Solaris ユーザー管理ツールを使用すると、ローカルシステムまたはネームサービス環境のユーザーアカウントを管理できます。
次の表で、ユーザーツールのユーザーアカウント機能を使って実行可能な作業について説明します。
表 4-5 ユーザーアカウント管理作業
作業 |
説明 |
内容説明 |
---|---|---|
ユーザーの追加 |
ユーザーをローカルシステムまたはネームサービスに追加できる | |
ユーザーテンプレートの作成 |
ユーザー、契約者、技術者など、同じグループのユーザーを作成するために、定義済みのユーザー属性のテンプレートを作成できる |
同上 |
ユーザーテンプレートを使ってのユーザー追加 |
テンプレートを使い、定義済みのユーザー属性を使用してユーザーを追加できる |
同上 |
ユーザーテンプレートの複製 |
定義済みのユーザー属性を少しだけ変更して使用したい場合は、ユーザーテンプレートを複製する。そして、必要な属性のみを変更する |
同上 |
ユーザープロパティの設定 |
ユーザーを追加する前にユーザープロパティを使用し、ユーザーの追加時にユーザーテンプレートを使用するかどうか、ユーザー削除時に、デフォルトでホームディレクトリやメールボックスを削除するかどうかなどを設定できる |
同上 |
複数ユーザーの追加 |
ユーザー名を入力したテキストファイルを指定、または自動的に一連のユーザー名を生成することにより、ローカルシステムまたはネームサービスに複数のユーザーを追加できる |
同上 |
ユーザープロパティの表示および変更 |
ログインシェル、パスワード、またはパスワードオプションのようなユーザープロパティを表示または変更できる |
同上 |
ユーザーへの権限割り当て |
特定の管理作業の実行を許可する権限をユーザーに割り当てることができる |
同上 |
ユーザーの削除 |
ユーザーをローカルシステムまたはネームサービスから削除することができる。またオプションでユーザーのホームディレクトリまたはメールを削除するかどうかを指定できる。ユーザーは、グループまたは役割からも削除される |
同上 |
表 4-6 ユーザーの権限管理作業
作業 |
説明 |
内容説明 |
---|---|---|
権限を付与する |
管理者だけが実行できた特定のコマンドまたはアプリケーションの実行権限をユーザーに付与することができる |
『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の権利プロファイル」 |
既存の権限のプロパティの表示および変更 |
既存の権限を表示または変更できる |
同上 |
承認の追加 |
承認、つまり役割またはユーザーに個別に付与できる権限を追加できる |
『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の承認」 |
承認の表示および変更 |
既存の承認を表示または変更できる |
同上 |
表 4-7 ユーザーの役割の管理作業
作業 |
説明 |
内容説明 |
---|---|---|
管理の役割の追加 |
RBAC の承認役割を追加できる |
『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の役割」 |
管理の役割への権限の割り当て |
作業を実行できるように、役割に特定の権限を割り当てることができる |
同上 |
管理の役割の変更 |
役割に権限を追加したり削除したりすることができる |
同上 |
表 4-8 グループ管理作業
作業 |
説明 |
|
---|---|---|
グループの追加 |
ユーザーを追加する前にグループ名を使用できるように、ローカルシステムまたはネームサービスにグループを追加する | |
グループへのユーザー追加 |
グループが所有するファイルにユーザーがアクセスする場合、ユーザーをグループに追加する |
同上 |
グループからのユーザー削除 |
ユーザーがグループファイルにアクセスする必要がなくなった場合は、グループからユーザーを削除できる |
同上 |
表 4-9 プロジェクト管理作業
作業 |
説明 |
内容説明 |
---|---|---|
プロジェクトの作成および複製 |
新しいプロジェクトを作成できるか、または新しいプロジェクトで必要な属性が酷似している既存のプロジェクトがある場合は、そのプロジェクトを複製できる |
Solaris Management Console のオンラインヘルプ |
プロジェクト属性の変更および表示 |
既存のプロジェクト属性を表示または変更できる |
Solaris Management Console のオンラインヘルプ |
プロジェクトの削除 |
不要になった場合は、プロジェクトを削除できる |
Solaris Management Console のオンラインヘルプ |
表 4-10 メーリングリスト管理作業
作業 |
説明 |
内容説明 |
---|---|---|
メーリングリストの作成 |
メーリングリスト (電子メールのメッセージの宛先のリスト) を作成できる |
Solaris Management Console のオンラインヘルプ |
メーリングリスト名の変更 |
メーリングリストの作成後、その内容を変更できる |
Solaris Management Console のオンラインヘルプ |
メーリングリストの削除 |
不要になった場合は、メーリングリストを削除できる |
Solaris Management Console のオンラインヘルプ |
Solaris Management Console ツールを使用してユーザーのホームディレクトリを管理するときは、次のことに注意してください。
ユーザーツールの「ユーザーを追加 (Add User)」ウィザードを使用してユーザーアカウントを追加し、ユーザーのホームディレクトリを /export/home/username として指定すると、ホームディレクトリが自動マウントされるように自動的に設定されて、次のエントリが passwd ファイルに追加されます。
/home/username |
ユーザーツールを使用して、ホームディレクトリを自動マウントしないユーザーアカウントを設定するには、この機能を無効にするユーザーアカウントのテンプレートを設定する他に方法はありません。その後、このテンプレートを使ってユーザーを追加します。「ユーザーを追加 (Add User)」ウィザードでこの機能を無効にすることはできません。
-x autohome=N オプションを指定して smuser add コマンドを使用すると、ユーザーのホームディレクトリを自動マウントしないでユーザーを追加できます。ただし、smuser delete コマンドには、ユーザーを追加した後でホームディレクトリを削除するオプションはありません。その場合は、ユーザーツールを使用して、ユーザーとユーザーのホームディレクトリを削除する必要があります。
既存のものと重複するユーザー名や UID 番号を定義しないかぎり、ユーザーアカウントのログイン名や UID 番号を変更する必要はありません。 2 つのユーザーアカウントが、同じユーザー名または UID 番号を持つ場合、次の手順に従ってください。
2 つのユーザーアカウントが同じ UID 番号を持つ場合、ユーザーツールを使用して、どちらか一方のアカウントを削除し、もう一度、異なる UID 番号で追加します。ユーザーツールを使用して、既存のユーザーアカウントの UID 番号を変更することはできません。
2 つのユーザーアカウントが同じユーザー名を持つ場合、ユーザーツールを使用して、どちらか一方のアカウントを修正し、ユーザー名を変更します。
ユーザーツールを使用してユーザー名を変えた場合でも、ユーザーのホームディレクトリが存在すれば、ホームディレクトリの所有権は変更されます。
ユーザーアカウントの中で変更できる情報に、ユーザーのグループメンバーシップがあります。ユーザーツールの「アクション (Action)」メニューの「プロパティ (Properties)」を選択すると、ユーザーの二次グループを追加したり、削除したりできます。また、グループツールを使ってグループのメンバーリストを直接修正したりすることもできます。
ユーザーアカウントの次の部分も変更できます。
説明 (コメント)
ログインシェル
パスワードおよびパスワードオプション
ホームディレクトリおよびホームディレクトリアクセス
権限および役割
ユーザーツールでユーザーアカウントを削除すると、passwd ファイル、group ファイル内のエントリが自動的に削除されます。さらに、ユーザーのホームディレクトリおよびメールディレクトリにあるファイルを削除します。
ユーザーツールを使って、カスタマイズしたユーザー初期設定ファイルを作成することはできませんが、指定された「スケルトン」ディレクトリ内のユーザー初期設定ファイルでユーザーのホームディレクトリを生成することができます。このためには、ユーザーテンプレートツールを使ってユーザーテンプレートを作成し、コピーするユーザー初期設定ファイルを保存するスケルトンディレクトリを指定します。
/etc/skel ディレクトリにあるユーザー初期設定テンプレートをカスタマイズし、ユーザーのホームディレクトリへコピーできます。
ユーザーツールを使って、次のようなパスワード管理ができます。
ユーザーアカウントに通常のパスワードを指定する
ユーザーが最初のログイン時にパスワードを作成できるようにする
ユーザーアカウントを無効にするかロックする
有効期限とパスワード有効期限情報を指定する
パスワード有効期限は、NIS ネームサービスではサポートされません。
一時的にまたは永続的に、ログインアカウントを無効にしなければならないことがあります。ユーザーアカウントを無効にしたりロックしたりすると、無効なパスワード *LK* がユーザーアカウントに割り当てられ、それ以後ログインできなくなります。
最も簡単にユーザーアカウントを無効にする方法は、ユーザーツールを使用してアカウントのパスワードをロックすることです。また、「User Properties」画面の「Expiration Date」フィールドに有効期限を入力して、ユーザーアカウントの有効期間に制限を設けることもできます。
また、パスワード有効期限を設定するかパスワードを変更することによって、ユーザーアカウントを無効にすることもできます。