AIX的用户和组管理Word下载.docx
- 文档编号:18747770
- 上传时间:2023-01-01
- 格式:DOCX
- 页数:22
- 大小:28.34KB
AIX的用户和组管理Word下载.docx
《AIX的用户和组管理Word下载.docx》由会员分享,可在线阅读,更多相关《AIX的用户和组管理Word下载.docx(22页珍藏版)》请在冰豆网上搜索。
/var/adm:
uucp:
5:
/usr/lib/uucp:
guest:
100:
/home/guest:
nobody:
4294967294:
lpd:
9:
lp:
*:
11:
/var/spool/lp:
/bin/false
invscout:
6:
12:
/var/adm/invscout:
snapp:
200:
13:
snapploginuser:
/usr/sbin/snapp:
/usr/sbin/snappd
ipsec:
201:
/etc/ipsec:
nuucp:
7:
uucploginuser:
/var/spool/uucppublic:
/usr/sbin/uucp/uucico
pconsole:
8:
/var/adm/pconsole:
esaadmin:
10:
/var/esa:
sshd:
206:
/var/empty:
atc:
8000:
400:
AdamCormany,SrUNIXAdmin:
/home/atc:
/bin/ksh
amdc:
8001:
401:
AMDC:
/home/amdc:
pac:
8002:
PAC,JrUNIXAdmin:
/home/pac:
atc2:
8003:
402:
ATCv2:
/home/atc2:
/bin/ksh可以看到这个文件使用冒号(:
)作为分隔符,每个条目按以下格式包含7个字段(为了便于阅读,在分隔符前后添加了空格):
Username:
PasswordFlag:
UID:
GID:
GECOS:
Home:
Shell/Command下面逐一解释这些字段:
Username。
这是与用户账户相关联的登录名/用户名。
PasswordFlag。
这个字段因UNIX和Linux的风格而异。
在AIX上,第二个字段可以包含两个字符之一:
或*。
如果显示!
,那么已经为此用户设置了密码。
如果还没有设置密码,就会出现*。
密码本身存储在/etc/security/passwd中。
UID。
UserIdentifier(UID)是用户的数字标识符。
GID。
GroupIdentifier(GID)与UID相似,但是它与组相关联。
GID在/etc/group中定义。
GECOS。
GeneralElectricComprehensiveOperatingSystem(GECOS)信息存储在第五个字段中。
这里存储用户的姓名、电话号码和其他一般个人信息。
Home。
这是用户的主目录。
Shell/Command。
通常情况下,最后一个字段包含在用户登录时启动的shell。
管理员也可以通过修改这个字段执行其他命令而不是shell(例如/bin/false),从而限制访问。
/etc/security/.profile文件可以节省宝贵的时间和减少麻烦。
在使用mkuser命令创建用户时,执行/usr/lib/security/mkuser.sys脚本。
这个脚本创建用户的目录,设置正确的权限,“创建”用户的.profile。
mkuser.sys脚本实际上是把/etc/security/.profile文件复制到新用户的主目录中。
如果您正在构建新系统,或者一个新部门有100名员工需要在系统上建立账户,那么一定要先修改/etc/security/.profile文件,然后再开始创建用户账户。
如果已经创建了账户,然后意识到需要对某个变量或其他设置做简单的修改,就不得不手工修改每个用户的profile。
可以使用脚本简化这个过程,但是如果提前修改了/etc/security/.profile,会简单得多。
清单2给出一个/etc/security/.profile文件示例。
清单2./etc/security/.profile文件示例PATH=/usr/bin:
/usr/sbin:
/usr/ucb:
$HOME/bin:
/usr/bin/X11:
/sbin:
.exportPATHif[-s'
$MAIL'
]#ThisisatShellstartup.Innormal
thenecho'
$MAILMSG'
#operation,theShellchecks
fi#periodically./etc/security/limits
/etc/security/limits文件包含所有ulimit,即用户的系统资源限制。
表1列出/etc/security/limits文件中的字段及其用途。
表1./etc/security/limits中的字段
软限制硬限制
说明
fsizefsize_hard
用户可以创建的文件的大小
corecore_hard
用户可以创建的核心文件的大小
cpucpu_hard
允许的系统时间量
datadata_hard
进程数据段的大小
stackstack_hard
进程堆栈段的大小
rssrss_hard
允许的物理内存量
nofilesnofiles_hard
同时打开的文件描述符数量
nprocnproc_hard
同时运行的进程数量
软限制和硬限制的区别是什么?
在最大值(硬限制)范围内,用户或应用程序可以动态地修改软限制。
硬限制就是参数可以设置的最大值。
如果把参数设置为数字值太困难(例如,如果开发人员不知道程序将使用的内存量或它需要打开的文件数量),那么可以把参数设置为-1,这表示无限制。
但是,不必为每个用户设置所有ulimit。
/etc/security/limits文件包含一个default部分,它为每个用户定义一组标准值,如果用户没有设置定制的值,就会使用这些值。
如果default部分不存在,系统会设置预先确定的限制。
IBM的默认值如下:
*AttributeValue
*======================
*fsize_hardsettofsize
*cpu_hardsettocpu
*core_hard-1
*data_hard-1
*stack_hard8388608
*rss_hard-1
*nofiles_hard-1清单3给出一个/etc/security/limits文件示例。
清单3./etc/security/limits文件示例default:
fsize=4194303
core=16384
cpu=-1
data=262144
rss=65536
stack=65536pac:
fsize=131072
fsize_hard=262144
core=262144假设用户“pac”是一位初级UNIX管理员,他的软限制值fsize由default部分的4,194,303降低到131,072;
但是,允许他在需要时把这个值增加到262,144。
另外,pac经常把自己的程序弄坏。
因此,把他的coreulimit增加到262,144。
/etc/security/passwd文件包含AIX用户的密码信息。
在这个文件中,每个用户有三个字段:
password。
加密的密码。
注意:
如果这个字段只包含星号(*),那么账户被锁定,直到设置密码为止。
lastupdate。
最后一次更新密码的时间(系统纪元以来的秒数)。
flags。
对修改用户密码的限制。
可以设置三个标志:
ADMIN。
如果设置,那么只有根用户可以修改用户的密码。
ADMCHG。
如果设置,那么在用户下一次登录或执行su时提示修改密码。
NOCHECK。
如果设置,那么忽略/etc/security/user中的任何其他限制。
清单4提供一个/etc/security/password文件示例。
清单4./etc/security/password文件示例amdc:
password=oBQaUkPkUryCY
lastupdate=1243972006
flags=ADMCHG在这个示例中,用户“amdc”的密码是在2009年6月2日星期二15:
46:
46EDT设置的。
当用户下一次登录或执行su时,会提示修改密码。
您可能想知道如何把系统纪元以来的秒数转换为可读性更好的表示法,为此我编写了一个Perl脚本。
这个脚本的核心如下:
#perl-e'
usePOSIX;
printstrftime('
%c\n'
localtime(1243972006));
'
TueJun215:
46EDT2009/etc/security/user
现在,要接触到AIX用户管理的核心了。
除了/etc/passwd中的基本信息之外,/etc/security/user文件包含最重要的用户设置。
表2说明一些参数。
表2./etc/security/user文件中的参数
参数格式说明
account_lockedTRUE|FALSE
锁定账户;
如果设置为True,用户就无法登录。
adminTRUE|FALSE
如果设置为True,用户就具有管理权力。
expiresMMDDHHYY
如果到达此日期,账户就会过期并被锁定。
histexpire0-260
用户在这个期限内不能重用密码(星期数)。
histsize0-50
以前使用过的不能重用的密码数量。
loginTRUE|FALSE
如果设置为True,用户可以登录。
maxage0-52
密码的有效期(星期数)。
minage0-52
用户在此期限之后才能修改密码(星期数)。
rloginTRUE|FALSE
如果设置为True,那么可以远程访问此账户。
suTRUE|FALSE
如果设置为True,那么其他用户可以使用su访问此账户。
参数的完整列表请查看AIX系统上的/etc/security/user,或访问AIXInformationCenter。
与/etc/security/limits一样,如果没有为账户指定值,就使用default部分设置所有字段。
/usr/lib/security/mkuser.default文件包含在通过mkuser创建新的AIX用户时使用的值。
清单5提供这个文件的示例。
清单5./usr/lib/security/mkuser.default文件示例user:
pgrp=staff
groups=staff
shell=/usr/bin/ksh
home=/home/$USERadmin:
pgrp=system
groups=system
home=/home/$USER在这个文件中可以定义许多参数。
完整的列表请参见manchuser或访问IBMSystemsInformationCenter。
回页首
基本命令
既然您已经熟悉了命令背后的文件,现在就来看看命令本身。
学习如何创建用户以及在创建用户之后修改用户。
mkuser
要了解的第一个命令是mkuser。
如果没有mkuser,其他命令都没什么用。
使用这个命令创建AIX用户并设置初始值。
下面是在创建用户时要记住的几条简单规则:
用户名不能以下面的字符开头:
连字符或减号(-)
加号()
At符号(@)
波浪号(~)
用户名不能是ALL或default,因为这些名称是为操作系统保留的。
用户名不能包含:
冒号(:
)
引号—单引号或双引号('
或'
镑符或数字符(#)
逗号(,)
等号(=)
斜杠—反斜杠或前向斜杠(\或/)
问号(?
反引号或勾号(`)
空白(空格或制表符)
换行符
在AIX5.2和更早的版本上,用户名的长度必须小于等于8个字符。
从AIX5.3开始,最大字符数增加到了255。
为了在AIX5.3和更高版本上检查这个设置,可以使用getconf:
#getconfLOGIN_NAME_MAX
9或lsattr:
#lsattr-Elsys0SW_dist_intrfalseEnableSWdistributionofinterruptsTrue
autorestarttrueAutomaticallyREBOOTOSafteracrashTrue
boottypediskN/AFalse
capacity_inc1.00ProcessorcapacityincrementFalse
cappedtruePartitioniscappedFalse
consloginenableSystemConsoleLoginFalse
cpuguardenableCPUGuardTrue
dedicatedtruePartitionisdedicatedFalse
enhanced_RBACtrueEnhancedRBACModeTrue
ent_capacity1.00EntitledprocessorcapacityFalse
frequency2656000000SystemBusFrequencyFalse
fullcoretrueEnablefullCOREdumpTrue
fwversionIBM,EL340_075FirmwareversionandrevisionlevelsFalse
id_to_partition0X80000CE988400001PartitionIDFalse
id_to_system0X80000CE988400000SystemIDFalse
iostatfalseContinuouslymaintainDISKI/OhistoryTrue
keylocknormalStateofsystemkeylockatboottimeFalse
log_pg_dealloctrueLogpredictivememorypagedeallocationeventsTrue
max_capacity1.00MaximumpotentialprocessorcapacityFalse
max_logname9MaximumloginnamelengthatboottimeTrue
maxbuf20MaximumnumberofpagesinblockI/OBUFFERCACHETrue
maxmbuf0MaximumKbytesofrealmemoryallowedforMBUFSTrue
maxpout0HIGHwatermarkforpendingwriteI/OsperfileTrue
maxuproc800MaximumnumberofPROCESSESallowedperuserTrue
min_capacity1.00MinimumpotentialprocessorcapacityFalse
minpout0LOWwatermarkforpendingwriteI/OsperfileTrue
modelnameIBM,8203-E4AMachinenameFalse
ncargs256ARG/ENVlistsizein4KbyteblocksTrue
nfs4_acl_compatsecureNFS4ACLCompatibilityModeTrue
pre430corefalseUsepre-430styleCOREdumpTrue
pre520tunedisablePre-520tuningcompatibilitymodeTrue
realmem3784704AmountofusablephysicalmemoryinKbytesFalse
rtasversion1OpenFirmwareRTASversionFalse
sed_configselectStackExecutionDisable(SED)ModeTrue
systemidIBM,021082744HardwaresystemidentifierFalse
variable_weight0VariableprocessorcapacityweightFalse要修改这个设置,只需使用chdev调整v_max_logname参数(在lsattr输出中显示为max_logname),把它设置为所需的最大字符数加一,加一是为了容纳终止字符。
例如,如果希望用户名的长度是128个字符,那么应该把v_max_logname设置为129:
#chdev-lsys0-amax_logname=129
sys0changed请注意,这一修改直到重新引导操作系统之后才会生效。
重新引导服务器之后,可以检查修改是否已经生效了:
128但是请记住,如果环境包含AIX5.3之前的IBMRS/6000?
服务器,或者操作系统无法处理超过8个字符的用户名,而且依靠NIS或其他身份验证机制,那么应该继续使用8个字符的用户名。
要想用默认设置创建用户并分配下一个可用的UID,只需执行mkuser加上用户名:
#mkuserxander
#fingerxander
Loginname:
xander
Directory:
/home/xanderShell:
/usr/bin/ksh
NoPlan.很容易,不是吗?
现在试一下更有意思的操作。
通过添加在chuser手册页(manchuser)上找到的一些值,可以包含用户的GECOS信息并把用户的coreulimit改为524,288,见清单6。
清单6.修改用户的coreulimit#mkusercore=524288gecos='
XanderCormany,317.555.1234'
xanderInreallife:
XanderCormany
SiteInfo:
317.555.1234
NoPlan.#su-xander'
-culimit-a'
time(seconds)unlimited
file(blocks)unlimited
data(kbytes)unlimited
stack(kbytes)4194304
memory(kbytes)unlimited
coredump(blocks)524288
nofiles(descriptors)unlimited
threads(perprocess)unlimited
processes(peruser)unlimited与/etc/passwd中的其他字段一样,GECOS的值不应该包含冒号(:
)。
添加冒号就会影响对字段位置的解释,所有期望值会向右移。
例如,如果用户试图在/etc/passwd的GECOS字段中设置Xander:
Cormany值,Xander实际上会在正确的字段中,而Cormany成为右边字段(即主目录)的值。
另外,GECOS字段不能以!
#结尾。
大多数管理员其实并不使用这样的命令行,但是了解SMIT(mansmit或mansmitty)等实用程序在幕后做的工作是很重要的。
如果您愿意使用SMIT,过程很简单。
下面是使用SMIT创建具有相同属性的同一用户的示例。
在用户创建屏幕上直接输入SMIT,然后使用快速路径mkuser:
#smittymkusersmittymkuser过程
填写用户名、GECOS字段和coreulimit之后,按Enter创建用户。
当SMIT返回命令成功完成的消息时,按F10或Esc0退出程序。
可以使用清单7中的代码检查用户。
清单7.检查SMIT是否成功地创建了用户#fingerxander
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- AIX 用户 管理