ユーザーコマンド passwd(1)
【名前】
passwd - ログインパスワードおよびパスワード属性の変更
【形式】
passwd [ -r files | -r ldap | -r nis | -r nisplus ] [
name ]
passwd [ -r files ] [ -egh ] [ name ]
passwd [ -r files ] -s [ -a ]
passwd [ -r files ] -s [ name ]
passwd [ -r files ] [ -d | -l ] [ -f ] [ -n min ] [
-w warn ] [ -x max ] name
passwd -r ldap [ -egh ] [ name ]
passwd -r nis [ -egh ] [ name ]
passwd -r nisplus [ -egh ] [ -D domainname ] [ name ]
passwd -r nisplus -s [ -a ]
passwd -r nisplus [ -D domainname ] -s [ name ]
passwd -r nisplus [ -l ] [ -f ] [ -n min ] [ -w warn ]
[ -x max ] [ -D domainname ] name
【機能説明】
passwd コマンドは、パスワードを変更したり、あるいはユー ザー
の ロ グイン name に関連するパスワードの属性を表示したりしま
す。さらに特権ユーザーは passwd を使用して、すべてのログイン
name に関連するパスワードおよび属性を登録もしくは変更できま
す。
パスワードを変更する場合、passwd は、古いパスワード が あ れ
ば、それを入力するよう要求します。次に、新しいパスワードを 2
回入力するように要求します。古いパスワードを入 力 す る と、
passwd は、 そ のパスワードが十分に「時間経過」しているかを
チェックします。「時間経過」が不十分である場合は、passwd は
終 了 します。詳細は pwconv(1M) 、nistbladm(1) 、および sha-
dow(4) を参照してください。
LDAP、NIS または NIS+ がシステム上で有効である場 合、 passwd
は NIS ま たは NIS+ のデータベースを変更します。NIS または
NIS+ のパスワードは、ローカルマシン上のパスワードとは異な る
場 合 が あ ります。NIS または NIS+ が動作している場合には、
passwd -r を使用してローカルマシン上のパスワードを変更してく
ださい。
pwconv コマンド は、 /etc/passwd か ら の 情 報 を も と に
/etc/shadow を作成し、更新します。pwconv は、/etc/passwd の
パスワードのフィールドで 'x' という特殊な値を探します。こ の
'x' と いう値は、ユーザー用のパスワードがすでに /etc/shadow
にあり、修正すべきではないということを表します。
時間経過が十分である場合、新しいパスワードの構造が要求に合う
かどうかチェックが行われます。新しいパスワードを 2 回入力し
た時点で、2 つの新しいパスワードが比較されます。2 つのパス
ワー ド が同じでない場合は、新しいパスワードに対して、最大 2
回までプロンプトが繰り返されます。
パスワードは、以下の要求に合うように作らなければなりません。
o 各パスワードは、PASSLENGTH 文字でなければなりませ ん。
PASSLENGTH は、/etc/default/passwd に定義され、6 に設
定されています。最初の 8 文字のみが意味を持ちます。
o 各パスワードには、2 つ以上の英字および 1 つの以上の 数
字もしくは特殊文字がなければなりません。この場合の「英
字」は、すべての大文字または小文字を意味します。
o 各パスワードは、ユーザーのログイン name と異なっていな
ければならず、そのログイン name を反転したりずらしたも
のでもいけません。比較においては、大文字およびそれに対
応する小文字は同じものとして扱われます。
o 新しいパスワードは、古いパスワードと 3 文字以上違わ な
くてはなりません。比較においては、大文字およびそれに対
応する小文字は同じものとして扱われます。
上記の条件がすべて満たされた場合、デフォルトでは passwd コマ
ンドは /etc/nsswitch.conf を参照してパスワード更新を実行すべ
きレポジトリ (記録場所) を決めます。具体的 に は passwd と
passwd_compat の両エントリを検索します。これらのエントリに対
応したリソースつまりレポジトリが更新されます。なお、使用可能
な パ スワード更新定義形式は、以下に示す形式に限定されていま
す。いずれの形式にも合っていない場合、passwd(1) が異常終了す
るのでシステムにログインできません。
o passwd: files
o passwd: files ldap
o passwd: files nis
o passwd: files nisplus
o passwd: compat (==> files nis)
o passwd: compat (==> files ldap)
passwd_compat: ldap
o passwd: compat (==> files nisplus)
passwd_compat: nisplus
NIS+ パスワードテーブルを所有するネットワーク管理者は、パ ス
ワードのどの属性をも変更できます。
files の場合、スーパーユーザー(たとえば、実ユーザーID や実効
ユーザーID が 0 であるユーザー。id(1M) および su(1M) を参照)
は、どのパスワードも変更することができます。 し た がっ て、
passwd は、特権ユーザーに古いパスワードを入力するよう要求し
ません。特権ユーザーは、パスワードの有効期限の設定やパスワー
ド構造の要求などの制限も受けません。特権ユーザーは、新しいパ
スワードの要求に答えてキャリッジリターンを入力す る だ け で
NULL パ スワードを作成することができます (これは、passwd -d
とは異なります。「password」プロンプトが表示され続けるからで
す )。 NIS が有効である場合、ルートマスター上のスーパーユー
ザーは、古い NIS パスワードの入力を要求されずにどのパス ワー
ドも変更でき、パスワードの構成要件にはなりません。
通常、引数なしで入力された passwd は現在のユーザーのパスワー
ド を 変 更します。ユーザーがログインし、su(1M) を呼び出して
スーパーユーザーまたは別のユーザーになるとき、passwd は スー
パー ユー ザーや新しいユーザーのパスワードではなく、元のユー
ザーのパスワードを変更します。
-s オプションを使用すれば、すべてのユーザーは、自分自身の ロ
グイン name のパスワードの属性を表示することができます。ただ
しこれは -r nisplus 引数を使っている場合に限ります。そうでな
い 場合には、-s オプションはスーパーユーザーだけしか使用でき
ません。
表示の書式は、次のようになります。
name status mm/dd/yy min max warn
パスワードの有効期限の情報が存在しない場合は、次のようになり
ます。
name status
各情報の意味は以下のとおりです。
name ユーザーのログイン ID
status
name のパスワードステータス。PS は、パスワードされた状
態 またはロックされた状態を表し、LK は、ロックされた状
態を表し、NP は、パスワードがないことを表します。
mm/dd/yy
name のパスワードが最近変更された日付 (すべて の パ ス
ワードの日付は、グリニッジ標準時 (ユニバーサル時間) を
使用して決定されます。したがって、時差があるところでは
最大 1 日ずれることがあるので注意してください) 。
min name に対するパスワード変更に最 低 限 必 要 な 日 数。
MINWEEKS は、/etc/default/passwd にあり、NULL に設定さ
れています。
max パスワードが name に対して有効である最大日数。MAXWEEKS
は、 /etc/default/passwd にあり、NULL に設定されていま
す。
warn パスワードの有効期限切れが近いことを示す警告を name が
受ける日を、max に相対的な日数で表す。
[セキュリティ]
passwd は pam(3PAM) を使って、パスワード管理を行います。 PAM
構成ポリシーは passwd で使用するモジュールを明記しています。
このポリシーは /etc/pam.conf で見ることができます。 以 下 に
UNIX パスワード管理モジュールを使用する passwd コマンドのエ
ントリの入った pam.conf ファイルの抜粋を示します。
passwd required password
/usr/lib/security/pam_unix.so.1
passwd サービスのエントリがない場合には other のサービスのエ
ン ト リを使用します。複数の認証モジュールが記述されている場
合、複数のパスワードが必要となる可能性があります。
【オプション】
以下のオプションを指定できます。
-r 処理の対象とするレポジトリ (記録場所) を指定し ま す。
files 、ldap、nis 、nisplus のいずれかを指定できます。
-e ログインシェルを変更します。レポジトリが files の 場
合、スーパーユーザーだけが使用できます。通常のユーザー
はレポジトリが ldap、nis または、nispluse の場合に変更
で きます。シェルの選択は、getusershell(3C) によって制
限されています。ユーザーが現在 getusershell によって許
可 さ れていないシェルを保持している場合、スーパーユー
ザーだけがそれを変更できます。
-g gecos (finger) 情報を変更します。レポジトリが files の
場 合、 スーパーユーザーだけが使用できます。通常のユー
ザーはレポジトリが ldap、nis または、nispluse の場合に
変更できます。
-h ホームディレクトリを変更します。
-D domainname
domainname が示すドメイン中にある passwd.org_dir を 参
照 す ることを指定します。このオプションを省略すると、
nis_local_directory(3NSL) が返すドメイン名が使用されま
す。このドメイン名は domainname(1M) が返すものと同一で
す。
-s name
name が示すログイン名用のパスワード属性を表示しま す。
レ ポ ジ トリが nisplus の場合、この指定はすべてのユー
ザーが使用できます。files の場合には、スーパーユーザー
だ けが使用できます。また nis の場合には、パスワードの
有効期限を設定する (エージング) 機能がサポートされてい
ないので、この指定はどのユーザーも使用できません。
-a すべてのエントリのパスワードの属性を表示します。-s オ
プ ションとともにのみ使用し、name を指定してはいけませ
ん。レポジトリが nisplus の場合、本コマンドを発行し た
ユー ザー が読み取りを許されているローカルドメイン中の
NIS+ パスワードテーブルにあるエントリだけが表示され ま
す。files の場合には、この指定はスーパーユーザーだけが
使用できます。
[特権ユーザーのオプション]
特権ユーザーのみが、次のオプションを使用することができます。
-f name のパスワードの期限を切ることによって、次のログ イ
ンセッションでパスワードを強制的にユーザーに変更させま
す。
-l name に対するパスワードエントリをロックします。
-n min
name の最小のフィールドを設定します。min フィールド に
は、 name に対するパスワードを変更するために最低限必要
な日数が設定されます。min が max より大きい 場 合 は、
ユー ザー はパスワードを変更できません。このオプション
は、必ず -x オプションとともに使用してください。 た だ
し、max が -1 に設定されている場合は例外です (最低経過
日数を設定する機能がオフ)。この場合は、min を設定す る
必要はありません。
-w warn
name の警告フィールドを設定します。warn フィール ド に
は、パスワードの有効期限が切れる何日前に、期限切れ近い
ことを示す警告をユーザーが受けるか、その日数が設定され
ます。このオプションは、パスワードの有効期限が切れてい
る場合は無効です。
-x max
name の最大のフィールドを設定します。max フィールド に
は、パスワードが name に対して有効である最大の日数が設
定されます。max が -1 に設定された場合は、name の有 効
期 限 を設定する機能はただちにオフになります。max が 0
に設定された場合は、ユーザーは次のログインセッションで
パスワードを強制的に変更させられ、有効期限を設定する機
能はオフになります。
-d name に対するパスワードを削除します。ログイン name に
対するパスワードを入力するように要求することはありませ
ん。この指定は、レポジトリが files の場合にのみ有効 で
す。
【オペランド】
name ユーザーのログイン名
【環境】
LC_* 変 数 (LC_CTYPE、 LC_MESSAGES、 LC_TIME、 LC_COLLATE、
LC_NUMERIC、 LC_MONETARY) (environ(5) 参照) のいずれも環境に
設定されていなければ、それぞれ対応するロケールのカテゴリにお
ける passwd の動作は、環境変数 LANG によって決定されます。も
し、LC_ALL が設定されていれば、その内容が LANG 変数やその 他
の LC_* 変数より優先されます。上記の変数が環境にまったく設定
されていなければ、C ロケール (米国スタイル)が passwd の動 作
を決定します。
LC_CTYPE
passwd の文字の処理方法を決定します。LC_CTYPE に有効な
値 が設定されていると、passwd は、そのロケールにあった
文字を含むテキストやファイル名を表示および処理で き ま
す。passwd は拡張 Unix コード(EUC)も表示および処理でき
ます。この場合、文字は 1 バイト幅、2 バイト幅、3 バ イ
ト幅のいずれも使用できます。また、passwd は 1、2、また
はそれ以上のカラム幅の EUC 文字も処理することができ ま
す。 C ロケールにおいては、ISO 8859-1 の文字だけが有効
です。
LC_MESSAGES
診断メッセージや情報メッセージの表示方法を決定します。
また、メッセージの言語とスタイル、そして肯定応答および
否定応答の正しい形も決定します。C ロケールにおいては、
メッセージはプログラム自身が使用しているデフォルトの形
で表示されます(通常、米語)。
【終了ステータス】
passwd は、処理終了時に以下のいずれかの値を返します。
0 正常終了
1 アクセス権が与えられていません
2 オプションの組み合わせが無効です
3 予想できない失敗。パスワードファイルは変更されません
4 予想できない失敗。パスワードファイルがありません
5 パスワードファイルは使用中です。後で行なってください
6 オプションに対する引数が無効です
7 有効期限のオプションが無効です
【ファイル】
/etc/oshadow
/etc/shells
/etc/passwd
パスワードファイル
/etc/shadow
シャドウパスワードファイル
/etc/default/passwd
デフォルト値は /etc/default/passwd 中の次のフラグで 設
定することができます。例: MAXWEEKS=26
MAXWEEKS
パスワードが有効な最大期間
MINWEEKS
パスワード変更に最低限必要な期間
PASSLENGTH
パスワードに最低限必要な文字数
WARNWEEKS
パスワードの有効期間が切れる前の警告期間
【属性】
次の属性については attributes(5) のマニュアルページを参照 し
てください。
____________________________________________________________
| 属性タイプ | 属性値 |
|_____________________________|_____________________________|
| 使用条件 | SUNWcsu |
|_____________________________|_____________________________|
| CSI | 対応済み |
|_____________________________|_____________________________|
【関連項目】
finger(1), login(1), nispasswd(1), nistbladm(1),
yppasswd(1), domainname(1M), eeprom(1M), id(1M),
passmgmt(1M), pwconv(1M), su(1M), useradd(1M), userdel(1M),
usermod(1M), pam(3PAM), crypt(3C), getpwnam(3C),
getspnam(3C), getusershell(3C), nis_local_directory(3NSL),
loginlog(4), nsswitch.conf(4), pam.conf(4), passwd(4), sha-
dow(4), attributes(5), environ(5), pam_unix(5) ,pam_ldap(5)
【注意事項】
passwd コマンドは、nispasswd コマンドと yppasswd コマンド に
代 わるものとして提供されています。この 2 つのコマンドではな
く passwd コマンドの方を使用するようにしてください。
|
|