1. イーサネット (XSCF-LAN) の IP アドレスを設定します
2.2.2 ユーザー管理設定
ユーザー管理設定では、XSCFのローカルなユーザーアカウント、パスワード、ユーザー権限、および パスワードポリシーの設定を行います。
ユーザーアカウントを管理するためには、XSCF のローカルアカウントを設定するか、LDAP、Active
Directory、およびLDAP/SSLのリモートユーザーデータベースに対するユーザーアカウントの認証設定
を行います。LDAP、Active Directory、およびLDAP/SSLの設定については、それぞれ、2.2.3 、 2.2.4 、 2.2.5 を参照してください。
表 2.3は、ユーザー管理設定に関する用語です。
表 2.4は、設定項目と対応するシェルコマンドです。
表2.3 ユーザー管理設定の用語
用語 説明
UID ユーザーアカウントに自動的に割り当てられるID。
UIDは指定することもできます。100-60000の範囲で指定できます。
ロックアウト機能 あるユーザーアカウントで複数回ログインの試みが失敗した場合、その後、ログ インを試みても、一定時間ログインできないようにユーザーアカウントがロック される機能。本機能はXSCFシェル上のSSH、telnet、およびXSCF Webでログ インする場合に利用できます。
表2.4 ユーザー管理設定(1 / 2)
設定項目 機能説明 シェルコマンド 備考
ユ ー ザ ー 管 理 情報表示
ユーザー管理情報を表示します。 showuser 表示項目が Never のときは ユーザーやパスワードの期限 がありません。
ユ ー ザ ー ア カ ウ ン ト 追 加 / 削除
ユーザーアカウントの追加/削除を設定します。 adduser deleteuser
ユーザーアカウントの長さは 最大31文字です。
パスワード ユーザーアカウントのパスワードを指定します。
• アカウントの有効期間を日数にするか、日付に するか、または有効期限なしの指定
パスワードの以下の設定を行います。(注)
• パスワード有効期間最大日数 (最大 999999999 日)
• パスワード有効期間最低日数 (最小0日)
• パスワード期限切れ警告開始日 (デフォルト7 日前)
• パスワード期限切れ後アカウントがロックされ るまでの日数 (最小0日、または期限なし)
password
ユ ー ザ ー 権 限 の変更
ユーザーにユーザー権限を割り当てます。 setprivileges ユーザー権限は 1 つのユー ザ ー に 複 数 割 り 当 て ら れ ま す。
ユ ー ザ ー ア カ ウ ン ト 有 効 /
ユーザーアカウントの有効/無効を指定します。 enableuser disableuser
パスワード ポリシー
以下のパスワードポリシーを設定します。
• パスワード変更可能な最低経過日数 (Mindays)
• パスワード有効期間最大日数 (Maxdays)
• パスワード期限切れ警告開始日(Warn)
• パスワード期限切れ後ユーザーアカウントが ロックされるまでの日数 (Inactive)
• アカウントの有効期間日数 (Expiry)
• パスワード変更時の最大リトライ回数 (Retry)
• 新旧パスワードが異なる文字列である必要数 (Difok)
• 最小パスワード長 (Minlen)
• パスワードに含まれる数字による、最小パス ワード長に対する最大クレジット数 (Dcredit)
• パスワードに含まれる大文字による、最小パス ワード長に対する最大クレジット数 (Ucredit)
• パスワードに含まれる小文字による、最小パス ワード長に対する最大クレジット数 (Lcredit)
• パスワードに含まれる記号による、最小パス ワード長に対する最大クレジット数 (Ocredit)
• パスワード履歴への最大保管数 (Remember)
s e t p a s s w o r d -policy
• パスワード期限切れ後、ア カウントがロックされた ユーザーは、再びシステム を利用するためには、シス テム管理者に連絡を取る 必要があります。
• 最小パスワード長 (minlen) は6です。
• Inactiveが-1のときは期限 がありません。
• Expiryが0のときは、期限 がありません。
(注1)
• クレジットの数とは、現在 の最小パスワード長から 差し引かれる文字数のこ とです。各文字のクレジッ トを組み合わせると、現在 の最小パスワード長より 短いパスワードが許容さ れます。
ロ ッ ク ア ウ ト 表示
ロックアウト機能の設定を表示します。 showloginlock-out
ロ ッ ク ア ウ ト 有効/無効
ロッククアウト機能を有効/無効にします。
ロックアウト機能を無効にするには、ロックアウト 時間に0分を指定します。ロックアウト機能を有効 にするには、ロックアウト時間に0分以外を指定し ます。
setloginlockout • デフォルトはロックアウ ト無効です。
• ログインを3回連続で失敗 すると、その後は指定され た時間ロックアウトしま す。
• ロックアウト時間の範囲 は0から1440分です。
(注2)
注1) パスワードポリシーを設定すると、その後に追加されるユーザーはそのパスワードポリシー が適用されます。
ユーザーオペランドに他ユーザーを指定してパスワードを変更するときは、システムのパス ワードポリシーは効きません。他ユーザーのパスワードを変更するときは、必ず、システム のパスワードポリシーに従ったパスワードを指定してください。
表2.4 ユーザー管理設定(2 / 2)
設定項目 機能説明 シェルコマンド 備考
• ユーザーアカウントの追加/削除、パスワードを設定するには
•
コマンド操作1 showuser (8) コマンドですべてのユーザーアカウント情報を表示させます。 (表 2.4のパスワード
ポリシーの説明参照)
注2) ログイン認証に失敗すると、最後に設定したロックアウト時間でロックアウトします。
また、M8000/M9000 サーバでは、ロックアウト機能はアクティブ/スタンバイ側の両方の
XSCFで有効です。ロックアウトした場合、メッセージが監査ログに保存されます。
setloginlockout (8) コマンドで、-s 0 を指定すると、ロックアウト機能を無効にできます。ロッ クアウト機能を無効に設定した場合、ユーザーは何回でもログインを試みることができるよ うになります。
ロックアウト時間が過ぎる前にロックアウトされたユーザーアカウントにアクセスする必 要がある場合は、システム管理者にロックアウト機能を無効にしてもらってください。その ユーザーアカウントのログインが成功したら、システム管理者はロックアウト時間を設定し てロックアウト機能を再度有効にしてください。setloginlockout (8) および showloginlockout (8)コマンドの詳細については、マニュアルページを参照してください。
注) ログインのロックアウト時間の設定および表示する機能は、XCP1080 以降でサポートされ ます。
XSCF> showuser -l
User Name: user001 UID: 101 Status: Enabled Minimum: 0 Maximum: 99999 Warning: 7 Inactive: -1
Last Change: Jul 11, 2006 Password Expires: Never
Password Inactive: Never Account Expires: Never Privileges: platadm
2 adduser (8) コマンドでユーザーアカウントを追加します。
ユーザーアカウントデータにLDAP、Active Directory、またはLDAP/SSLを使用するように XSCF で設定されている場合、ユーザーアカウント名および(設定している場合は)ユー ザー識別子は、XSCF、LDAP、Active DirectoryまたはLDAP/SSLで未使用のものでなけれ ばなりません。また、以下のユーザーアカウント名はシステムで予約されているため、利用 することはできません。
root、bin、daemon、adm、operator、nobody、sshd、rpc、rpcuser、ldap、apache、ntp、 admin、default、proxyuser
3 password (8) コマンドでパスワードを指定します。
< 例 1> ユーザーアカウント名を指定 XSCF> adduser jsmith
< 例 2> UID を指定してユーザーアカウントを追加 XSCF> adduser -u 359 jsmith
< 例 1> パスワードを指定 XSCF> password jsmith
Changing password for platadm (current) XSCF password:
New XSCF password: xxxxxx
BAD PASSWORD: is too similar to the old one New XSCF password: xxxxxx
BAD PASSWORD: it is too simplistic/systematic New XSCF password: xxx
BAD PASSWORD: it's WAY too short New XSCF password: xxxxxx
Retype new XSCF password: xxxxxx XSCF>
< 例 2> 有効期限 60 日、期限切れ警告開始日を 15 日前に指定 XSCF> password -M 60 -w 15 jsmith
• ユーザー権限を設定するには
•
コマンド操作1 showuser (8) コマンドでユーザー管理設定を表示させます。
2 setprivileges (8) コマンドでユーザー権限をユーザーアカウントに割り当てます。
3 showuser (8) コマンドでユーザー権限を確認します。
• ユーザーアカウントの有効/無効を設定するには
•
コマンド操作1 showuser (8) コマンドでユーザー管理設定を表示させます。
2 enableuser (8) コマンドでユーザーアカウントを有効にします。
XSCF> showuser -a
User Name: jsmith Status: Enabled Minimum: 0 Maximum: 99999 Warning: 7 Inactive: -1
Last Change: Aug 22, 2005 Password Expires: Never
Password Inactive: Never Account Expires: Never
< 例 > ユーザーアカウントに useradm、auditadm を指定 XSCF> setprivileges jsmith useradm auditadm
XSCF> showuser -p
User Name: jsmith Privileges: useradm auditadm
XSCF> showuser -a
< 例 > ユーザーアカウントを有効に指定 XSCF> enableuser jsmith
• パスワードポリシーを設定するには
•
コマンド操作1 showpasswordpolicy (8) コマンドでパスワードポリシー設定を表示させます。
2 setpasswordpolicy (8) コマンドでパスワードポリシー設定を行います。
3 showpasswordpolicy (8) コマンドで設定を確認します。
• ロックアウト機能を有効/無効にするには
•
コマンド操作1 showloginlockout (8) コマンドでロックアウト機能の設定を表示させます。
XSCF> showpasswordpolicy Mindays: 0
Maxdays: 90 Warn: 7 Inactive: -1 Expiry: 0 Retry: 5 Difok: 1 Minlen: 8 Dcredit: 0 Ucredit: 0 Lcredit: 0 Ocredit: 0 Remember: 4
< 例 > リトライ回数 3 回、数字 2 文字以上で 8 文字のパスワード、有効期限 60 日、期限切れ 警告開始日を 15 日前に指定
XSCF> setpasswordpolicy -y 3 -m 8 -d 2 -u 0 -l 0 -o 0 -M 60 -w 15
XSCF> showpasswordpolicy Mindays: 0
Maxdays: 60 Warn: 15 Inactive: -1 Expiry: 0 Retry: 3 Difok: 1 Minlen: 8 Dcredit: 2 Ucredit: 0 Lcredit: 0 Ocredit: 0 Remember: 3
XSCF> showloginlockout
2 setloginlockout (8) コマンドでロックアウト機能を設定します。
設定されたロックアウト時間は次回のログイン以降で有効になります。0 分を指定した場 合、任意のユーザーアカウントで次回のログインに成功すると、ロックアウト機能は無効 になります。
< 例 1> ロックアウト時間を 20 分に指定して、ロックアウト機能を有効にする XSCF> setloginlockout -s 20
< 例 2> ロックアウト機能を無効に指定 XSCF> setloginlockout -s 0