目的
認証データベース項目のオプションの特性を設定します。
構文
kas setfields -name <name of user> [-flags <hex flag value or flag name expression>] [-expiration <date of account expiration>] [-lifetime <maximum ticket lifetime>] [-pwexpires <number days password is valid ([0..254])>] [-reuse <permit password reuse (yes/no)>] [-attempts <maximum successive failed login tries ([0..254])>] [-locktime <failure penalty [hh:mm or minutes]>] [-admin_username <admin principal to use for authentication>] [-password_for_admin <admin password>] [-cell <cell name>] [-servers <0explicit list of authentication servers>+] [-noauth] [-help] kas setf -na <name of user> [-f <hex flag value or flag name expression>] [-e <date of account expiration>] [-li <maximum ticket lifetime>] [-pw <number days password is valid ([0..254])>] [-r <permit password reuse (yes/no)>] [-at <maximum successive failed login tries ([0..254])>] [-lo <failure penalty [hh:mm or minutes]>] [-ad <admin principal to use for authentication>] [-pa <admin password>] [-c <cell name>] [-s <explicit list of authentication servers>+] [-no] [-h] kas sf -na <name of user> [-f <hex flag value or flag name expression>] [-e <date of account expiration>] [-li <maximum ticket lifetime>] [-pw <number days password is valid ([0..254])>] [-r <permit password reuse (yes/no)>] [-at <maximum successive failed login tries ([0..254])>] [-lo <failure penalty [hh:mm or minutes]>] [-ad <admin principal to use for authentication>] [-pa <admin password>] [-c <cell name>] [-s <explicit list of authentication servers>+] [-no] [-h]
構文
kas setfields コマンドは、 -name 引き数で指定されたユーザーの認証データベース項目を、指定されたオプション引き数に応じて変更します。この引き数は、単独で指定することも、組み合わせて指定することもできます。
kas examine コマンドは、このコマンドで行った設定を表示します。
注意
-pwexpires 引き数で設定したパスワード存続時間は、このコマンドが発行されたときからではなく、ユーザーのパスワードを最後に変更した時刻から始まります。したがって、存続時間はそ及的になります。たとえば、ユーザーが 100 日前にパスワードを変更して、パスワード存続時間の設定が 100 日未満の場合、パスワードは即時に有効期限が切れます。有効期限をさかのぼるのを回避するには、パスワード存続時間の切れる直前にパスワードを変更するように、ユーザーに指示してください。
認証アカウントに ADMIN フラグが設定されている管理者は、認証データベース内の機密性の高い情報にアクセスすることができます。非許可ユーザーによるアクセスを防ぐには、 -attempts 引き数を使用して、管理トークンを取得しているユーザーに対して、無効なパスワードの入力回数を厳密に制限する必要があります。しかし、セルの中には、ADMIN フラグの付いたアカウントが複数存在していなければなりません。kas コマンド自身も ADMIN 特権を必要としますし、管理者がロックアウトされた場合、他の ADMIN 特権を持つアカウントにアクセスして、現在のアカウントのロックを解除してもらう必要があります。
ある状況では、認証の失敗回数を強制的に適用すると、 -attempts 引き数で設定された限界よりも少ない場合でも、ロックアウトが起きてしまう場合があります。 klog、AFS 修正 login ユーティリティーなどのクライアント・サイド認証プログラムは、認証要求を受け取ると、ランダムに認証サーバーを選択し、そのサーバーで認証されない場合には、次の要求で別の認証サーバーを選択するようになっています。異なるデータベース・サーバー・マシンで実行されている認証サーバーは、ユーザーが無効なパスワードを入力した回数についての情報を共有していません。その代わりに、各認証サーバーは、補助データベース・ファイル kaserverauxdb (デフォルトでは、 /usr/afs/local ディレクトリーにあります ) のコピーを個別に保守しています。このファイルには、ユーザー・アカウントごとに、連続失敗回数と最後に失敗した時刻が記録されています。これは、どの認証サーバーも、失敗試行回数の総数ではなく、その一部について知っていることを意味します。-attempts 引き数で設定された回数以上の試行を許可しないようにするには、各認証サーバーが試行回数の一部だけを認識するようにしなければなりません。特に、試行回数の制限が f で、認証サーバーの数が S の場合、各認証サーバーは、f を S で割った数に等しい試行回数を許可することができます (認証サーバーの Ubik 同期サイトは、残りの fmodS をトラックします)。
通常、この方法によって、許可される試行回数が構成された制限 (f) より少なくなることはありません。 1 つの認証サーバーが試行を拒否すると、クライアントは別のサーバー・インスタンスにアクセスし、認証が成功するか、あるいはすべてのサーバーにアクセスするまで、この操作を繰り返します。しかし、 1 つ以上の認証サーバー・プロセスが使用不能になっている場合、 U を使用不能なサーバー数、 S を通常使用可能なサーバー数とすると、 U を S で割った数に等しいパーセンテージだけ実際には制限回数が少なくなります。
失敗した認証試行に対して、望ましくない結果を避けるためには、次の推奨事項に注意してください。
オプション
年の許容値の範囲は、1970 (1970 年 1 月 1 日は、標準 UNIX 日付表示で時間 0 になります) から 2037 (2037年は、UNIX 表示が 2038 年 2 月以降の日付を収容できないため最大になります) です。
秒数 (3600 は 1 時間と同じになります) を表す整数、または特定の時および分をコロンで分けて指定します。(10:00 は 10 時間と同じになります) この引き数を省略すると、デフォルト設定値は 100:00 時間 (360000 秒) です。
パスワードが失効すると、そのユーザーは認証されません。ただし、 kpasswd コマンドを使用してパスワードを変更すると、そのパスワードは変更後 30 日 は有効です (その後は、管理者だけが、 kas setpassword コマンドを使用してパスワードを変更することができます)。クロックは、kas setfields コマンドが発行された時ではなく、最後にパスワードが変更された時点から開始するので注意してください。有効期限をさかのぼるのを回避するには、この引き数を指定したコマンドを発行する直前に、パスワードを変更する必要があります。
時間と分 (hh:mm)、または分 (mm) のみを 01 (1 分) から 36:00 (36 時間) の範囲から指定します。 kas コマンド・インタープリターは、 36:00 より大きい値が指定されると、この値まで戻し、次の 8.5 分の倍数まで繰り上げます。0 (ゼロ) を設定すると、ロックアウト時間は無限にされます。この場合、管理者が kas unlock コマンドを発行して、アカウントのロックを解除しなければなりません。
例
次の例では、admin アカウントを持つ管理者が、smith に管理特権を与え、その項目を認証データベースに追加し、有効期限を 2000 年 12 月 31日に指しています。
% kas setfields -name smith -flags ADMIN -expiration 12/31/2000 Password for admin:
次の例では、admin アカウントを持つ管理者が、ユーザー pat のパスワードの有効期限を最終更新日から 60 日 にしています。また、パラメーターの再利用は禁止しています。
% kas setfields -name pat -pwexpires 60 -reuse no Password for admin:
必要となる特権
発行者には、認証データベース項目で ADMIN フラグを設定させなければなりません。
関連情報