管理解説書
目的
認証データベース項目からの情報を表示します。
構文
kas examine -name <name of user> [-showkey]
[-admin_username <admin principal to use for authentication >]
[-password_for_admin <admin password>] [-cell <cell name>]
[-servers <explicit list of authentication servers>+]
[-noauth] [-help]
kas e -na <name of user> [-sh]
[-a <admin principal to use for authentication >]
[-p <admin password>] [-c <cell name>]
[-se <explicit list of authentication servers>+] [-no] [-h]
構文
kas examine コマンドは、
-name 引き数で指定されたユーザーの認証データベース項目の情報を形式化して、表示します。
このコマンドでの表示設定を更新するには、kas setfields コマンドを発行します。
注意
-showkey フラグを指定すると、標準出力ストリームに実際のキーが表示されるため、セキュリティーが公開されます。ほとんどの場合、チェックサムを表示するだけで十分です。
オプション
- -name
- 情報を表示する認証データベース項目の名前を指定します。
- -showkey
- キーを構成する 8 進数を表示します。発行者は、その認証データベース項目に ADMIN フラグが必要です。
- -admin_username
- コマンド実行時の認証サーバーによる認証で使用されるユーザー ID
を指定します。詳細については、kas の解説ページを参照してください。
- -password_for_admin
- コマンド発行者のパスワードを指定します。省略すると (推奨)、
kas コマンド・インタープリターは、プロンプトを出して、パスワードの入力を要求します。入力したパスワードは表示されません。詳細については、kas の解説ページを参照してください。
- -cell
- コマンドの実行を行うセルに名前を付けます。詳細については、kas の解説ページを参照してください。
- -servers
- 接続確立時に使用させる認証サーバーを実行しているマシンの名前を指定します。詳細については、kas の解説ページを参照してください。
- -noauth
- コマンドの発行者に非特権 ID anonymous を割り当てます。詳細については、kas の解説ページを参照してください。
- -help
- このコマンドのオンライン・ヘルプを出力します。これ以外の有効なオプションはすべて無視されます。
出力
出力には、次の情報が含まれます。
- 項目名。文字列 User data for と表示されます。
- 括弧で囲まれた 1 つ以上のフラグ。これは、管理者が
kas setfields コマンドを使用して、デフォルト値を変更した場合にだけ表示されます。フラグが複数ある場合には、正符号 (+) で区切られています。表示可能なデフォルト以外の値とその意味は、以下のようになります。
- ADMIN
- 特権 kas コマンドの発行をユーザーに許可します (デフォルトは、NOADMIN です)。
- NOTGS
- 認証サーバーのチケット獲得サービスからのチケットの取得を禁止します (デフォルトは、TGS です)。
- NOSEAL
- 項目のキー・フィールドを暗号化キーとして使用することをチケット獲得サービスに禁止します (デフォルトは、SEAL です)。
- NOCPW
- ユーザーにパスワードの変更を禁止します (デフォルトは、
CPW です)。
- 括弧で囲まれたキー・バージョン番号。key という単語の後に、次のいずれかが続きます。
- -showkey フラグが含まれていない場合には、
cksum is という文字の次にそのキーのチェックサムが続きます。チェックサムは、キーの定数を暗号化して引き出された 10 進数です。afs 項目の場合、この番号は、
bos listkeys コマンドの出力の対応するキー・バージョン番号のチェックサムと一致していなければなりません。そうでない場合は、
AFS 管理の手引き の指示に従って、新規のサーバー暗号化キーを作成します。
- -showkey フラグが含まれている場合には、コロンの次に実際のキーが続きます。キーは 8 桁の 8 進数で構成され、それぞれは 3 つの 10 進数ごとにバックスラッシュが付いて表示されます。
- ユーザーが自分のパスワードを最後に変更した日付。
last cpw という文字列の後に表示されます (パスワードの "パスワードの最終更新日" を意味します)。
- 文字列 password will never expire は、関連しているパスワードに有効期限がないことを示しています。文字列password will expire は、パスワードの有効期限日の後に表示されます。示された日付後は、ユーザーは認証されません。ただし、kpasswd コマンドまたは
kas setpassword コマンドを使用して新規パスワードを設定すると、そのパスワードは 30 日間有効です。
30 日過ぎると、管理者 (アカウントに ADMIN フラグが付いている) だけが、
kas setpassword コマンドを使用してパスワードを変更することができます。パスワードの有効期限を設定するには、
kas setfields コマンドの -pwexpires 引き数を使用します。
- ユーザーがパスワードの入力を試行できる回数。この回数を超えても正しいパスワードが入力されないと、アカウントがロックします。これは、
consecutive unsuccessful authentications are permitted または
An unlimited number of unsuccessful authentications is permitted という文字列の後に表示されます。後者は回数に制限がない場合に表示されます。制限を設定するには、kas setfields コマンドの -attempts 引き数を使用します。ロック状態のアカウントのロックを解除するには、kas unlock コマンドを使用します。この設定に関するロックアウト機能のインプリメンテーションについては、kas setfields の解説ページを参照してください。
- 認証の連続試行回数を超えた後で、認証サーバーがユーザーのログインを拒否する時間。The lock time for this user
is という文字列の後に表示されます。ロックアウト時間を設定する場合には、kas コマンドの
-locktime 引き数を使用します。この行は、成功しない認証試行の制限数が、kas
setfields コマンドの -attempts 引き数で設定されている場合にのみに表示されます。
- 認証サーバーが現在、ユーザーのログイン試行を拒否するかどうか。文字列 User is not locked は、認証が成功可能なことを示しますが、文字列
User is locked until time は、指定された時間までユーザーが認証されないことを示します。ユーザーに認証の試行を許可する場合には、
kas unlock コマンドを使用します。この行は、成功しない認証試行の制限数が、
kas setfields コマンドの -attempts 引き数で設定されている場合にのみに表示されます。
- 認証サーバー項目の有効期限。有効期限がない場合には、
entry never expires という文字列。自身の項目が有効期限切れになると、ユーザーは認証されなくなります。有効期限を設定するには、kas setfields コマンドの -expiration 引き数を使用します。
- 認証サーバーがユーザーに許可するトークンの最大可能存続時間。この値と他の値からトークンの実際の存続時間を判別する方法については、
klog コマンドの解説ページを参照してください。
kas setfields コマンドの -lifetime 引き数を使用してこの値を設定してください。
- 項目の最終更新日。last mod on という文字列の後に、修正した管理者の名前が続き、その後に更新日が表示されます。ユーザーが自分のパスワードを変更した日付は、出力の 2 行目に
last cpw として記録されます。
- kpasswd、kas
setpassword、または kas setkey コマンド発行時に、自分が最近使用した 20 個のパスワードが再利用できるかどうか。制限を設定するには、
kas setfields コマンドの
-reuse 引き数を使用します。
例
以下のコマンドの例は、独自の認証データベース項目を表示しているユーザー
smith を示しています。
smith が特権であることを表示する
ADMIN フラグに注意してください。
% kas examine smith
Password for smith:
User data for smith (ADMIN)
key (0) cksum is 3414844392, last cpw: Thu Mar 25 16:05:44 1999
password will expire: Fri Apr 30 20:44:36 1999
5 consecutive unsuccessful authentications are permitted.
The lock time for this user is 25.5 minutes.
User is not locked.
entry never expires. Max ticket lifetime 100.00 hours.
last mod on Tue Jan 5 08:22:29 1999 by admin
permit password reuse
以下の例では、ユーザー pat は、現在有効なアカウント・ロックがいつ解除されるかを判別するために、認証データベース項目を検査しています。
% kas examine pat
Password for pat:
User data for pat
key (0) cksum is 73829292912, last cpw: Wed Apr 7 11:23:01 1999
password will expire: Fri Jun 11 11:23:01 1999
5 consecutive unsuccessful authentications are permitted.
The lock time for this user is 25.5 minutes.
User is locked until Tue Sep 21 12:25:07 1999
entry expires on never. Max ticket lifetime 100.00 hours.
last mod on Thu Feb 4 08:22:29 1999 by admin
permit password reuse
以下の例では、admin としてログインした管理者が、
-showkey フラグを使用して、afs 項目のキーを構成する 8 進数を表示しています。
% kas examine -name afs -showkey
Password for admin: admin_password
User data for afs
key (12): \357\253\304\352\234\236\253\352, last cpw: no date
entry never expires. Max ticket lifetime 100.00 hours.
last mod on Thu Mar 25 14:53:29 1999 by admin
permit password reuse
必要となる特権
ユーザーは、自分の項目を検査することができます。他の項目を検査するには、あるいは、-showkey フラグを組み込むには、発行者は、認証データベース項目で ADMIN フラグを設定させる必要があります。
関連情報
bos addkey
bos listkeys
bos setauth
kas
kas setfields
kas setpassword
kas unlock
klog
kpasswd
[ ページのトップ | 前ページ | 次ページ | 目次 | 索引 ]
(C)2 IBM Corporation 2000. All Rights Reserved