chgroup [ -R load_module ] Attribute=Value ... Group
注意:如果在系统上安装了网络信息服务(NIS)数据库,则不要使用 chgroup 命令,否则可能造成系统数据库严重的不一致性。
chgroup 命令更改由 Group 参数指定的组的属性。组名必须已作为等于或少于 8 字节的字符串存在。要更改属性,在 Attribute=Value 参数中指定属性名和更改后的值。
要更改使用备用的标识和认证(I&A)机制创建的组的属性,-R 标志可用于指定 I&A 可装入模块。装入模块在 /usr/lib/security/methods.cfg 文件中定义。
可以使用 基于 Web 的系统管理器(wsm)中的用户应用程序来更改用户特征。也可使用系统管理界面程序(SMIT)smit chgroup 快速路径来运行此命令。
要确保组信息的安全性,对于 chgroup 命令的使用会有限制。只有 root 用户或具有 UserAdmin 权限的用户才可以使用 chgroup 命令来更改任何组。这些更改包括:
所谓管理组,即为其 admin 属性设置为真(true)的一个组。security 组的成员可以更改非管理组的属性包括将用户添加至管理员列表。
| -R | 指定用于更改用户属性的可装入 I&A 模块。 |
可以通过指定 Attribute=Value 参数来更改属性。如果具有适当的权限,可以设置以下组属性:
adms 和 admin 属性是在 /etc/security/group 文件中设置的。剩余的属性在 /etc/group 文件中设置的。如果使用 chgroup 命令指定的任何属性是无效的,此命令将不作任何更改。
访问控制:此命令应仅授予 root 用户和安全组执行(x)访问权。此命令应该安装为可信计算基础(TCB)中的程序。命令应该由具有 setuid(SUID)位集的 root 用户所有。
访问的文件:
| 方式 | 文件 |
|---|---|
| rw | /etc/group |
| rw | /etc/security/group |
| r | /etc/passwd |
审计事件:
| 事件 | 信息 |
|---|---|
| GROUP_Change | 组,属性 |
并非所有可装入 I&A 模块都支持对组的属性的更改。如果可装入 I&A 模块不支持对组的属性进行更改,会报告一个错误。
chgroup users=sam,carol,frank finance
chgroup users=sam,carol adms= finance
此示例中,更改了两个属性值。成员列表省略了名称 frank,而 adms 属性的值则保留为空。
chgroup -R LDAP users=sam,frank monsters
| /usr/bin/chgroup | 指定至 chgroup 命令的路径。 |
| /etc/group | 包含组的基本属性。 |
| /etc/security/group | 包含组的扩展属性。 |
| /etc/passwd | 包含用户的基本属性。 |
chfn 命令、chgrpmem 命令、chsh 命令、chuser 命令、lsgroup 命令、lsuser 命令、 mkgroup 命令、mkuser 命令、passwd 命令、pwdadm 命令、rmgroup 命令、rmuser 命令、setgroups 命令、setsenv 命令。
有关安装基于 Web 的系统管理器的信息,请参阅 《AIX 5L V5.2 基于 Web 的系统管理器管理指南》 中的第二章:安装和系统要求。
要获取有关用户的标识和认证、任意访问控制、可信计算基础以及审计的更多信息,请参考 AIX 5L Version 5.2 System Management Concepts: Operating System and Devices 中的 安全性管理。