Protectiva Compliance Manager
Навигация
 

Управление паролями в ОС Solaris 7

Операции с документом

Файл паролей системы NIS+

В случае использования для централизованного управления паролями в сети системы NIS+, профили пользователей храняться в базе данных NIS+. Права доступа пользователей к этой базе данных определяются сетевым администратором. Для изменения паролей пользователей в базе данных NIS+ можно использовать команду passwd или программу Solstice Security Manager.

Файл паролей системы NIS

В случае использования для централизованного управления паролями в сети системы NIS, пароли пользователей храняться в таблице паролей NIS. Права доступа пользователей к этой таблице определяются сетевым администратором.  В отличие от системы NIS+, система NIS не поддерживает старение паролей. Для изменения паролей пользователей в базе данных NIS можно использовать команду passwd или программу Solstice Security Manager.

Файлы паролей каталога /etc

Если для управления паролями в локальной системе используются файлы из каталога /etc, то парольная информация находится в файлах /etc/passwd и /etc/shadow. При этом профили пользователей, включая их имена, идентификаторы, домашние каталоги и т. п., храняться в файле /etc/passwd, а пользовательские пароли храняться отдельно в зашифрованном виде в файле /etc/shadow, закрытом по чтению для всех пользователей, кроме пользователя root. Благодаря этому, обычные пользователи не имеют доступа к зашифрованным паролям, что повышает защищенность системы. Для изменения пользовательских паролей в локальной системе можно использовать программы Solstice AdminSuite's User Manager, Admintool, или команду passwd.

Структура файла /etc/passwd

Файл /etc/passwd содержит регистрационные записи пользователей. Каждая запись соответствует одному пользователю и состоит из следующих полей, разделенных символом ‘;’:

username:password:uid:gid:comment:home-directory:login-shell

Пример регистрационной записи пользователя kryten:

kryten:x:101:100:Kryten Series 4000:/export/home/kryten:/bin/csh

Значение полей регистрационной записи приводится в следующей таблице.

Таблица 15 Значения полей регистрационной записи пользователя

Имя поля

Описание

 

username

Содержит системное имя пользователя. Имена пользователей должны быть уникальными и состоять из 1-8 букв (A-Z, a-z) и цифр (0-9). Имя должно начинаться с буквы, и содержать по крайней мере одну незаглавную букву. Имена пользователей не могут содержать пробелов или знаков подчеркивания.

password

Содержит букву x, вместо зашифрованного пароля. Сам зашифрованный пароль находится в файле shadow.

uid

Содержит идектификатор пользователя (UID) в системе. Пользовательские идентификаторы должны лежать в интервале от 100 до 60000. Все идентификаторы должны быть уникальными.

gid

Содержит идентификатор первичной группы пользователя (GID). GID – это целое число в интервале от 0 до 60002 (номера 60001 и 60002 по-умолчанию назначаются группам nobody и noaccess, соответственно).

comment

Обычно содержит полное имя пользователя. (Это поле является чисто информационным). Это поле иногда называют GECOS-полем.

home-directory

Содержит путь к домашнему каталогу пользователя.

login-shell

Содержит имя командного интерпретатора пользователя. Это может быть /bin/sh, /bin/csh или /bin/ksh.

Структура файла /etc/shadow

Регистационные записи файла /etc/shadow состоят из следующих полей:

username:password:lastchg:min:max:warn:inactive:expire

Пример регистрационной записи пользователя rimmer:

rimmer:86Kg/MNT/dGu.:8882:0::5:20:8978

Значения полей регистрационной записи файла shadow приводяться в следующей таблице.

Таблица 16 Значения полей регистрационной записи файла shadow

Имя поля

Описание

 

username

Содержит системное имя пользователя.

password

Может содержать следующие записи: 13-символьный зашифрованный пользовательский пароль; строку *LK*, обозначающую заблокированный бюджет; или строку NP, обозначающую отсутствие пароля пользователя.

lastchg

Содержит число дней между 1 января 1970 года  и датой последнего изменения пароля.

min

Содержит минимально допустимое количество дней между сменой пароля.

max

Содержит максимальное количество дней до выдачи предупреждения пользователю о необходимости смены пароля.

inactive

Содержит количество дней неактивности пользователя, прежде чем его бюджет будет заблокирован.

expire

Содержит дату истечения действия пользовательского бюджета. После наступления этой даты, пользователь не сможет войти в систему.

Стуктура файла /etc/group

Записи файла group состоят из следующих полей, разделенных символом двоеточия:

group-name:group-password:gid:user-list

Пример записи для группы bin:

bin::2:root,bin,daemon

В следующей таблице приводяться значения полей записи файла group.

Таблица 17 Значения полей записи файла group

Имя поля

Описание

 

Group-name

Содержит имя группы. Имя группы может состоять максимум из девяти символов.

Group-password

Обычно содержит символ ‘*’ или оставляется пустым. Это поле осталось от старых версий UNIX. Если для группы определен пароль, то команда newgrp выводит приглашение для ввода пароля. Однако, не существует утилиты, позволяющей установить пароль для группы.

gid

Содержит идентификатор группы (GID). Этот номер должен быть уникальным в локальной системе и во всей организации. Каждый GID – это целое число в диапазоне от 0 до 60002. Номера меньше 100 зарезервированы для стандартных системных групп. Идентификаторы групп, определяемых пользователем должны лежать в диапазоне от 100 до 60000. (номера 60001 и 60002 зарезервированы для групп nobody и noaccess, соответственно.)

user-list

Содержит список пользователей, входящих в состав группы, определяющий вторичное членство пользователей в группе. В качестве разделителя в списке используется символ ‘:’. Каждый пользователь может принадлежать максимум к 16 вторичным группам.

Поддержка механизмов старения паролей и срока истечения действия паролей

В случае использования для управления пользователями и группа службы имен NIS+ или файлов каталога /etc, системный администратор может воспользоваться механизмом старения паролей для того, чтобы ограничить срок их действия, вынудить польователей осуществлять периодическую смену своих паролей, а также запретить пользователям изменять свои пароли чаще установленного интервала времени. Имеется возможность также установить дату истечения срока действия паролей, при наступлении которой соответствующий пользовательский бюджет будет заблокирован.

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2020 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex