passwd - ログインパスワードおよびパスワード属性の変更
passwd [-r files | -r ldap | -r nis] [name]
passwd [-r files] [-egh] [ name]
passwd [-r files] -s [ -a]
passwd [-r files] -s [ name]
passwd [-r files] [-d |
-l | -u | -N | -p hash] [-f] [
-n min]
[-w warn] [-x
max] name
passwd -r ldap [-egh] [ name]
passwd [-r ldap ] -s [ -a]
passwd [-r ldap ] -s [ name]
passwd -r ldap [-d | -l | -u | -N | -p hash
] [-f] [-n min]
[-w warn] [-x
max] name
passwd -r nis [-egh] [ name]
passwd コマンドは、パスワードを変更したり、あるいはユーザーのログイン name に関連するパスワードの属性を表示したりします。さらに、承認されたユーザーは、passwd を使用すると、任意のログイン name に関連付けられたパスワードおよび属性を登録または変更できます。
パスワードを変更する場合、passwd は、古いパスワードがあれば、それを入力するよう要求します。次に、新しいパスワードを 2 回入力するように要求します。古いパスワードを入力すると、passwd は、そのパスワードが十分に時間経過しているかをチェックします。時間経過が不十分な場合は、passwd が終了します。追加情報については、pwconv(8) および shadow(5) のマニュアルページを参照してください。
pwconv コマンドは、/etc/passwd の情報をもとに /etc/shadow を作成し、更新します。pwconv は、/etc/passwd のパスワードフィールドで「x」という特殊な値を探します。この「x」という値は、ユーザー用のパスワードがすでに /etc/shadow にあり、修正するべきではないということを表します。
時間経過が十分である場合、新しいパスワードの構造が要求に合うかどうかチェックが行われます。新しいパスワードを 2 回入力した時点で、2 つの新しいパスワードが比較されます。2 つのパスワードが同じでない場合は、新しいパスワードに対して、最大 2 回までプロンプトが繰り返されます。
パスワードは、次の要求に合うように作らなければなりません。
各パスワードは、PASSLENGTH 文字以上でなければなりません。PASSLENGTH は、/etc/default/passwd に定義され、8 に設定されています。PASSLENGTH を 8 文字を超える文字数に設定するには、8 文字を超える文字数をサポートするアルゴリズムを使用して policy.conf(5) を構成する必要があります。
各パスワードは、/etc/default/passwd に指定されている複雑さの制約を満たす必要があります。
各パスワードは、/etc/default/passwd に指定されている構成済み辞書のメンバーと同じであってはいけません。
パスワード履歴チェックをサポートしているネームサービス用のアカウントで旧パスワード履歴が定義されている場合、新しいパスワードは、旧パスワード履歴に含まれるものであってはいけません。
前述の条件がすべて満たされた場合、デフォルトでは passwd コマンドは /etc/nsswitch.conf を参照してパスワード更新を実行すべきレポジトリ (記録場所) を決めます。passwd エントリが検索されます。そのエントリに関連付けられたリソース (リポジトリ) が更新されます。ただし、サポートされるパスワード更新の構成は制限されており、次の規則に従う必要があります。
passwd 行には、1 つ、2 つ、または 3 つのエントリが含まれている必要があります
最初の passwd エントリはファイルである必要があります
ファイル以外の passwd エントリ、NIS、および LDAP は無視され、パスワード更新中にスキップされます。
このようなデータベースでは、パスワードを更新するためのソース固有のツールを使用する必要があります。
パスワードテーブルを所有するネットワーク管理者は、パスワードのどの属性をも変更できます。また、LDAP シャドー情報を更新するために構成された管理者も、任意のパスワード属性を変更できます。詳細は、ldapclient(8) のマニュアルページを参照してください。
ユーザーのパスワードが、ローカル files エントリ内のほかに、いずれかのネームサービス内に格納されている場合、passwd コマンドはその両方を更新します。ネームサービス内のパスワードとローカル files エントリ内のパスワードは異なっている可能性があります。特定のパスワードリポジトリを変更するには、passwd –r を使用してください。
passwd は、承認されたユーザーに古いパスワードを入力するよう要求しません。
LDAP が有効になっている場合、ネイティブ LDAP クライアントシステム上の承認されたユーザーは、古い LDAP パスワードを要求されずにパスワードを変更できます。
デフォルトでは、ほかのユーザーのパスワードを変更することを承認されているユーザーでも、構成済みパスワードポリシーに従う必要があります。詳細は、pam_authtok_check(7) のマニュアルページを参照してください。
通常、引数なしで入力された passwd は現在のユーザーのパスワードを変更します。ユーザーがログインしたあと、su(8) を呼び出して役割または別のユーザーになると、passwd は役割または新しいユーザーのパスワードではなく、元のユーザーのパスワードを変更します。
–s 引数は、承認されたユーザーに制限されます。
表示の書式は、次のようになります。
name status mm/dd/yy min max warn
パスワードの有効期限の情報が存在しない場合は、次のようになります。
name status
各情報の意味は次のとおりです。
ユーザーのログイン ID。
name のパスワードステータス。
status フィールドは次の値をとることができます。
認証失敗の数が許容される構成済みの最大数に達したためにアカウントが自動的にロックされました。policy.conf(5)、user_attr(5)、および「セキュリティー」セクションを参照してください。
アカウントがロックされています。passwd –l が実行されたか、または認証失敗の数が許容される構成済みの最大数に達したためにアカウントが自動的にロックされました。policy.conf(5)、user_attr(5)、および「セキュリティー」セクションを参照してください。
アカウントが UNIX 以外の認証アカウントです。passwd –N が実行されました。「セキュリティー」を参照してください。この状態のアカウントは、システムポリシーまたはユーザーごとのポリシーが LOCK_AFTER_RETRIES=YES になっていると、自動的にはロックされません。
パスワードがないため、非認証でアクセス可能であることを表します。
パスワードがあることを表します。
パスワードフィールドのデータが不明です。認識可能なハッシュパスワードや上記のエントリのどちらでもありません。有効なパスワードハッシュについては、crypt(3C) を参照してください。
このアカウントはまだ管理者によって有効化されていないため、使用できません。「セキュリティー」を参照してください。
name のパスワードが最近変更された日付(すべてのパスワードの日付は、グリニッジ標準時(ユニバーサル時間) を使用して決定されます。したがって、時差があるところでは最大 1 日ずれることがあるので注意してください) 。
name に対するパスワード変更に最低限必要な日数。MINWEEKS は /etc/default/passwd にあり、NULL に設定されています。
パスワードが name に対して有効である最大日数。MAXWEEKS は /etc/default/passwd にあり、NULL に設定されています。
パスワードの有効期限切れが近いことを示す警告を name が受ける日を、max に相対的な日数で表します。
デフォルトのパスワードエージングポリシーは日数または週数で指定できます。MAXWEEKS または MINWEEKS のどちらかにデフォルト値が指定されている場合、shadow(5) データベースは日数単位で更新されます。ある特定の MIN/MAX/WARN 変数に WEEKS と DAYS の両方のバリアントを設定することは誤りです。MIN および WARN ポリシーは、MAX ポリシーも設定されている場合にのみアクティブになります。
パスワードを変更するとき、passwd は pam(3PAM) を使用します。サービス名 passwd を使用して PAM を呼び出し、パスワード変更のための認証とパスワードにサービスモジュールタイプ auth を使用します。
アカウントをロックすると (–l オプション)、すべてのログインまたは遅延実行でのその使用が許可されなくなります (at(1)、batch(1)、cron(8) など)。–N オプションを使用すると、UNIX 以外の認証方法によるログインまたは遅延実行は引き続き許可する一方で、パスワードに基づくログインを禁止できます。
ロックされたアカウントがパスワードを持ったことのない場合、そのステータスをアクティブなパスワードを持つ状態に直接変更することはできません。–d を参照してください。ロックされる前にパスワードを持っていた、ロックされたアカウントでパスワードを変更すると、アカウントをロック解除せずにパスワードが変更されます。アカウントのロック解除については、–u を参照してください。承認された管理者は、パスワードを割り当てるか、または passwd –N を実行して UNIX 以外の認証または遅延実行に対してのみアクティブにすることによって、まだアクティブな状態になっていないアカウントをアクティブにできます。
アカウントは非アクティブになったあとでロックされることがあります。このようなアカウントをロック解除するには、–u または –f オプションを使用します。–u の場合、パスワードは変更されません。–f を使用すると強制的にパスワードが変更されます。
サポートしているオプションは、次のとおりです。
すべてのエントリのパスワードの属性を表示します。–s オプションとともにのみ使用し、name を指定してはいけません。files および ldap リポジトリの場合、承認されたユーザーに制限されます。
ログインシェルを変更します。files リポジトリの場合、これはスーパーユーザーに対してのみ機能します。通常ユーザーは、ldap または nis リポジトリを変更できます。シェルの選択は、getusershell(3C) によって制限されています。ユーザーが現在 getusershell によって許可されていないシェルを保持している場合、そのシェルはルートのみが変更できます。
gecos (finger) 情報を変更します。files リポジトリの場合、これはスーパーユーザーに対してのみ機能します。通常ユーザーは、ldap または nis リポジトリを変更できます。
ホームディレクトリを変更します。
処理の対象とするレポジトリ (記録場所) を指定します。サポートされているリポジトリは、files、ldap、または nis です。
name が示すログイン名用のパスワード属性を表示します。file および ldap リポジトリの場合、これは承認されたユーザーに対してのみ機能します。また nis の場合には、パスワードの有効期限を設定する (エージング) 機能がサポートされていないので、この指定はどのユーザーも使用できません。
このオプションの出力 (このオプションのみ) は、「確実」で構文解析可能です。形式は username のあとにスペースが続き、そのあとに次のコードのいずれかが続きます。
これを解析するコードが不明なコードに対して柔軟性を持つように、今後新しいコードが追加される可能性があります。既存のすべてのコードの長さは 2 文字ですが、コードが常にこの長さであるとは限りません。
現在のステータスコードは次のとおりです。
認証失敗の数が許容される構成済みの最大数に達したためにアカウントが自動的にロックされました。policy.conf(5)、user_attr(5)、および「セキュリティー」セクションを参照してください。
アカウントがロックされています。passwd –l が実行されたか、または認証失敗の数が許容される構成済みの最大数に達したためにアカウントが自動的にロックされました。policy.conf(5)、user_attr(5)、および「セキュリティー」セクションを参照してください。
アカウントが UNIX 以外の認証アカウントです。passwd –N が実行されました。「セキュリティー」を参照してください。この状態のアカウントは、システムポリシーまたはユーザーごとのポリシーが LOCK_AFTER_RETRIES=YES になっていると、自動的にはロックされません。
アカウントはパスワードを持っていません。passwd -d が実行されました。
アカウントは有効なパスワードを持っている可能性が高いです。
パスワードフィールドのデータが不明です。認識可能なハッシュパスワードや上記のエントリのどちらでもありません。有効なパスワードハッシュについては、crypt(3C) を参照してください。
このアカウントはまだ管理者によって有効化されていないため、使用できません。「セキュリティー」を参照してください。
既存のアカウントをロックおよびロック解除できるように、管理者に User Security プロファイルを付与する必要があります。このプロファイルには、新しく作成されたアカウントを有効化する機能、パスワードの有効期限オプションを設定する機能、およびパスワード属性を表示する機能も用意されています。次のリストには、さまざまな操作を実行するために必要な承認を示します。
承認されたユーザーのみが、次のオプションを使用できます。
name に対するパスワードを削除します。ログイン name に対するパスワードを入力するように要求することはありません。これは、files および ldap リポジトリにのみ適用できます。
login(1) オプション PASSREQ=YES が構成されている場合、アカウントにはログインできません。PASSREQ=YES はデフォルト設定です。
name のパスワードの期限を切ることによって、次のログインセッションで パスワードを強制的にユーザーに変更させます。このオプションは、非アクティブが原因でロックされたアカウントをロック解除する場合に便利です。
すでにロックされている場合を除き、name のアカウントをロックします。アカウントのロック解除については、–u オプションを参照してください。UNIX 以外の認証または遅延実行のみとしてマークされているアカウントはロック可能であり、ロック解除されると同じ状態に戻ります。
name に対するパスワードエントリを、UNIX 認証でのログインには使用できないが、そのアカウントをロックしない値にします。この値を削除する場合は –d オプションを、アカウントをロックする場合は –l を参照してください。
シャドウパスワードフィールドに配置する正確な文字列値を指定します。ユーザーは solaris.passwd.assign と solaris.passwd.nocheck の両方の承認を持っている必要があります。パスワードハッシュの更新をスクリプト化するために使用されます。コマンドの実行中に ps(1) コマンドを通してハッシュパスワードが見えるため、これを使用することは一般的に望ましくありません。
name の最小のフィールドを設定します。min フィールドには、name に対するパスワードを変更するために最低限必要な日数が設定されます。min が max より大きい場合は、ユーザーはパスワードを変更できません。このオプションは、必ず –x オプションとともに使用してください。ただし、max が –1 に設定されている場合は例外です (最低経過日数を設定する機能がオフ)。この場合は、min を設定する必要はありません。
エントリ name に対してロックされたパスワードをロック解除します。–u オプションは、失敗した試行回数のためにロックされたか、または –l オプションを使用して管理上ロックされたアカウントのロック解除に役立ちます。UNIX 以外の認証アカウントとしてマークされたアカウント (passwd –N) は、ロック解除されると、その状態に戻ります。
name の警告フィールドを設定します。warn フィールドには、パスワードの有効期限が切れる何日前に、期限切れが近いことを示す警告をユーザーが受けるか、その日数が設定されます。このオプションは、パスワードの有効期限が切れている場合は無効です。
name の最大のフィールドを設定します。max フィールドには、パスワードが name に対して有効である最大の日数が設定されます。max が –1 に設定された場合は、name の有効期限を設定する機能はただちにオフになります。
次のオペランドを指定できます。
ユーザーのログイン名。
LC_* 変数 (LC_CTYPE、LC_MESSAGES、LC_TIME、LC_COLLATE、LC_NUMERIC、および LC_MONETARY) (environ(7) を参照) のいずれも環境に設定されていなければ、それぞれ対応するロケールのカテゴリにおける passwd の動作は、環境変数 LANG によって決定されます。LC_ALL が設定されていれば、その内容が LANG 変数やその他の LC_* 変数より優先されます。前述の変数が環境にまったく設定されていなければ、C ロケール (米国スタイル) が passwd の動作を決定します。
passwd の文字の処理方法を決定します。LC_CTYPE に有効な値が設定されていると、passwd は、そのロケールにあった文字を含むテキストやファイル名を表示および処理できます。passwd は拡張 UNIX コード (EUC) も表示および処理できます。この場合、文字は 1 バイト幅、2 バイト幅、3 バイト幅のいずれも使用できます。また、passwd は 1、2、またはそれ以上のカラム幅の EUC 文字も処理することができます。C ロケール においては、ISO 8859-1の文字だけが有効です。
診断メッセージや情報メッセージの表示方法を決定します。また、メッセージの言語とスタイル、肯定・否定の応答形式も決定します。C ロケールでは、メッセージはプログラム自身が使用しているデフォルトの形 (通常、米語) で表示されます。
passwd は、処理終了時に次のいずれかの値を返します。
成功。
アクセス権が拒否されました。
オプションの組み合わせが無効です。
予期しない失敗。パスワードファイルは変更されませんでした。
予期しない失敗。パスワードファイルがありません。
パスワードファイルは使用中です。あとで再試行してください。
オプションに対する引数が無効です。
有効期限のオプションが無効です。
メモリーがありません。
システムエラー。
アカウントが期限切れです。
パスワード情報は変更されませんでした。
デフォルト値は /etc/default/passwd 中の次のフラグで設定することができます。例: MAXWEEKS=26
/etc/default/passwd ファイルは廃止されています。ただし、svc:/system/security/account-policy:default サービスを使用すれば、対応する SMF プロパティーを設定できます。
次の表に、/etc/default/passwd 内のプロパティーと SMF プロパティーとの対応関係の一覧を示します。
|
SMF プロパティーの管理については、 account-policy (8S) のマニュアルページを参照してください。
/etc/default/passwd ファイル内のプロパティーの説明を次に示します。
生成された辞書データベースが格納されるディレクトリ。デフォルトは /var/passwd。
DICTIONLIST と DICTIONDBDIR のどちらも指定しない場合、辞書チェックは実行されません。
コンマ区切りの辞書ファイルのリスト。たとえば、DICTIONLIST=file1、file2, file3。各辞書ファイルには複数の行が含まれ、各行は 1 つの単語と 1 つの NEWLINE 文字で構成されます。完全パス名を指定する必要があります。これらのファイルの単語は 1 つのデータベースにマージされ、パスワードが辞書の単語に基づいているかどうかを判断します。
スペルチェック辞書 (/usr/share/lib/dict/words など) を DICTIONLIST に指定できますが、最初に前処理を行う必要があります。簡単な方法については、次の「DICTIONMINWORDLENGTH」を参照してください。
DICTIONLIST と DICTIONDBDIR のどちらも指定しない場合、辞書チェックは実行されません。
辞書データベースを事前に構築するには、mkpwdict(8) を参照してください。
DICTIONMINWORDLENGTH には、DICTIONLIST 内のソースファイルの最小文字数を指定する数値を含めることができます。指定された文字数より短い単語はパスワード辞書から省略されます。
指定できる最小値は 2 (文字) です。デフォルト値は 3 (文字) です。
ユーザーごとに保存しておく旧パスワード履歴の最大数。HISTORY 値をゼロ (0) に設定するか、HISTORY フラグを削除した場合、任意のユーザーが次回パスワードを変更するときに、すべてのユーザーの旧パスワード履歴が破棄されます。デフォルトでは、HISTORY フラグを定義しません。最大値は 26 です。現在、この機能は、files ネームサービス (ローカルの passwd(5)/shadow(5)) に定義されたユーザーアカウントにのみ適用されます。
同じ文字を続けることができる最大数を定義します。MAXREPEATS を設定しないか、ゼロ (0) に設定した場合、デフォルトでは、このチェックは実行されません。
パスワードが有効な最大期間 (日数)。
パスワードが有効な最大期間 (週数)。
パスワードに必要な英字の最小数。MINALPHA を設定しない場合、デフォルトは 2 です。
古いパスワードと新しいパスワードで異なる必要がある文字の最小数。MINDIFF を設定しない場合、デフォルトは 3 です。
パスワードに必要な数字の最小数。MINDIGIT を設定しないか、ゼロ (0) に設定した場合、デフォルトでは、このチェックは実行されません。MINNONALPHA を指定した場合、MINDIGIT は指定できません。
パスワードに必要な英小文字の最小数。MINLOWER を設定しないか、ゼロ (0) に設定した場合、デフォルトでは、このチェックは実行されません。
パスワードに必要な英字以外の文字 (数字または特殊文字) の最小数。MINNONALPHA が設定されていない場合、デフォルトは 1 です。MINDIGIT または MINSPECIAL も指定されている場合は、MINNONALPHA を指定できません。
パスワード変更に最低限必要な期間 (日数)。
パスワード変更に最低限必要な期間 (週数)。
パスワードに必要な特殊文字 (英字と数字以外の文字) の最小数。MINSPECIAL を設定しないか、ゼロ (0) に指定した場合、デフォルトでは、このチェックは実行されません。MINNONALPHA を指定した場合、MINSPECIAL は指定できません。
パスワードに必要な英大文字の最小数。MINUPPER を設定しないか、ゼロ (0) に設定した場合、デフォルトでは、このチェックは実行されません。
ログイン名のチェックを有効または無効にします。デフォルトでは、ログイン名チェックは実行されます。NAMECHECK を no (大文字小文字の区別なし) に設定した場合、このチェックは実行されません。
パスワードに最低限必要な文字数
パスワードの有効期間が切れる前の警告期間 (日数)。
パスワードの有効期間が切れる前の警告期間 (週数)。
パスワード内でスペース文字を許可するかどうかを指定します。指定できる値は、YES と NO です。WHITESPACE が設定されていないか、または YES に設定されている場合、スペース文字は許可されます。
passwd および pwconv が実際のシャドウファイルを更新するときに使用する一時ファイル。
パスワードファイル。
シャドウパスワードファイル。
シェルデータベース。
属性についての詳細は、マニュアルページの attributes(7) を参照してください。
|
人間が読める形式の出力は「不確実」です。オプションは「確実」です。
at(1), batch(1), finger(1), login(1), crypt(3C), getpwnam(3C), getspnam(3C), getusershell(3C), pam(3PAM), loginlog(5), nsswitch.conf(5), pam.conf(5), passwd(5), policy.conf(5), shadow(5), shells(5), user_attr(5), attributes(7), crypt_unix(7), environ(7), pam_authtok_check(7), pam_authtok_get(7), pam_authtok_store(7), pam_dhkeys(7), pam_ldap(7), pam_unix_account(7), pam_unix_auth(7), pam_unix_session(7), cron(8), domainname(8), eeprom(8), id(8), ldapclient(8), mkpwdict(8), pwconv(8), su(8), useradd(8), userdel(8), usermod(8), account-policy (8S)
yppasswd コマンドは、passwd のラッパーです。yppasswd の使用は推奨されていません。passwd –r repository_name を使用することをお勧めします。
files および ldap リポジトリ内のパスワードを変更すると、失敗したログインのカウントがクリアされます。
パスワードを変更すると、非アクティブ期間の長さのために無効になったアカウントが再度有効になります。
入力端末処理は、キーシーケンスの一部を解釈し、その部分の情報を passwd コマンドに渡さない可能性があります。
パスワードを持っていないアカウント (ステータスコード NP) は、ログインできない可能性があります。login(1) PASSREQ オプションを参照してください。
さまざまなオプションを実行するために必要な承認:
-d Delete password solaris.passwd.assign
-N Set nologin solaris.passwd.assign
Change any passwd solaris.passwd.assign
Bypass complexity checks solaris.passwd.nocheck
-l Lock account solaris.account.setpolicy
-u Unlock account solaris.account.setpolicy
-n Set min field for name solaris.account.setpolicy
-w Set warn field for name solaris.account.setpolicy
-x Set max field for name solaris.account.setpolicy
-f Forces password expiration solaris.account.setpolicy
-s Display password attributes solaris.account.setpolicy
-a Display password attributes solaris.account.setpolicy
for all entries
-e Change login shell solaris.user.manage
-g Change gecos information solaris.user.manage
-h Change home directory solaris.user.manage
Set a newly created account's
passwd for the first time solaris.account.activate
crypt_unix(7) を除くすべてのパスワードハッシュアルゴリズムでは、パスワードの最大長は 255 です。
unlock_after ユーザー属性は、ログイン失敗回数の超過によってロックされたアカウントにのみ適用されます。