワード マップの作成に使用するコマンドを指定します。デフォルト:make passwd
- YpServerGroupNIS グループ マップの作成元となるグループ ファイルを指定します。デフォルト:/etc/group
- YpServerPasswdNIS パスワード マップの作成元となるパスワード ファイルを指定します。デフォルト:/etc/passwd
- YpServerSecureNIS パスワード マップの作成に使用されるパスワードを含むセキュリティ ファイルの名前を指定します。デフォルト:以下のように、プラットフォームによって異なります。
- IBM AIX: /etc/security/passwd
- HP-UX: /.secure/etc/passwd
- Sun Solaris: /etc/shadow
- YpTimeOut新しいクライアント(selang や Security Administrator など)が ypbind テストを実行できる時間(秒単位)を指定します。 ypbind テストにより、ローカル ホストが NIS サーバに接続しているかどうかを確認できます。 指定された時間が経過すると、クライアントは終了し、エラー メッセージが表示されます。デフォルト:0 (ypbind テストは実行されません)