passwd

[passwd]セクションのトークンは、パスワードの変更およびその他のユーザ関連サービスを定義します。
cminder12901jp
[passwd]セクションのトークンは、パスワードの変更およびその他のユーザ関連サービスを定義します。
  • AllowedGidRange
    ユーザが追加、更新、および削除できる GID の範囲を指定します。 この範囲外の値は、CA ControlMinder で更新できない予約済みの GID を意味します。
    注:
    指定された整数が 1 つしかない場合は、指定された整数とデフォルトの上限(30000)の間のすべての整数が予約済み GID になります。 上限よりも大きな数値を指定した場合は、デフォルトの上限が適用されます。 下限よりも小さな負の数値を指定した場合は、デフォルトの下限(100)が適用されます。 任意の数値に適用される下限は、指定された下限の +1 です。 任意の数値に適用される上限は、指定された上限の -1 です。 たとえば、
    AllowedUidRange = 100, 3000
    の場合、101 が下限として扱われ、2999 が上限として扱われます。
    制限:
    -1 ~ 2147483647
    デフォルト:
    100,30000
  • AllowedUidRange
    ユーザが追加、更新、および削除できる UID の範囲を指定します。 この範囲外の値は、CA ControlMinder で更新できない予約済みの UID を意味します。
    注:
    指定された整数が 1 つしかない場合は、指定された整数とデフォルトの上限(30000)の間のすべての整数が予約済み UID になります。 上限よりも大きな数値を指定した場合は、デフォルトの上限が適用されます。 下限よりも小さな負の数値を指定した場合は、デフォルトの下限(100)が適用されます。 任意の数値に適用される下限は、指定された下限の +1 です。 任意の数値に適用される上限は、指定された上限の -1 です。 たとえば、
    AllowedUidRange = 100, 3000
    の場合、101 が下限として扱われ、2999 が上限として扱われます。
    制限:
    -1 ~ 2147483647
    デフォルト:
    100,30000
  • AllowRootProp
    sepass -p または sepass -s を使用して行った root のパスワード変更が、Policy Model に送信されるかどうかを指定します。 次に、PMD からそのサブスクライバにパスワードが伝達されます。
    有効な値は、yes および no です。
    デフォルト:
    no
  • change_pam
    LDAP データベースにおけるパスワードの認証および変更に、ローカル ホストが PAM を使用するかどうかを指定します。
    デフォルト:
    no
  • Check_Adm_Rules
    ADMIN および PWMANAGER ユーザにパスワード ルールを適用するかどうかを指定します。
    デフォルト:
    no
  • Check_All_User_Rules
    selang がすべてのユーザに対してパスワード ルールをチェックするかどうかを指定します。
    有効な値は、yes および no です。
    トークンが yes に設定されている場合、selang はすべてのユーザに対してパスワード ルールをチェックします。
    トークンが no に設定されている場合、selang はパスワードを変更したユーザに対してのみパスワード ルールをチェックします。
    デフォルト:
    no
    注:
    このトークンは、API を使用する場合のみサポートされています。
  • CreateHashedPasswdDatabase
    (DEC UNIX のみ)。 exit スクリプトの実行タイミングを、CA ControlMinder の各コマンドによってユーザ レコードを作成、更新、または削除した後にするか、または sepass ユーティリティを使用して各ユーザのパスワードを変更した後にするかを指定します。
    注:
    使用方法の詳細については、
    ACInstallDir
    /samples/exits-src/USER_POST ディレクトリに格納されている README ファイルを参照してください。
    デフォルト:
    no
  • DefaultHome
    システムのデフォルトのホーム ディレクトリを指定します。 ユーザのホーム ディレクトリは、指定されたシステム ホーム ディレクトリのサブディレクトリです。 たとえば、システムのホーム ディレクトリが /home の場合、新規ユーザのホーム ディレクトリは /home/
    username
    になります。 値を指定した場合、このトークンの値は、クライアントの lang.ini ファイルの値より優先されます。
    nohomedir
    を指定すると、ホーム ディレクトリは自動的には設定されません。
    デフォルト:
    /home
  • DefaultPasswdCmd
    デフォルトのパスワード プログラムを指定します。 指定した場合、このパスワード プログラムは、sepass が開始され、seosd が実行中でないときに使用されます。
    デフォルト:
    /bin/passwd
  • DefaultPgroup
    値が入力されなかった場合に CA ControlMinder によって新しい UNIX ユーザに割り当てられるプライマリ グループを指定します。
    デフォルト:
    other
  • DefaultShell
    値が入力されなかった場合に CA ControlMinder によって新しい UNIX ユーザに割り当てられるデフォルトのシェルを指定します。 値を指定した場合、このトークンの値は、クライアントの lang.ini ファイルの値より優先されます。
    デフォルト:
    /bin/sh(または、HP-UX では /sbin/sh)
  • 辞書
    パスワードとして使用
    できない
    単語が格納されているファイルの完全パス名を定義します。
    注:
    このファイルを使用するには、
    ファイル
    に辞書形式パスワード ルール(use_dbdict)を設定し、UseDict 設定を
    yes
    に設定する必要があります。 辞書形式が
    db
    に設定された場合、使用できないパスワードは CA ControlMinder データベースから取得され、この設定は無視されます。 これは、UNIX のデフォルトの設定です。
    重要:
    このトークンは廃止されています。 代わりにデータベース内の辞書を使用します。
    デフォルト:
    /usr/dict/words
  • GeneratePasswd
    sepass が新しいパスワードを生成するかどうかを指定します。
    有効な値は、yes および no です。
    このトークンを
    no
    に設定すると、ユーザは新しいパスワードの入力を要求されます。
    デフォルト:
    no
  • HomeDirUpd
    ユーザのプライマリ グループが変更されたときに、CA ControlMinder がユーザのホーム ディレクトリのグループ所有者権限を更新するかどうかを指定します。
    有効な値は、
    yes
    および
    no
    です。
    デフォルト:
    yes
  • nis_env
    ローカル ホストが NIS クライアントまたは NIS+ クライアントかどうかを指定します。
    有効な値は no、nis、または nisplus です。
    デフォルト:
    no
  • NisPlus_server
    この端末が NIS+ サーバかどうかを指定します。
    有効な値は、yes および no です。
    このトークンの値が yes の場合、CA ControlMinder はパスワードの変更を NIS+ パスワードの変更として扱います。
    デフォルト:
    no
  • only_local
    sepass のデフォルト設定に -l フラグを含めるかどうかを決定します。
    有効な値は、yes および no です。
    このトークンが yes に設定されている場合、ローカル パスワード ファイル(通常は /etc/passwd)、セキュリティ ファイル、ローカル データベースなどのローカルでのみ、sepass はパスワードを変更します。
    デフォルト:
    no
  • only_pmdb
    sepassのデフォルト設定に-pフラグを含むかどうかを指定します。 トークンの値が yes の場合、sepass は指定されたホストの PMDB でのみパスワードを変更します。
    データベースが定義されていない場合、sepass はパスワードを変更しません。
    デフォルト:
    no
  • passwd_distribution_encryption_mode
    パスワードが Policy Model サービスの一部として配布されているときに、ユーザのパスワードの暗号化に使用される方法を指定します。
    有効な値は以下のとおりです。
    1
    - 互換モード。長いパスワードを使用しない CA ControlMinder システム間でパスワードを配布します(r12.0 より古いバージョンの CA ControlMinder を実行しているマシンもすべて含まれます)。
    2
    - MD5 モード。長いパスワードを使用し、Linux も実行している CA ControlMinder システム間でパスワードを配布します。
    3
    - 双方向モード。長いパスワードを使用する CA ControlMinder システム間で暗号化されたメッセージ内の平文として、パスワードを安全に配布します。
    デフォルト:
    1
  • passwd_format
    パスワードの変更が NT ホストに伝達されるかどうかを示します。
    このトークンを
    NT
    に設定することは、管理しているホストの 1 つが NT ホストであることを示しています。
    デフォルト:
    none
  • passwd_local_encryption_method
    パスワードがローカルに格納されているときに、ユーザのパスワードの暗号化に使用される方法を指定します。
    有効な値は以下のとおりです。
    crypt
    - UNIX での標準的な一方向の暗号化で、パスワードの最初の 8 文字のみを(DES キーとして)使用します。 crypt を指定すると、長いパスワードの使用が無効になります。
    md5
    - MD5 のハッシュ関数で、暗号化できるパスワードの長さに制限はありません。 md5 を指定すると、長いパスワードの使用が有効になります。
    デフォルト:
    crypt
  • PromptOldPassword
    sepass が opt/CA/AccessControl/bin/segrace から起動される際に、ローカル ユーザに古いパスワードの入力を促すかどうかを指定します (完全パスを使用する必要があります)。
    このトークンを
    yes
    に設定すると、ユーザは古いパスワードの入力を求められます。
    デフォルト:
    yes
  • quiet_mode
    sepass で著作権に関する情報、および Policy Model へのパスワードの伝達に関するメッセージを表示するどうかを指定します。
    デフォルト:
    no
  • RootPwAsOwn
    sepass により、特権ユーザが、(
    -x
    オプションを使用して)root で変更するかのように、root のパスワードを変更できるようにするかどうかを指定します。
    有効な値は以下のとおりです。
    yes
    - 特権ユーザが、sepass を使用して、root で変更するかのように root のパスワードを変更できます。 root のパスワードを本人として変更することはできません(管理者による変更)。
    no
    - 特権ユーザが、sepass を使用して、本人としてのみ root のパスワードを変更できます(管理者による変更)。
    たとえば、トークンが
    yes
    に設定されている場合、特権ユーザは、以下のコマンドを使用して root のパスワードを変更できます。
    sepass -x root
    同じユーザでも、以下のコマンドを使用して root のパスワードを変更することはできません。
    sepass root
    このトークンが
    no
    に設定されている場合、上記の説明とは逆になります。
    デフォルト:
    no
  • SaveGroupAttrs
    UNIX 環境でのグループの更新後に以前のグループ ファイルの所有者、グループ、およびモードを保存するかどうかを指定します。
    有効な値は、yes および no です。
    デフォルト:
    no (新しい値はそれぞれ 0、0、644 に設定されます)
  • SavePasswdAttrs
    UNIX 環境でのユーザの更新後に以前のパスワード ファイルの所有者、グループ、およびモードを保存するかどうかを指定します。
    有効な値は、yes および no です。
    このトークンを
    no
    に設定すると、新しい値がそれぞれ 0、0、644 に設定されます。
    デフォルト:
    no
  • Shadow_Admin_Change
    (AIX プラットフォームのみ)。 管理者が selang から、または sepass を使用してパスワードを変更したときに、/etc/security/passwd ファイルのユーザ エントリに ADMCHG フラグが追加されるかどうかを指定します。
    デフォルト:
    no
  • UIDAlgorithm
    新しいユーザを追加するときにフリー UID アルゴリズムを採用するかどうかを指定します。 別の任意の値に設定すると、古いプロセスが選択されます。
    new
    アルゴリズムは、4 KB を超える UID 番号を提供し、より高速です。
    デフォルト:
    new
  • UseDict
    パスワードの確認時に、(Dictionary 設定で指定された)辞書ファイルを使用するかどうかを指定します。
    注:
    辞書ファイルを使用するには、
    ファイル
    に辞書形式パスワード ルール(use_dbdict)を設定する必要があります。 辞書形式が
    db
    に設定されている場合、使用できないパスワードは CA ControlMinder データベースから取得され、この設定は無視されます。
    デフォルト:
    no
  • YpGrpCmd
    NIS グループ マップの作成に使用するコマンドを指定します。
    デフォルト:
    make group
  • YpMakeDir
    NIS マップの作成時に使用される makefile ディレクトリの名前を指定します。
    デフォルト:
    /var/yp
  • YpPassCmd
    NIS パスワード マップの作成に使用するコマンドを指定します。
    デフォルト:
    make passwd
  • YpServerGroup
    NIS グループ マップの作成元となるグループ ファイルを指定します。
    デフォルト:
    /etc/group
  • YpServerPasswd
    NIS パスワード マップの作成元となるパスワード ファイルを指定します。
    デフォルト:
    /etc/passwd
  • YpServerSecure
    NIS パスワード マップの作成に使用されるパスワードを含むセキュリティ ファイルの名前を指定します。
    デフォルト:
    以下のように、プラットフォームによって異なります。
  • IBM AIX: /etc/security/passwd
    • HP-UX: /.secure/etc/passwd
    • Sun Solaris: /etc/shadow
  • YpTimeOut
    新しいクライアント(selang や Security Administrator など)が ypbind テストを実行できる時間(秒単位)を指定します。 ypbind テストにより、ローカル ホストが NIS サーバに接続しているかどうかを確認できます。 指定された時間が経過すると、クライアントは終了し、エラー メッセージが表示されます。
    デフォルト:
    0 (ypbind テストは実行されません)