AIX提供了大量命令来处理用户和组管理。 本文讨论了其中一些核心安全命令,并提供了可用作可用参考的列表。 在所有AIX版本中,这些命令的行为应相同。
指令
一般命令
如何在AIX上创建用户?
要在AIX上创建用户,请输入:
mkuser <username>
要么
useradd <username>
这两个命令都在AIX上创建用户并更新/ etc / passwd文件中的用户信息。
如何设置用户密码?
passwd命令设置用户的密码,并将用户的密码信息更新到/ etc / security / passwd文件。 使用passwd命令为用户设置密码后,它将设置ADMCHK标志,以便在用户下次登录时提示用户更改密码。
要设置密码,请键入:
passwd <username>
如何清除用户的ADMCHK标志?
要清除用户的ADMCHK标志和所有密码标志,请键入:
pwdadm -c <username>
-c标志清除用户的ADMCHK标志,并修改/ etc / security / passwd文件中用户的密码节。
如何在AIX上创建组?
使用mkgroup命令在AIX上创建组,并更新/ etc / group和/ etc / security / group文件中的组信息。
mkgroup <groupname>
如何删除用户?
有两个命令可用于删除用户。 要删除用户,请键入:
rmuser <username>
要么
userdel <username>
如何删除群组?
使用rmgroup命令删除组。
rmgroup <groupname>
如何列出用户属性?
lsuser命令显示/ etc / passwd和/ etc / security / user文件中的所有用户属性。
lsuser <username>
如何列出组属性?
要显示组的属性,请输入:
lsgroup <groupname>
如何更改用户属性?
chuser命令更改用户信息并更新配置文件。
chuser attribute=value <username>
如何在系统上禁用远程登录?
用户属性存储在/ etc / security / user配置文件中。 要禁止用户远程登录,请将“ rlogin”属性设置为“ false”。
用户的“注册表”和“系统”属性之间有什么区别?
注册表属性指定用户或组标识信息的管理位置,SYSTEM属性控制使用哪些方法以及这些方法如何影响整体身份验证。 AIX上的每个用户都必须具有注册表和SYSTEM属性的值。 组仅具有注册表值。
什么是AIX Security配置文件?
AIX安全配置文件 |
---|
/ etc / passwd |
/ etc / group |
/ etc / security / passwd |
/ etc / security /用户 |
/ etc / security / group |
/ etc / security / lastlog |
/etc/security/login.cfg |
/usr/lib/security/methods.cfg |
如何检查安全性配置文件中的不一致之处?
命令 | 目的 |
---|---|
usrck | 此命令更正用户信息。 |
grpck | 此命令更正组信息。 |
pwdck | 此命令验证用户数据库文件中密码信息的正确性。 |
如何从内核获取用户名和组名的长度限制?
带有LOGIN_NAME_MAX参数的getconf命令检索内核中用户名和组名的长度限制。
getconf LOGIN_NAME_MAX
用户和组的最大名称长度是多少?
对于AIX 5.2及更低版本,用户和组的最大名称长度为8个字符。 AIX 5.3及更高版本允许管理员将用户和组的名称长度增加到255个字符。
如何增加用户和组的名称长度?
使用smit,smit-> 系统环境-&gt; 更改/显示“操作系统的特征”面板可用于更改ODM数据库中的值(在“启动时最大登录名长度”字段中)。 在smit面板中指定的值在下次重启后生效。
使用命令行,可以使用chdev命令通过max_logname属性在ODM数据库中更改sys0设备的v_max_logname参数。 ODM数据库中更改的值在下次重启后生效。
# chdev -l sys0 -a max_logname=30 sys0 changed
LDAP命令
如何在AIX上配置ITDS LDAP服务器/客户端?
mksecldap命令配置ITDS LDAP服务器/客户端。 请参考“ 相关主题”部分以获取更多信息。
如何停止LDAP客户端守护程序?
使用/ usr / sbin / stop-secldapclntd命令停止LDAP客户机守护程序。
如何启动LDAP客户端守护程序?
使用/ usr / sbin / start-secldapclntd命令启动ldap客户机守护程序。
如何重新启动secldapclntd守护程序?
使用/ usr / sbin / restart-secldapclntd命令重新启动secldapclntd守护程序。
如何从LDAP服务器获取LDAP用户信息?
lsldap命令通过LDAP客户端和secldapclntd守护程序从LDAP服务器获取信息。
lsldap -a passwd username OR lsuser -R LDAP username
如何从LDAP服务器获取LDAP组信息?
lsldap -a group groupname OR lsgroup -R LDAP groupname
Kerberos命令
如何在AIX上配置NAS Kerberos服务器?
mkkrb5srv -r <realm> -s <servername> -d <domain>
此命令在AIX上配置Kerberos服务器,并创建/etc/krb5/krb5.conf、/var/krb5/krb5kdc/kdc.conf和kdm5.acl文件。
如何在AIX上配置NAS Kerberos客户端?
mkkrb5clnt -r <realm name> -c <KDC server> -s <Kerberos server> -d <domain> -a admin/admin -A i files -K - T
此命令在AIX上配置Kerberos客户端,并使用“文件”作为Kerberos的数据库。 如果要将“ LDAP”用作数据库,请在上述命令中指定LDAP代替“文件”。 此命令还将KRB5files和KRB5模块信息更新为/usr/lib/security/methods.cfg文件。
如何创建Kerberos用户?
mkuser -R registry=KRB5files SYSTEM="KRB5files" <username> OR mkuser -R KRB5LDAP registry=KRB5LDAP SYSTEM="KRBLDAP" <username>
如何设置Kerberos用户的密码?
passwd -R KRB5files <username> OR passwd -R KRB5LDAP <username>
如果Kerberos客户端配置了kadmin支持,则此命令有效。 如果没有kadmind支持,则用户无法从Kerberos客户端更改密码。
如何使用Microsoft®Windows®Active Directory服务器配置AIX Kerberos客户端?
config.krb5 -C -r <realm> -d <domain> -c <KDC server> -s <kerberos server>
哪里
- &lt; realm&gt; 是Windows Active Directory域名
- &lt; domain&gt; 是承载Active Directory服务器的计算机的域名
- &lt; KDC服务器&gt; 是Windows服务器的主机名
- &lt; kerberos服务器&gt; 是Windows服务器的主机名
Microsoft®Windows支持哪些加密机制?
Microsoft Windows支持DES-CBC-MD5和DES-CBC-CRC加密类型。 如下更改AIX Kerberos客户端/etc/krb5/krb5.conf文件。
[libdefaults] default_realm = MYREALM default_keytab_name = FILE:/etc/krb5/krb5.keytab default_tkt_enctypes = des-cbc-crc des-cbc-md5 default_tgs_enctypes = des-cbc-crc des-cbc-md5
如何取消配置Kerberos客户端/服务器?
unconfig.krb5
此命令从客户端和服务器删除网络身份验证服务配置信息和文件。
如何验证登录期间使用了哪种身份验证方法?
echo $AUTHSTATE
此命令提供登录期间使用的身份验证方法。
翻译自: https://www.ibm.com/developerworks/aix/library/au-security_cmds/index.html