管理の手引き


ユーザー・アカウントの管理

この章では、ユーザーのセル内でユーザー・アカウントを作成し、保守する方法を説明します。

ユーザー・アカウントを作成する最適なメソッドは、 uss プログラムを使用することです。このプログラムは、単一コマンドで複数のアカウントを作成できます。uss コマンド組によるユーザー・アカウントの作成と削除 を参照してください。各アカウントのコンポーネントを個別に作成したい場合は、 AFS ユーザー・アカウントの作成の説明に従ってください。


手順の概要

この章では、指示されたコマンドを使って以下のタスクを実行する手順について説明します。
保護データベース項目の作成 pts createuser
認証データベース項目の作成 kas create
ボリュームの作成 vos create
ボリュームの取り付け fs mkmount
ACL 上に項目を作成 fs setacl
保護データベース項目の検査 pts examine
ディレクトリー所有権の変更 /etc/chown
認証の試みの失敗を制限 kas setfields-attempts および -locktime 併用
認証データベース項のロック解除 kas unlock
パスワードの存続時間の設定 kas setfields-pwexpires を併用
パスワード再利用の禁止 kas setfields-reuse を併用
AFS パスワードの変更 kas setpassword
ユーザー所有のグループのリスト作成 pts listowned
保護データベース項目の名前変更 pts rename
認証データベース項目の削除 kas delete
ボリュームの名前変更 vos rename
マウント・ポイントの取り外し fs rmmount
保護データベース項目の削除 pts delete
ボリューム・ロケーションのリスト作成 vos listvldb
ボリュームの取り外し vos remove


AFS ユーザー・アカウントのコンポーネント

AFS ファイル・システムと UNIX ファイル・システムは異なるので、完全な AFS ユーザー・アカウントは、UNIX ユーザー・アカウントと同じではありません。以下のリストでは、AFS ユーザー・アカウントのコンポーネントについて説明します。これと同じ情報がuss コマンド組によるユーザー・アカウントの作成と削除の対応する機能グループにもありますが、便利なようにここでも繰り返し説明します。


ローカル・パスワード・ファイル項目の作成

セルの AFS のファイル・スペースへの認証済みアクセスを入手するには、ユーザーは、有効な AFS トークンを持っているだけではなく、キャッシュ・マネージャーがユーザーを提示しているマシンのローカル・パスワード・ファイル (/etc/passwd または同等のファイル) に項目を持っていなければなりません。この機能グループでは、ユーザーの AFS UID と、ローカル・パスワード・ファイルにリストされる UNIX UID を一致させることが重要である理由、およびファイルのパスワード・フィールドに指定するのに適切な値について説明します。

uss 命令を使用する理由の 1 つは、このコマンドが、ローカル・パスワード・ファイル項目をアカウント作成の一部として自動的に生成できるからです。共通送信元パスワード・ファイルの作成 を参照してください。

これと同じ情報は、uss コマンド組によるユーザー・アカウントの作成と削除の対応する機能グループにもありますが、便利なようにここでも繰り返し説明します。

一致する AFS と UNIX UID の割り当て

AFS ユーザー ID 番号 (AFS UID) と UNIX UID が一致する場合、ユーザー・アカウントは管理と使用が最も容易です。AFS 文書内のすべての命令は、2 つの UID が一致することを前提としています。

AFS の UID と UNIX の UID を同じにする最も基本的な理由は、 UNIX ls -l および ls -ld コマンドによって報告される所有者名が、 AFS ファイルおよびディレクトリーに対して意味を持つようにするということです。標準 UNIX 実践に従って、ファイル・サーバーは、 AFS ファイルまたはディレクトリーの所有者フィールドのユーザー名ではなく、数字、すなわち所有者の AFS UID を記録します。 ls -l コマンドを発行すると、このコマンドは、 AFS 保護データベースではなくローカル・パスワード・ファイルのマッピングに従って、 UID をユーザー名に変換します。AFS の UID と UNIX の UID が一致しない場合、 ls -l コマンドは、予期せぬ (かつ正しくない) 所有者を報告します。ローカル・パスワード・ファイルが同じ UNIX UID を異なる名前にマップする場合は、異なるクライアント・マシン上では、出力が異なることがあります。

以下のようなさまざまなタイプのユーザーのアカウントを作成しているときには、指示された機能グループでの勧めに従って、AFS および UNIX UID を一致させてください。

ローカル・パスワード・ファイルにパスワードを指定

AFS 仕様に変更されたログイン・ユーティリティーのインストールと構成を行う場合は、 AFS による認証が最も簡単です。AFS は、ユーザーをローカル・ファイル・システムに記録することと、 AFS トークンを入手することを 1 つのステップで行います。この場合、ローカル・パスワード・ファイルは、もはや、ほとんどの状況下で、ユーザーのログインする能力を制御しません。なぜなら、 AFS 仕様に変更されたログイン・ユーティリティーは、ユーザーが正しい AFS パスワードを提示したかどうかについて、ローカル・パスワード・ファイルを調べないからです。しかし、それでも、パスワード・ファイル項目内のパスワード・フィールド (通常、 2 番目のフィールド) を以下の方法で使用して、ログインと認証を制御できます。

AFS 仕様に変更したログイン・ユーティリティーを使用しない場合、標準の UNIX パスワードを、ユーザーが使用するすべてのクライアント・マシンのローカル・パスワード・ファイルに入れなければなりません。ユーザーは、ローカル・ファイル・システムだけにログインし、次に、 klog コマンドを発行して AFS と認証しなければなりません。ローカル・パスワード・ファイルと認証・データベースのパスワードが同じであれば、最も単純ですが、これは必須ではありません。


既存の UNIX アカウントの変換

この機能グループでは、ユーザーのセルが既存の UNIX アカウントを持っていて、ユーザーがそのアカウントを AFS アカウントに変換したい場合に検討しなければならない 3 つの主要な問題について説明します。

UNIX と AFS UID を一致させる

前述のように、AFS ユーザーは、自分が承認済みユーザーとして AFS ファイル・スペースにアクセスするすべてのクライアント・マシン上のローカル・パスワード・ファイル内に項目を持っていなければなりません。UNIX UID と AFS UID が一致する場合は、管理と使用が両方とも、より単純になります。既存の UNIX アカウントを変換するとき、以下の 2 つの代替があります。

パスワード・フィールドを適切に設定する

既存の UNIX アカウントは、すでに、パスワード・フィールド内の (スクランブル) パスワードと共に、項目をローカル・パスワード・ファイル内に持っています。ログイン・ユーティリティーのタイプによっては、以下のようにパスワード・フィールド内の値の変更が必要になる場合があります。

ローカル・ファイルを AFS に移動する

既存の UNIX アカウントは、おそらく、マシンのローカル・ファイル・システムに保管されたファイルとディレクトリーを所有しており、これらは、新しいホーム・ボリュームに転送すると意味をなします。最も容易なメソッドは、それらを、AFS クライアント・マシンのローカル・ディスク上に移動することであり、その後、UNIX mv コマンドを使用して、それらをユーザーの新規 AFS ホーム・ディレクトリーに転送します。

ファイルとディレクトリーを AFS に移動する際、それらのモード・ビットの意味が変更することに留意してください。 AFS では、モード・ビットの 2 番目と 3 番目のセット (グループおよびその他) を無視し、最初のセット (所有者ビット) は直接使用しません。ただし、ACL 上の項目と一緒の場合にのみ使用します (詳細は、AFS が UNIX モード・ビットを解釈する方法 を参照してください)。 ACL がファイルまたはディレクトリーを少なくともモード・ビットと同じくらい安全に保護することを確認してください。

ユーザーの UNIX UID を変更して、新規 AFS UID に一致させることを選択した場合は、 UNIX ファイルとディレクトリーの所有権も変更しなければなりません。AFS に常駐している system:administrators グループのメンバーだけが、 chown コマンドをファイルおよびディレクトリー上で発行することができます。


AFS ユーザー・アカウントの作成

ユーザー・アカウントの作成には 2 つのメソッドがあります。最適なメソッドは、uss コマンドを使用するメソッドで、単一コマンドで複数のアカウントを作成できます。このメソッドでは、テンプレートを使用して、各ユーザーに対して同一のアカウント・コンポーネント (割り当て量など) の標準値を定義しますが、可変コンポーネント (ユーザー名など) に対しては異なる値を提供します。 uss コマンド組によるユーザー・アカウントの作成と削除 を参照してください。

2 番目のメソッドでは、個別のコマンドを発行してアカウントごとにコンポーネントを作成します。 1 度に 1 つのアカウントを作成する場合に最適な方法です。一部のコマンドは関連するコンポーネントの 1 つのインスタンスしか作成できないからです。各コンポーネントの機能を確認するには、AFS ユーザー・アカウントのコンポーネント を参照してください。

以下の命令を使用して、機能のレベルが異なる 3 つのタイプのユーザー・アカウントのいずれかを作成します。タイプについては、AFS ユーザー・アカウントの作成 を参照してください。

個別のコマンドを使用して単一ユーザー・アカウントを作成する

  1. 以下の各アカウント・コンポーネントに割り当てる値について決めます。認証のみのアカウントを作成する場合は、ユーザー名、AFS UID および初期パスワードだけを選出します。
  2. 以下の特権のすべてを持つ AFS ID として認証します。標準構成では、admin ユーザー・アカウントがこれらすべての特権を持っています。または、またはユーザーが個人的な管理アカウントを持っている可能性があります (セルのセキュリティーを向上させるには、管理手順を実行するときだけ、特別な特権アカウントを作成して使用するとよいでしょう。詳細は、 管理権限の概要 を参照してください。) 必要な場合、認証するために klog コマンドを発行します。

       % klog admin_user
       Password: admin_password
    

    次のリストは、必要な特権を指定し、それらの特権を所有しているかどうかを検査する方法を示しています。

  3. pts createuser コマンドを発行して、保護データベースに項目を作成します。AFS UID の設定については、一致する AFS と UNIX UID の割り当て を参照してください。既存の UNIX アカウントを AFS アカウントに変換する場合は、既存の UNIX アカウントの変換 も参照してください。

       % pts createuser <user name> [<user id>]
    

    ここで、

    cu
    は、createuser の受け入れ可能な別名です (createu は受け入れ可能な最も短い省略形です)。

    user name
    ユーザーのユーザー名 (ログイン時に入力する文字列) を指定します。ユーザー名は、8 文字以下の英小文字に限定することをお勧めします。多くのアプリケーション・プログラムが同様の制限を課しているからです。AFS サーバー自体は、最大 63 文字までの名前を受け入れます。また、以下の文字の使用を避けます。コロン (:)、セミコロン (;)、コンマ (,)、単価記号 (@)、スペース、改行、およびピリオド (.)。これは、一般に特殊な管理用の名前に使用します。

    user id
    オプションで、ユーザーが AFS UID に一致させる必要のある UNIX UID をすでに所有している場合のみ選択できます。この引き数が提供されない場合、保護サーバーが AFS UID および GID カウンターの表示および設定 で説明するカウンターに基づいて自動的に割り当てます。指定される ID が 1 以下の場合またはすでに使用されていると、エラーが発生します。
  4. kas create コマンドを発行して、認証データベースに項目を作成します。ユーザーの一時的な初期パスワードが画面にエコーされて表示されるのを防ぐには、 -initial_password 引き数を省略します。代わりに、以下の構文仕様に示すように、引き数を省略する際にプロンプトが表示されたとき、パスワードを入力します。

    認証サーバーは、既存の AFS トークンを受け入れるのではなく、独自の認証を実行します。デフォルトでは、認証サーバーは、管理者のローカル (UNIX) 識別を認証します。この識別は AFS 特権管理者に対応しません。 -admin 引き数を組み込み、認証データベース項目に ADMIN フラグを持つ識別を指定します。項目にフラグがあることを確認するには、ADMIN フラグがオンになっていることを確認するで説明するように、kas examine コマンドを発行します。

       % kas create <name of user> \
                    -admin  <admin principal to use for authentication>
       Administrator's (admin_user) password: admin_password
       initial_password: initial_password
       Verifying, please re-enter initial_password: initial_password
    

    ここで、

    cr
    は、create の受け入れ可能な省略形です。

    name of user
    3 のステップで指定したのと同じユーザー名を指定します。

    -admin
    認証データベース項目に ADMIN フラグを持つ管理アカウントを指定します (admin など)。password プロンプトはアカウントを admin_user として表示します。適切なパスワードを、admin_password として入力します。

    initial_password
    一部のアプリケーションで強制される長さ制限に対応するように、 8 文字以下の文字列を与えます。初期パスワードの選択で、考えられる候補には、ユーザー名、社会保障番号などの個人識別番号からの数字の文字列、または changeme などの標準文字列が含まれます。ユーザーに指示して、AFS 使用者の手引き に説明されるように kpasswd コマンドを使用して、できるだけ早くこの文字列を本当の秘密のパスワードに変更させます。
  5. vos create コマンドを発行し、ユーザーのボリュームを作成します。

       % vos create <machine name> <partition name> <volume name>  \
                    [-maxquota <initial quota (KB)>]
    

    ここで、

    cr
    create の受け入れ可能な最も短い省略形です。

    machine name
    新規ボリュームを配置するファイル・サーバー・マシンを指定します。

    partition name
    新規ボリュームを配置するパーティションを指定します。

    volume name
    新規ボリュームに名前を付けます。名前には、最大 22 文字までを組み込むことができます。規則では、ユーザー・ボリューム名は user.username という形式になります。この username は、3 のステップで割り当てられた名前です。

    -maxquota
    ボリュームの割り当て量を K バイト・ブロックの数として設定します。この引き数を省略すると、デフォルトで 5000 K バイト・ブロックに設定されます。
  6. fs mkmount コマンドを発行して、ボリュームをファイル・スペースに取り付け、ユーザーのホーム・ディレクトリーを作成します。

       % fs mkmount <directory> <volume name>
    

    ここで、

    mk
    は、mkmount の受け入れ可能な省略形です。

    directory
    作成するマウント・ポイントを指定します。既存のディレクトリーと同じ名前のディレクトリーを作成しないでください。パス名の一部は、現行作業ディレクトリーとの関連で解釈されます。規則では、ユーザー・ホーム・ディレクトリーは、 /afs/.cellname/usr に似た名前のディレクトリーの下に作成され、ホーム・ディレクトリー名は、 3 のステップで割り当てたユーザー名と同じになります。

    マウント・ポイントに読み取り / 書き込みパスを指定して、読み取り専用ボリューム内に新しいマウント・ポイントを作成しようとしたときに障害が発生するのを防ぎます。規則では、パス名の第 2 レベルのセル名の前にピリオドを付けて、読み取り / 書き込みパスを指定します (たとえば、 /afs/.abc.com)。ファイル・スペースの読み取り / 書き込みパス、および読み取り専用パスの概念についての詳細は、 マウント・ポイント横断の規則 を参照してください。

    volume name
    5 のステップで作成したボリュームの名前です。
  7. (オプション)fs setvol コマンドを、-offlinemsg 引き数を併用して発行し、ボリューム・ヘッダー内のボリュームに関する補助情報を記録します。たとえば、ボリュームの所有者またはファイル・スペース内の取り付け場所を記録することができます。この情報を表示するには、fs examine コマンドを使用します。

       % fs setvol <dir/file path> -offlinemsg <offline message>
    

    ここで、

    sv
    は、setvol の受け入れ可能な別名です (setv は受け入れ可能な最も短い省略形です)。

    dir/file path
    メッセージに関連するボリュームのマウント・ポイントを指定します。パス名の一部は、現行作業ディレクトリーとの関連で解釈されます。

    マウント・ポイントへの読み取り / 書き込みパスを指定し、読み取りボリュームの変更時に生じる障害を回避してください。通例、読み取り / 書き込みパスを指定するには、パス名の第 2 レベルのセル名の前にピリオドを挿入します (たとえば /afs/.abc.com)。ファイル・スペースにおける読み取り / 書き込みおよび読み取り専用パスの概念の詳細は、マウント・ポイント横断の規則 を参照してください。

    -offlinemsg
    ボリューム・ヘッダーに記録する補助情報を、最大 128 文字まで指定します。
  8. fs setacl コマンドを発行して、新しいホーム・ディレクトリーに ACL を設定します。少なくとも、示されているように、ユーザーにすべてのアクセス権を許可する項目を作成します。

    また、コマンドを使用して、 vos create コマンドが新規ボリュームのルート・ディレクトリーの ACL に自動的に配置する項目を、編集または削除することができます。この項目は、system:administrators グループにすべてのアクセス権を許可します。項目を削除する場合は、デフォルトにより、グループのメンバーは、すべての ACL において暗黙的な a (管理) および l (ルックアップ) アクセス権を持ち、必要に応じて、ユーザーに他のアクセス権を与えることができることに留意してください。

    fs setacl コマンドについての詳細な説明は、ACL 項目の設定 を参照してください。

       % fs setacl <directory> -acl <user name> all \
                   [system:administrators desired_permissions]
    
  9. (オプション)。新規ホーム・ディレクトリーに構成ファイルおよびサブディレクトリーを作成します。組み込み可能なものには、.login および .logout ファイル、.cshrc などのシェル初期設定ファイル、印刷やメール送信を助けるファイルなどがあります。

    既存の UNIX アカウントを AFS アカウントに変換する場合、ユーザーの新規ホーム・ディレクトリーに一部のファイルやディレクトリーを移動できます。既存の UNIX アカウントの変換 を参照してください。

  10. (オプション)。新規 .login ファイルまたはシェル初期設定ファイルで、ユーザーの $PATH 環境変数を定義し、AFS バイナリーが保持されているディレクトリー (たとえば、/usr/afsws/bin および /usr/afsws/etc) を組み込みます。
  11. 12 のステップおよび 14 のステップでは、ユーザーの AFS UID を認識している必要があります。3 のステップで、保護サーバーが AFS UID を割り当てていると、おそらくそれを認識していないかもしれません。必要に応じて、pts examine コマンドを発行して、AFS UID を表示します。

       % pts examine <user or group name or id>
    

    ここで、

    e
    examine の最も短い受け入れ可能な省略形です。

    user or group name or id
    3 のステップで割り当てたユーザー名です。

    出力の最初の行には、ユーザー名および AFS UID が表示されます。詳細および出力の例については、保護データベースからの情報の表示 を参照してください。

  12. ユーザーを、ホーム・ディレクトリーおよび、9 のステップで作成または移動した任意のファイルおよびサブディレクトリーの所有者に指定します。ユーザー名ではなく、11 のステップで説明した AFS UID で所有者を指定します。新しいアカウントの場合、ローカル・マシンのパスワード・ファイル (/etc/passwd またはそれに相当するもの) にはまだそのユーザーの項目がないため、 AFS UID で指定する必要があります。既存の UNIX アカウントを変換する場合、項目はあっても、その中の UID が正しくない可能性があります。そのような場合にユーザー名を指定すると、対応する (間違っている可能性のある) UID が所有者として記録されます。

    一部のオペレーティング・システムでは、ローカルのスーパーユーザーroot だけに、chown コマンドの発行を許可します。必要な場合は、chown コマンドを発行する前に、su コマンドを発行します。

       % chown new_owner_ID  directory
    

    ここで、

    new_owner_ID
    ユーザーの AFS UID です。11 のステップで確認済みです。

    directory
    6 のステップで作成したホーム・ディレクトリーと 9 のステップで作成した各サブディレクトリーまたはファイルです。
  13. 新規のユーザー・ホーム・ディレクトリーが複写されたボリューム内に常駐している場合は、 読み取り / 書き込みボリュームの複写 (読み取り専用ボリュームの作成) で説明しているように、 vos release コマンドを使用してそのボリュームを解放します。

       % vos release <volume name or ID>
    
    

    注:このステップは、ホーム・ディレクトリーの親ディレクトリーが、複写されたボリュームのマウント・ポイントではなくても、必要な場合があります (また、そのようなケースでは、このステップを実行した方が監視が容易です)。たとえば、ABC Corporation が、 /afs/abc.com/usr ディレクトリー内のユーザー・ボリュームにマウント・ポイントを置くとしましょう。このディレクトリーは、マウント・ポイントというよりは通常のディレクトリーですので、 /afs/abc.com ディレクトリーに取り付けられた root.cell ボリューム内に常駐します。このボリュームは複写ですので、新規のマウント・ポイントの作成によって変更されたら、管理者は、 vos release コマンドを発行する必要があります。

  14. ユーザーがログインできる各マシンのローカル・パスワード・ファイル (/etc/passwd またはそれに相当するもの) にある新規ユーザー用の項目を作成または変更します。 UNIX UID を 11 のステップで確認した AFS UID と同じにし、パスワード・フィールドを適切に埋めます (ローカル・パスワード・ファイルにパスワードを指定 を参照してください)。

    パッケージ・ユーティリティーを使用して、パスワード・ファイルの共通バージョンをすべてのクライアント・マシンに配布する場合、共通バージョンだけを変更する必要があります。パッケージ・プログラムを使用したクライアント・マシンの構成を参照してください。


パスワードおよび認証セキュリティーの改善

AFS では、非認証アクセスに対してセルのファイル・スペースを保護するための助けとなる、いくつかのオプション機能を提供します。以下のリストでは、それらの機能について要約します。

ログイン試行の連続失敗数を制限する

  1. kas setfields コマンドを、-attempts および -locktime 引き数と共に発行します。

    認証サーバーは、既存の AFS トークンを受け入れるのではなく、独自の認証を実行します。デフォルトでは、認証サーバーは、管理者のローカル (UNIX) 識別を認証します。この識別は AFS 特権管理者に対応しません。 -admin 引き数を組み込み、認証データベース項目に ADMIN フラグを持つ識別を指定します。項目にフラグがあることを確認するには、ADMIN フラグがオンになっていることを確認するで説明するように、kas examine コマンドを発行します。

       % kas setfields <name of user> \
                       -admin <admin principal to use for authentication>  \
                       -attempts <maximum successive failed login tries ([0..254])>  \
                       -locktime <failure penalty [hh:mm or minutes]>
        Administrator's (admin_user) password: admin_password
    

    ここで、

    name of user
    編集する認証データベース項目を指定します。

    -admin
    認証データベース項目に ADMIN フラグを持つ管理アカウントを指定します (admin アカウントなど)。password プロンプトはアカウントを admin_user として表示します。適切なパスワードを、admin_password として入力します。

    -attempts
    認証プロセス中 (klog コマンドまたは AFS 仕様に変更されたログイン・ユーティリティーなどを介して)、-locktime引き数によって指定された時間範囲に対し、それ以上の試行を認証サーバーが拒否する前に、各ユーザー・アカウントが正しいパスワードの入力を連続して失敗することが許される最大回数を指定します。有効な値の範囲は、0 (ゼロ) から 254 までです。この引き数を省略するかまたは 0 を指定した場合、認証サーバーは無制限の試行を許可します。

    -locktime
    -attempts 引き数により指定した失敗の制限回数をユーザーが超過した後、そのユーザーからの認証試行を認証サーバーがどれほど長く拒絶するかということを指定します。

    時間と分の (hh:mm) または分だけ (mm) の時間数を、 01 (1 分) から 36:00 (36 時間) の範囲から指定します。kas コマンド・インタープリターは、自動的に、36:00 よりも大きいすべての値を 36:00 に削減し、また、非ゼロ値を 8.5 分の倍数で次に高い最初の値にそれぞれ切り上げます。

    値の 0 (ゼロ) は、無限のロックアウト時間を設定するので、管理者のアカウントに指定しない方がよいでしょう。管理者は、このようなアカウントをロック解除するために、常にkas コマンドを発行しなければなりません。

ロックされたユーザー・アカウントのロックを解除する

  1. kas コマンドを発行して対話モードに入ります。

    認証サーバーは、既存の AFS トークンを受け入れるのではなく、独自の認証を実行します。デフォルトでは、認証サーバーは、管理者のローカル (UNIX) 識別を認証します。この識別は AFS 特権管理者に対応しません。 -admin 引き数を組み込み、認証データベース項目に ADMIN フラグを持つ識別を指定します。項目にフラグがあることを確認するには、ADMIN フラグがオンになっていることを確認するで説明するように、kas examine コマンドを発行します。

       % kas -admin <admin principal to use for authentication>
        Administrator's (admin_user) password: admin_password
       ka>
    

    -admin は、認証データベース項目に ADMIN フラグを持つ管理アカウントを指定します (admin など)。password プロンプトはアカウントを admin_user として表示します。適切なパスワードを、admin_password として入力します。

  2. (kas) examine を発行して、次のメッセージに示されるように、ユーザーのアカウントが実際にロックされていることを確認します。
       ka> examine <name of user>
       User is locked until time
    
  3. (kas) unlock コマンドを発行して、アカウントのロックを解除します。

       ka> unlock <authentication ID>
    

    ここで、

    u
    は、unlock の受け入れ可能な省略形です。

    authentication ID
    ロックが解除される認証データベース項目を指定します。

パスワードの存続時間を設定する

  1. kas setfields コマンドを -pwexpires 引き数と共に発行します。

    認証サーバーは、既存の AFS トークンを受け入れるのではなく、独自の認証を実行します。デフォルトでは、認証サーバーは、管理者のローカル (UNIX) 識別を認証します。この識別は AFS 特権管理者に対応しません。 -admin 引き数を組み込み、認証データベース項目に ADMIN フラグを持つ識別を指定します。項目にフラグがあることを確認するには、ADMIN フラグがオンになっていることを確認するで説明するように、kas examine コマンドを発行します。

       % kas setfields <name of user> \
                       -pwexpires <number days password is valid  [0..254])>  \
                       -admin <admin principal to use for authentication>
        Administrator's (admin_user) password: admin_password
    

    ここで、

    name of user
    パスワード有効期限を課す認証データベース項目を指定します。

    -pwexpires
    ユーザーのパスワードが変更された後、それが有効であり続ける日数を設定します。 1 から 254 の範囲から整数を与えて、有効期限までの日数を指定します。

    パスワードが無効になる (有効期限切れになる) と、ユーザーは、認証できなくなりますが、その後 30 日間は、 kpasswd コマンドまたは kas setpassword コマンドを発行してパスワードを変更できます (それ以降は、パスワードを変更できるのは、管理者だけです)。時計は、kas setfields コマンドを発行したときではなく、パスワードを最後に変更したときに開始することに注意してください。そ及的な期限切れを避けるために、ユーザーは、コマンドを発行する直前にパスワードを変更するようにします。

    -admin
    認証データベース項目に ADMIN フラグを持つ管理アカウントを指定します (admin など)。password プロンプトはアカウントを admin_user として表示します。適切なパスワードを、admin_password として入力します。

パスワードの再利用を禁止する

  1. kas setfields コマンドを -reuse引き数と共に発行します。

    認証サーバーは、既存の AFS トークンを受け入れるのではなく、独自の認証を実行します。デフォルトでは、認証サーバーは、管理者のローカル (UNIX) 識別を認証します。この識別は AFS 特権管理者に対応しません。 -admin 引き数を組み込み、認証データベース項目に ADMIN フラグを持つ識別を指定します。項目にフラグがあることを確認するには、ADMIN フラグがオンになっていることを確認するで説明するように、kas examine コマンドを発行します。

       % kas setfields <name of user> -reuse < permit password reuse (yes/no)>  \
                       -admin <admin principal to use for authentication>
        Administrator's (admin_user) password: admin_password
    

    ここで、

    name of user
    パスワード再利用ポリシーを設定する認証データベース項目を指定します。

    -reuse
    認証サーバーが、最後の 20 のパスワードに類似するパスワードの再利用を許可するかどうかを指定します。再利用を禁止する場合は、値をいいえに、またはパスワードの再利用を許可するデフォルトを復権させる場合は、値をはいに指定します。

    -admin
    認証データベース項目に ADMIN フラグを持つ管理アカウントを指定します (admin など)。password プロンプトはアカウントを admin_user として表示します。適切なパスワードを、admin_password として入力します。

AFS パスワードの変更

アカウントの作成時に初期パスワードを設定した後は、通常ユーザー・パスワードの変更は不要です。AFS 使用者の手引き の説明に従うことにより、ユーザーが kpasswd コマンドを使用して各自で変更できるからです。まれに、ユーザーがパスワードを忘れた場合またはそれ以外でログインできない場合、 kas setpassword コマンドを使用して、新規パスワードを設定することができます。

ローカル・パスワード・ファイル (/etc/passwd、またはそれに相当するもの) 内の項目が、パスワード・フィールド内に、順序を変えた実パスワードを持っている場合は、そのパスワードも変更することを忘れないでください。詳しくは、ローカル・パスワード・ファイルにパスワードを指定 を参照してください。

AFS パスワードを変更する

  1. パスワードを変更するには、kas setpassword コマンドを発行します。ユーザーの新規パスワードが画面にエコーされて表示されるのを防ぐには、 -new_password 引き数を省略します。その代わりに、引き数を省略する際に表示されるプロンプトに対して、次のようにパスワードを入力します。

    認証サーバーは、既存の AFS トークンを受け入れるのではなく、独自の認証を実行します。デフォルトでは、認証サーバーは、管理者のローカル (UNIX) 識別を認証します。この識別は AFS 特権管理者に対応しません。 -admin 引き数を組み込み、認証データベース項目に ADMIN フラグを持つ識別を指定します。項目にフラグがあることを確認するには、ADMIN フラグがオンになっていることを確認するで説明するように、kas examine コマンドを発行します。

       % kas setpassword <name of user> \
                         -admin <admin principal to use for authentication>
       Administrator's (admin_user) password: admin_password
       new_password: new_password
       Verifying, please re-enter new_password: new_password
    

    ここで、

    sp
    setpassword の受け入れ可能な別名です (setp は受け入れ可能な最も短い省略形です)。

    name of user
    パスワードを設定する認証データベース項目を指定します。

    -admin
    認証データベース項目に ADMIN フラグを持つ管理アカウントを指定します (admin など)。password プロンプトはアカウントを admin_user として表示します。適切なパスワードを、admin_password として入力します。

    new_password
    ユーザーの新規パスワードを指定します。kpwvalid プログラムを使用する場合は、プログラムにより課される制限に従います。

ユーザー・ボリュームに対する割り当て量の表示および設定

ユーザー・ボリュームは、割り当て量に関しては、他のすべてのボリュームと似ています。vos create コマンドに -maxquota 引き数を使用して、異なる割り当て量を割り当てない限り、新規 AFSボリュームには、5000 KB のデフォルト割り当て量があります。また、以下のコマンドのいずれかを使用して、いつでも割り当て量を変更することができます。

次の 3 つのコマンドのいずれかを使用して、ボリュームの割り当てを表示することができます。

説明については、ボリューム割り当て量および現行サイズの設定および表示を参照してください。


ユーザー名の変更

規則では、アカウントのコンポーネントの多くには、ユーザー名、保護および認証データベース項目、ボリューム名、ホーム・ディレクトリー名などが組み込まれています。ユーザー名を変更する場合には、整合性を維持するためにすべてのコンポーネントの名前を変更するのが最適の方法です。したがって、ユーザー名を変更する手順には、新規ユーザー・アカウントを作成する手順とほとんど同じくらい多くのステップがあります。

ユーザー名を変更する

  1. 以下の特権のすべてを持つ AFS ID として認証します。標準構成では、admin ユーザー・アカウントがこれらすべての特権を持っています。または、またはユーザーが個人的な管理アカウントを持っている可能性があります (セルのセキュリティーを向上させるには、管理手順を実行するときだけ、特別な特権アカウントを作成して使用するとよいでしょう。詳細は、 管理権限の概要 を参照してください)。必要な場合、認証するために klog コマンドを発行します。

       % klog admin_user
       Password: admin_password
    

    次のリストは、必要な特権を指定し、それらの特権を所有しているかどうかを検査する方法を示しています。

  2. pts listowned を発行して、ユーザーが所有する任意のグループを表示する。 3 のステップで保護データベースのユーザー名を変更した後、 pts rename コマンドを発行して、各グループの所有者の接頭部を新しい名前に合わせて変更する必要があります。これは、保護サーバーが名前の変更を自動的に行わないためです。pts listowned コマンドの詳細な説明については、保護データベースからの情報の表示を参照してください。

       % pts listowned <user or group name or id>
    
  3. pts rename コマンドを発行して、保護データベースのユーザー名を変更します。

       % pts rename <old name> <new name>
    
  4. pts rename コマンドを発行して、2 のステップでメモしたグループ名を変更し、グループの所有者の接頭部 (コロンの前のグループ名の一部) が所有者の新しい名前を正確に反映するようにします。

    各グループごとにコマンドを繰り返します。その構文についての説明は、 3 のステップにあります。

       % pts rename <old name> <new name>
    
  5. kas コマンドを発行して対話モードに入ります。

    認証サーバーは、既存の AFS トークンを受け入れるのではなく、独自の認証を実行します。デフォルトでは、認証サーバーは、管理者のローカル (UNIX) 識別を認証します。この識別は AFS 特権管理者に対応しません。 -admin 引き数を組み込み、認証データベース項目に ADMIN フラグを持つ識別を指定します。項目にフラグがあることを確認するには、ADMIN フラグがオンになっていることを確認するで説明するように、kas examine コマンドを発行します。

       % kas -admin <admin principal to use for authentication>
       Administrator's (admin_user) password: admin_password
       ka>
    

    -admin は、認証データベース項目に ADMIN フラグを持つ管理アカウントを指定します (admin など)。password プロンプトはアカウントを admin_user として表示します。適切なパスワードを、admin_password として入力します。

  6. (kas) delete コマンドを発行して、ユーザーの既存の認証データベース項目を削除します。

       ka> delete <name of user>
    

    ここで、

    del
    delete の受け入れ可能な省略形です。または別名 rm を使用することもできます。

    name of user
    削除する認証データベース項目を指定します。
  7. (kas) create コマンドを発行して、新規ユーザー名の認証データベース項目を作成します。ユーザーの新規パスワードが画面に表示されるのを防ぐには、-initial_password 引き数を組み込まないでください。代わりに、以下の構文仕様に示すように、プロンプトが表示されたときにパスワードを入力します。

       ka> create  <name of user>
       initial_password: password
       Verifying, please re-enter initial_password: password
    

    ここで、

    cr
    は、create の受け入れ可能な省略形です。

    name of user
    新規ユーザー名を指定します。

    password
    新規ユーザー・アカウントのパスワードを指定します。ユーザーが現行パスワードをユーザーに通知する場合は、それを保存することができます。通知しない場合は、いくつかアプリケーションで課される長さの制限に準拠するように、8 文字以下の文字列を与えます。初期パスワードには、ユーザー名、社会保障番号などの個人 ID 番号からの数字の文字列、または changeme などの標準文字列を使用することができます。しかし、AFS 使用者の手引き に説明されるように kpasswd コマンドを使用して、できるだけ早くこの文字列を本当の秘密のパスワードに変更させるようにユーザーに指示して下さい。
  8. quit コマンドを発行して、対話モードを終了します。

       ka> quit
    
  9. vos rename コマンドを発行して、ユーザーのボリュームの名前を変更します。完全な構文については、ボリュームの名前変更 を参照してください。

       % vos rename  <old volume name>  <new volume name>
    
  10. fs rmmount コマンドを発行して、既存のマウント・ポイントを削除します。directory 引き数の場合、マウント・ポイントに読み取り / 書き込みパスを指定して、読み取り専用ボリューム内からマウント・ポイントを削除しようとするときに障害が発生するのを防ぎます。
       % fs rmmount <directory>
    
  11. fs mkmount コマンドを発行して、ボリュームの新規名に対するマウント・ポイントを作成します。前のステップに従って、directory 引き数のマウント・ポイントに対して、読み取り / 書き込みパスを指定します。完全な構文については、個別のコマンドを使用して単一ユーザー・アカウントを作成する 内の 6 のステップを参照してください。
       % fs mkmount <directory> <volume name>
    
  12. 10 のステップと 11 のステップで行われた変更が、複写されたボリューム内に常駐しているマウント・ポイントに対する変更の場合は、 読み取り / 書き込みボリュームの複写 (読み取り専用ボリュームの作成) で説明しているように、 vos release コマンドを使用してそのボリュームを解放します。
       % vos release <volume name or ID>
    
    

    注:このステップは、ホーム・ディレクトリーの親ディレクトリーが、複写されたボリュームのマウント・ポイントではなくても、必要な場合があります (また、そのようなケースでは、このステップを実行した方が監視が容易です)。たとえば、ABC Corporation テンプレートは、 /afs/abc.com/usr ディレクトリー内のユーザー・ボリュームにマウント・ポイントを置きます。このディレクトリーは、マウント・ポイントというよりは通常のディレクトリーですので、 /afs/abc.com ディレクトリーに取り付けられた root.cell ボリューム内に常駐します。このボリュームは複写ですので、変更されたら、管理者は vos release コマンドを発行する必要があります。


ユーザー・アカウントの削除

アカウントを削除する前に、テープなどの永久媒体上にユーザーのホーム・ボリュームのバックアップ・コピーを作成するのが最適の方法です。複数のアカウントを削除する必要がある場合は、おそらく、 uss delete コマンドを代わりに使用する方がより効率的です。uss delete コマンドによる個別アカウントの削除 を参照してください。

ユーザー・アカウントを削除する

  1. 以下の特権のすべてを持つ AFS ID として認証します。標準構成では、admin ユーザー・アカウントがこれらすべての特権を持っています。または、またはユーザーが個人的な管理アカウントを持っている可能性があります (セルのセキュリティーを向上させるには、管理手順を実行するときだけ、特別な特権アカウントを作成して使用するとよいでしょう。詳細は、 管理権限の概要 を参照してください)。必要な場合、認証するために klog コマンドを発行します。

       % klog admin_user
       Password: admin_password
    

    次のリストは、必要な特権を指定し、それらの特権を所有しているかどうかを検査する方法を示しています。

  2. (オプション)。ユーザーのアカウントの復元を将来必要とする可能性がある場合は、ユーザー名と AFS UID を、できればその目的専用に指定したファイルにメモしておきます。将来、そのアカウントを、元の AFS UID に復元することができます。 AFS UID.
  3. (オプション)。ユーザーのボリューム内容をテープに保管します。 ボリュームのダンプおよび復元 で説明されている vos dump コマンドか、 データのバックアップ で説明されている AFS バックアップ・システムを使用することができます。
  4. (オプション)。ユーザーの項目を削除した後で、ユーザーが所有するグループを保護データベースから削除したい場合は、 pts listowned コマンドを発行して、それらのグループを表示します。詳しい手順については、 保護データベースからの情報の表示を参照してください。

       % pts listowned <user or group name or id>
    
  5. (オプション)pts delete コマンドを発行して、ユーザーが所有するグループを削除します。ただし、ほかのユーザーが、所有するディレクトリーの ACL 上にそのグループを配置することを予定している場合、そのグループを削除しない方がよいでしょう。

       % pts delete <user or group name or id>+
    

    ここで、

    del
    は、delete の受け入れ可能な省略形です。

    user or group name or id
    4 のステップからの出力に表示される各グループの名前または AFS UID を指定します。
  6. kas delete コマンドを発行して、ユーザーの認証データベース項目を削除します。

    認証サーバーは、既存の AFS トークンを受け入れるのではなく、独自の認証を実行します。デフォルトでは、認証サーバーは、管理者のローカル (UNIX) 識別を認証します。この識別は AFS 特権管理者に対応しません。 -admin 引き数を組み込み、認証データベース項目に ADMIN フラグを持つ識別を指定します。項目にフラグがあることを確認するには、 ADMIN フラグがオンになっていることを確認するで説明するように、kas examine コマンドを発行します。

       % kas delete <name of user> \
                    -admin  <admin principal to use for authentication>
       Administrator's (admin_user) password: admin_password
    

    ここで、

    d
    は、delete の受け入れ可能な省略形です。

    name of user
    削除する認証データベース項目を指定します。

    -admin
    認証データベース項目に ADMIN フラグを持つ管理アカウントを指定します (admin など)。password プロンプトはアカウントを admin_user として表示します。適切なパスワードを、admin_password として入力します。
  7. vos listvldb コマンドを発行して、ユーザーのホーム・ボリュームのサイトを削除に備えて表示します。規則では、ユーザー・ボリュームは、user.username と命名されています。

       % vos listvldb <volume name or ID>
    

    ここで、

    listvl
    は、listvldb の受け入れ可能な省略形です。

    volume name or ID
    ボリューム名またはボリューム ID を指定します。
  8. vos remove コマンドを発行し、ユーザーのボリュームを削除します。バックアップが存在する場合、このコマンドは自動的にバックアップ・バージョンを削除します。ユーザー・ボリュームを複写するのは標準的方法ではないので、このコマンドは、通常、ボリュームの項目をボリューム・ロケーション・データベース (VLDB) から完全に削除します。ボリュームの読み取り専用レプリカがある場合、vos remove コマンドを繰り返し実行して、1つずつ順番に削除する必要があります。

       % vos remove <machine name> <partition name> <volume name or ID>
    

    ここで、

    remo
    は、remove の受け入れ可能な省略形です。

    machine name
    7 のステップからの出力で指定されるように、ボリュームが存在するファイル・サーバー・マシンを指定します。

    partition name
    7 のステップからの出力で指定されるように、ボリュームが存在するパーティションを指定します。

    volume name or ID
    ボリューム名またはボリューム ID を指定します。
  9. fs rmmount コマンドを発行して、ボリュームのマウント・ポイントを削除します。

    ユーザーのバックアップ・ボリュームがホーム・ディレクトリーのサブディレクトリーとして取り付けられている場合、そのバックアップ・バージョンも同時に取り付け解除されます。バックアップ・バージョンを、ファイル・スペースと関係のない位置に取り付けている場合は、バックアップ・バージョン用に fs rmmount コマンドを繰り返し実行します。

       % fs rmmount <directory>
    

    ここで、

    rmm
    は、rmmount の受け入れ可能な省略形です。

    directory
    前のボリューム名に対するマウント・ポイント (つまり、前のホーム・ディレクトリー) を指定します。パス名の一部は、現行作業ディレクトリーとの関連で解釈されます。

    マウント・ポイントに読み取り / 書き込みパスを指定して、読み取り専用ボリューム内からマウント・ポイントを削除しようとするときに障害が発生するのを防ぎます。規則では、パス名の第 2 レベルのセル名の前にピリオドを付けて、読み取り / 書き込みパスを指定します (たとえば、 /afs/.abc.com)。ファイル・スペースの読み取り / 書き込みパス、および読み取り専用パスの概念についての詳細は、 ボリュームの取り付け を参照してください

  10. pts delete コマンドを発行して、ユーザーの保護データベース項目を削除します。このコマンドについての詳細な説明は、5 のステップにあります。

       % pts delete <user or group name or id>
    
  11. 削除されたユーザー・ホーム・ディレクトリーが複写されたボリューム内に常駐していた場合は、 読み取り / 書き込みボリュームの複写 (読み取り専用ボリュームの作成) で説明しているように、 vos release コマンドを使用してそのボリュームを解放します。

          % vos release <volume name or ID>
    
    

    注:このステップは、ホーム・ディレクトリーの親ディレクトリーが、複写されたボリュームのマウント・ポイントではなくても、必要な場合があります (また、そのようなケースでは、このステップを実行した方が監視が容易です)。たとえば、ABC Corporation テンプレートは、 /afs/abc.com/usr ディレクトリー内のユーザー・ボリュームにマウント・ポイントを置きます。このディレクトリーは、マウント・ポイントというよりは通常のディレクトリーですので、 /afs/abc.com ディレクトリーに取り付けられた root.cell ボリューム内に常駐します。このボリュームは複写ですので、マウント・ポイントの削除によって変更されたら、管理者は、 vos release コマンドを発行する必要があります。


[ ページのトップ | 前ページ | 次ページ | 目次 | 索引 ]



(C) IBM Corporation 2000. All Rights Reserved