table of contents
other languages
GPASSWD(1) | Dienstprogramme für Benutzer | GPASSWD(1) |
NAME¶
gpasswd - verwaltet /etc/group und /etc/gshadowÜBERSICHT¶
gpasswd
[ Option] Gruppe
BESCHREIBUNG¶
Der Befehl gpasswd dient zur Verwaltung von /etc/groupund /etc/gshadow. Jede Gruppe kann Gruppenverwalter, Mitglieder und ein Passwort haben. Der Systemadministrator kann mit der Option -A Gruppenverwalter bestimmen. Mit der Option -M legt er die Mitglieder fest. Er besitzt alle Rechte, die Gruppenverwalter und Mitglieder haben können. Wenn ein Gruppenverwalter gpasswd nur mit dem Gruppennamen aufruft, wird er aufgefordert, für die Gruppe ein neues Passwort zu vergeben. Wenn ein Passwort vergeben wurde, können Mitglieder der Gruppe dennoch ohne Passwort newgrp(1) ausführen. Alle anderen Benutzer benötigen dazu das Passwort.Hinweise zu Gruppenpasswörtern¶
Gruppenpasswörter beinhalten ein Sicherheitsrisiko, da mehrere Personen das Passwort kennen. Dennoch können sie sinnvoll sein, um die Zusammenarbeit zwischen Benutzern zu erleichtern.OPTIONEN¶
Außer die Optionen -A und -M können die übrigen Optionen nicht zusammen verwendet werden. Die Optionen, die vom Befehl gpasswd unterstützt werden, sind: -a, --addBenutzerFügt den Benutzer der bezeichneten
Gruppe zu.
-d, --deleteBenutzer
entfernt den Benutzer aus der
bezeichneten Gruppe
-h, --help
zeigt die Hilfe an und beendet das
Programm
-Q, --rootCHROOT_VERZ
führt die Veränderungen in dem
Verzeichnis CHROOT_VERZ durch und verwendet die Konfigurationsdateien
aus dem Verzeichnis CHROOT_VERZ
-r, --remove-password
Entfernt das Passwort der bezeichneten
Gruppe. Das Gruppenpasswort wird leer sein. Damit können nur noch
Gruppenmitglieder mit newgrp zu der bezeichneten Gruppe
wechseln.
-R, --restrict
Schränkt den Zugang zur bezeichneten
Gruppe ein. Das Gruppenpasswort wird auf »!« gesetzt. Damit
können nur noch Gruppenmitglieder mit einem Passwort mit newgrp zu
der bezeichneten Gruppe wechseln.
-A, --administratorsBenutzer, ...
Liste der Gruppenverwalter bestimmen
-M, --membersBenutzer, ...
Liste der Mitglieder der Gruppe
bestimmen
WARNUNGEN¶
Dieses Werkzeug bearbeitet nur die Dateien /etc/group und /etc/gshadow. Sie können daher keine NIS- oder LDAP-Gruppen bearbeiten. Dies muss auf dem entsprechenden Server durchgeführt werden.KONFIGURATION¶
Die folgenden Konfigurationsvariablen in /etc/login.defs beeinflussen das Verhalten dieses Werkzeugs: ENCRYPT_METHOD (Zeichenkette)Damit wird der standardmäßige
Verschlüsselungsalgorithmus, mit dem Passwörter verschlüsselt
werden, bestimmt (soweit nicht in der Befehlszeile ein Algorithmus angegeben
wird).
Ihm kann einer der folgenden Wert zugewiesen werden: DES (default),
MD5, SHA256, SHA512.
Hinweis: Dieser Parameter überschreibt die Variable MD5_CRYPT_ENAB.
Hinweis: Damit wird lediglich die Erstellung von Gruppenpasswörtern
beeinflusst. Benutzerpasswörter werden dagegen von PAM erstellt, so dass
dieser Vorgang in PAM konfiguriert werden muss. Empfehlenswert ist, diese
Variable mit der Konfiguration von PAM in Einklang zu bringen.
MAX_MEMBERS_PER_GROUP (Zahl)
Maximale Anzahl von Mitgliedern je
Gruppeneintrag. Wenn das Maximum erreicht wird, wird ein weiterer Eintrag in
/etc/group (mit dem gleichen Namen, dem gleichen Passwort und der gleichen
GID) erstellt.
Der Standardwert ist 0, was zur Folge hat, dass die Anzahl der Mitglieder einer
Gruppe nicht begrenzt ist.
Diese Fähigkeit (der aufgeteilten Gruppe) ermöglicht es, die
Zeilenlänge in der Gruppendatei zu begrenzen. Damit kann sichergestellt
werden, dass die Zeilen für NIS-Gruppen nicht länger als 1024
Zeichen sind.
Falls Sie eine solche Begrenzung benötigen, können Sie 25 verwenden.
Hinweis: Aufgeteilte Gruppen werden möglicherweise nicht von allen
Werkzeugen unterstützt, selbst nicht aus der Shadow-Werkzeugsammlung. Sie
sollten diese Variable nur setzen, falls Sie zwingend darauf angewiesen
sind.
MD5_CRYPT_ENAB (boolesch)
Legt fest, ob Passwörter mit dem auf MD5
beruhenden Algorithmus verschlüsselt werden. Falls diesem Wert yes
zugewiesen ist, werden neue Passwörter mit dem auf MD5 beruhenden
Algorithmus verschlüsselt, der zu dem in der aktuellen
Veröffentlichung von FreeBSD eingesetzten Algorithmus kompatibel ist.
Passwörter können dann beliebig lang sein, auch die
Salt-Zeichenketten sind länger. Setzen Sie diesen Wert auf no,
wenn Sie verschlüsselte Passwörter auf ein anderes System kopieren
möchten, das den neuen Algorithmus nicht versteht. Der Standardwert ist
no.
Dieser Variable geht die Variable ENCRYPT_METHOD und eine Option auf der
Befehlszeile, mit der der Verschlüsselungsalgorithmus bestimmt wird, vor.
Der Einsatz dieser Variable ist veraltet. Sie sollten ENCRYPT_METHOD
verwenden.
Hinweis: Damit wird lediglich die Erstellung von Gruppenpasswörtern
beeinflusst. Benutzerpasswörter werden dagegen von PAM erstellt, so dass
dieser Vorgang in PAM konfiguriert werden muss. Empfehlenswert ist, diese
Variable mit der Konfiguration von PAM in Einklang zu bringen.
SHA_CRYPT_MIN_ROUNDS (Zahl), SHA_CRYPT_MAX_ROUNDS (Zahl)
Wenn ENCRYPT_METHOD auf SHA256
oder SHA512 gesetzt ist, legt dies die Anzahl der Runden von SHA fest,
die standardmäßig vom Verschlüsselungsalgorithmus verwendet
werden (falls die Anzahl der Runden nicht auf der Befehlszeile angegeben
wird).
Je mehr Runden Sie definieren, umso schwieriger ist es, das Passwort mit sturem
Durchprobieren (brute force) zu knacken; umso mehr Rechenleistung wird jedoch
auch für die Anmeldung eines Benutzers benötigt.
Falls Sie nichts angeben, wird libc die Standardanzahl der Runden festlegen
(5000).
Die Werte müssen zwischen 1000-999.999.999 liegen.
Falls nur der Wert für SHA_CRYPT_MIN_ROUNDS oder
SHA_CRYPT_MAX_ROUNDS festgelegt wird, wird dieser Wert verwendet.
Falls SHA_CRYPT_MIN_ROUNDS > SHA_CRYPT_MAX_ROUNDS, wird der
höhere Wert verwendet.
Hinweis: Damit wird lediglich die Erstellung von Gruppenpasswörtern
beeinflusst. Benutzerpasswörter werden dagegen von PAM erstellt, so dass
dieser Vorgang in PAM konfiguriert werden muss. Empfehlenswert ist, diese
Variable mit der Konfiguration von PAM in Einklang zu bringen.
DATEIEN¶
/etc/groupInformationen zu den Gruppenkonten
/etc/gshadow
sichere Informationen zu den
Gruppenkonten
SIEHE AUCH¶
newgrp(1), groupadd(8), groupdel(8), groupmod(8), grpck(8), group(5), gshadow(5).25.05.2012 | shadow-utils 4.1.5.1 |