管理解説書

kpasswd

目的

認証データベースで発行者のパスワードを変更します。

構文

kpasswd [-x]  [-principal <user name>]  [-password <user's password>]
        [-newpassword <user's new password>]  [-cell <cell name>]
        [-servers <explicit list of servers>+]  [-pipe]  [-help]
   
kpasswd [-x]  [-pr <user name>]  [-pa <user's password>]  
        [-n <user's new password>]  [-c <cell name>]  
        [-s <explicit list of servers>+]  [-pi]  [-h] 

構文

kpasswd コマンドは、認証データベース項目に記録されているパスワードを変更します。デフォルトでは、コマンド・インタープリターは、発行者のローカル ID (UNIX UID) と一致する AFS ユーザー名のパスワードを変更します。代替ユーザーを指定する場合は、 -principal 引き数を組み込んでください。引き数 -principal が指定するユーザーは、ローカル・パスワード・ファイル (/etc/passwd ファイル、または同等のファイル) に記録されている必要はありません。

デフォルトでは、コマンド・インタープリターは、ローカル・ディスク上の /usr/afs/etc/CellServDB ファイルの、ローカル・セルにリストされているデータベース・サーバー・マシンの、いずれか 1 つの上で稼働している認証サーバーに、パスワード変更要求を送信します。マシンはランダムに選択されます。コマンド・インタープリターは、ローカル・ディスク上の /usr/vice/etc/ThisCell ファイルを参照して、ローカル・セル名を取得します。代替セルを指定するには、-cell 引き数を組み込んでください。

UNIX の passwd コマンドと異なり、 kpasswd コマンドには、パスワードに 8 文字以下の制限はありません。事実上どんな長さのパスワードでも受け入れます。パスワードを要求する AFS コマンド (klog、 kpasswd、AFS 修正ログイン・ユーティリティー、 kas コマンド・セットなど) はすべて、 8 文字を超える長さのパスワードを受け入れますが、その他のアプリケーションおよび、オペレーティング・システム・ユーティリティーの一部に、受け入れないものがあります。 8 文字以内の AFS パスワードを選択すると、ユーザーは、AFS と UNIX で同じパスワードを使用することができます。

コマンド・インタープリターは、以下の検査を行います。

• プログラム kpwvalid が、 kpasswd コマンドと同じディレクトリーにある場合、コマンド・インタープリターは、このプログラムに新規パスワードを渡し、パスワードの検証を行います。詳細については、kpwvalid の解説ページを参照してください。
• kas setfields コマンドに対して、 -reuse 引き数を使用して、旧パスワードの再利用を禁止する場合、コマンド・インタープリターは、そのパスワードが、ユーザーが最近使用した 20 個のパスワードのいずれにも類似していないことを確認します。この結果、シェルでは、次のようなエラー・メッセージが生成されます。

     パスワードは再利用パスワードに類似しているため、変更されませんでした。
     
  

  ユーザーが、(手動またはスクリプトの実行で) 短時間で連続して、パスワードを 20 回変更することによって、この制限を無効にすることを防ぐためには、 kaserver 初期設定コマンドで、 -minhours 引き数を使用してください。次のエラー・メッセージは、最短時間が経過する前に、ユーザーがパスワードを変更しようとすると表示されます。

     パスワードは最近変更されたばかりなので変更できませんでした。
     システム管理者にご相談ください。
  

オプション

-x

後方互換性の場合のみ表示されます。

-principal

パスワードを変更する認証データベース項目を指定します。この引き数を省略すると、発行者のローカル ID (UNIX UID) と同じ名前のデータベース項目が変更されます。

-password

現在のパスワードを指定します。コマンド・インタープリターにパスワードのプロンプトを出させるには、この引き数を省略してください。この場合、入力されたパスワードは、外観では判別されないように表示されます。

   旧パスワード : current_password
   

-newpassword

新規パスワードを指定します。新規パスワードは、 kpasswd コマンド・インタープリターによって、暗号化鍵 (8 進数の文字列) に変換され、その後、認証サーバーに送信されて、ユーザーの認証データベース項目に保管されます。

コマンド・インタープリターにパスワードのプロンプトを出させるには、この引き数を省略してください。この場合、入力されたパスワードは、外観では判別されないように表示されます。

   新規パスワード (中止の場合は <RETURN> を押す): new_password
   新規パスワードの再入力 : new_password
   

-cell

セルの認証サーバーにコマンドを送信して、パスワードを変更するセルを指定します。発行者は、セル名を、ローカルな /usr/vice/etc/CellServDB ファイルにリストされている、他のセルと区別できる最短形式に、省略することができます。

デフォルトでは、このコマンドは、以下で定義されるローカル・セルで実行されます。

• 第 1 に、環境変数 AFSCELL の値で定義されるローカル・セル
• 第 2 に、コマンドを発行するクライアント・マシンの、 /usr/vice/etc/ThisCell ファイルで定義されるローカル・セル

-servers

/usr/vice/etc/CellServDB ファイルのローカル・コピーで、適切なセルのためにリストされている、すべてのデータベース・サーバー・マシンとの接続ではなく、個々の指定マシン上で稼働している認証サーバーとの接続を確立します。次に kpasswd コマンド・インタープリターは、その一連のマシンからランダムに選択した 1 つのマシンに、パスワード変更要求を送信します。

-pipe

標準出力ストリーム、または標準エラー・ストリームへのすべての出力を抑制します。 kpasswd コマンド・インタープリターは、個別の回線ごとに、標準入力ストリームから、必要なすべての引き数を受信することを予期します。この引き数は使用しないでください。これは、ユーザーではなくアプリケーション・プログラム用に提供されたものです。

-help

このコマンドのオンライン・ヘルプを出力します。これ以外の有効なオプションはすべて無視されます。

例

次の例は、ユーザー pat が、 ABC Corporation セルでパスワードを変更しているところを示したものです。

   % kpasswd
   セル 'abc.com' で 'pat' のパスワードを変更
   旧パスワード :
   新規パスワード (中止の場合は <RETURN> を押す) :
   確認のため、新規パスワードを再入力してください :
   

必要となる特権

なし。

関連情報

kas setfields

kas setpassword

klog

kpwvalid