Auf dem Tabreiter Sicherheit erfassen Sie folgende zusätzliche Informationen für ein Benutzerkonto in einem AIX System. Diese Daten werden in /etc/security/user abgebildet.
Tabelle 25: Zusätzliche sicherheitsrelevante Informationen für ein Benutzerkonto in einem AIX System
account_locked |
Gibt an, ob das Benutzerkonto gesperrt ist. (Parameter account_locked). |
admin |
Gibt an, ob es sich um ein administratives Benutzerkonto handelt. (Parameter admin). |
admgroups |
Gruppen, die ein Benutzer verwaltet. (Parameter admgroups). |
auditclasses |
Audit-Klassen des Benutzerkontos. (Parameter auditclasses). |
auth1 |
Zusätzlich benötigte Methoden für die Authentifizierung des Benutzers. (Parameter auth1). |
auth2 |
Zusätzliche optionale Methoden für die Authentifizierung des Benutzers. (Parameter auth2). |
core_compress |
Gibt an, ob die Komprimierung der Speicherabbilddatei aktiviert ist. (Parameter core_compress). |
core_path |
Gibt an, ob die Spezifikation des Pfades der Speicherabbilddatei aktiviert ist. (Parameter core_path). Ist die Option aktiviert, wird die Speicherabbilddatei im angegebenen Verzeichnis abgelegt. Anderenfalls wird die Datei im Arbeitsverzeichnis des Benutzers abgelegt. |
core_naming |
Namenskonventionen für die Speicherabbilddatei. Wenn die Option aktiviert ist, wird die Speicherabbilddatei mit einer Prozess ID, einer Zeit und einem Datumsstempel versehen. (Parameter core_naming). |
daemon |
Gibt an, ob ein Benutzer ein Programm unter Verwendung des Cron-Daemon oder des src (system resource controller) Daemon ausführen kann. (Parameter daemon). |
dce_export |
Gibt an, ob die DCE Registrierung die lokalen Benutzerinformationen mit den DCE Benutzerinformationen während einer DCE Exportoperation überschreiben darf. (Parameter dce_export). |
expires |
Ablaufdatum des Benutzerkontos. (Parameter expires). |
login |
Gibt an, ob sich ein Benutzer mit dem login Kommando am System anmelden kann. (Parameter login). |
logintimes |
Zeiten, Tage oder beides, zu denen dem Benutzer der Zugriff auf das System erlaubt ist. (Parameter logintimes). |
loginretries |
Anzahl der ungültigen Anmeldeversuche, die nach der letzten gültigen Anmeldung erlaubt sind, bevor das System den Benutzer sperrt. (Parameter loginretries). Null oder ein negativer Wert legen fest, dass keine Beschränkung vorhanden ist. |
projects |
Liste von Projekten, denen ein Benutzerprozess zugewiesen sein kann. Der Wert enthält eine kommagetrennte Liste von Projektnamen. (Parameter projects). |
registry |
Definiert die Authentifizierungsregistrierung, in der der Benutzer administriert wird. (Parameter registry). |
rlogin |
Gibt an, ob der Zugriff von einem Remote-Standort mit dem telnet oder rlogin Kommando erlaubt ist. (Parameter rlogin). |
su |
Gibt an, ob ein Benutzer mit dem su Kommando auf einen anderen Benutzer wechseln kann. (Parameter su). |
sugroups |
Gruppen, die das su Kommando zum Wechseln auf definierte Benutzer verwenden können. (Parameter sugroups). |
SYSTEM |
Authentifizierungsmechanismus des Systems für den Benutzer. (Parameter SYSTEM). |
tpath |
Status des vertrauenswürdigen Pfades eines Benutzers. (Parameter tpath). |
ttys |
Enthält die Terminals, auf die ein Benutzer Zugriff hat. (Parameter ttys). |
umask |
Bestimmt die Dateiberechtigungen. (Parameter umask). Der Standardwert ist 022. |
Verwandte Themen
Auf dem Tabreiter Verschlüsselndes Dateisystem erfassen Sie folgende zusätzliche Informationen zur Nutzung des verschlüsselnden Dateisystems (EFS) für ein Benutzerkonto in einem AIX System. Diese Daten werden in /etc/security/user abgebildet.
Tabelle 26: Stammdaten eines Benutzerkontos für das verschlüsselnde Dateisystem
efs_adminks_access |
Ablageort des Schlüsselspeichers für den efs_admin (Parameter efs_adminks_access). Zulässige Werte:
|
efs_allowksmodechangebyuser |
Gibt an, ob ein Benutzer den Modus ändern darf. (Parameter efs_allowksmodechangebyuser). |
efs_file_algo |
Algorithmus der zur Generierung des Dateischutzschlüssels verwendet wird. (Parameter efs_file_algo). Zulässige Werte:
-
AES_128_CBC
-
AES_192_CBC
-
AES_256_CBC |
efs_initialks_mode |
Initialer Modus des Schlüsselspeichers des Benutzers. (Parameter efs_initialks_mode). Zulässige Werte:
|
efs_keystore_access |
Ablageort des benutzerspezifischen Schlüsselspeichers. (Parameter efs_keystore_access). Zulässige Werte:
|
efs_keystore_algo |
Algorithmus der zur Generierung des privaten Schlüssels der Benutzers verwendet wird, wenn der Schlüsselspeicher erstellt wird. (Parameter efs_keystore_algo). Zulässige Werte:
-
RSA_1024
-
RSA_2048
-
RSA_4096 |
Zusatzeigenschaften sind Meta-Objekte, für die es im One Identity Manager-Datenmodell keine direkte Abbildung gibt, wie beispielsweise Buchungskreise, Kostenrechnungskreise oder Kostenstellenbereiche.
Ausführliche Informationen zum Verwenden von Zusatzeigenschaften finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.
Um Zusatzeigenschaften für ein Benutzerkonto festzulegen
-
Wählen Sie im Manager die Kategorie Unix > Benutzerkonten.
-
Wählen Sie in der Ergebnisliste das Benutzerkonto.
-
Wählen Sie die Aufgabe Zusatzeigenschaften zuweisen.
-
Weisen Sie im Bereich Zuordnungen hinzufügen die Zusatzeigenschaften zu.
TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Zusatzeigenschaften entfernen.
Um eine Zuweisung zu entfernen
- Speichern Sie die Änderungen.
HINWEIS: Das nachfolgend beschriebene Verhalten gilt nur für Benutzerkonten in einem AIX System.
Wie Sie Benutzerkonten deaktivieren, ist abhängig von der Art der Verwaltung der Benutzerkonten.
Szenario:
Die Benutzerkonten sind mit Personen verbunden und werden über Kontendefinitionen verwaltet.
Benutzerkonten, die über Kontendefinitionen verwaltet werden, werden deaktiviert, wenn die Person dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Automatisierungsgrad des Benutzerkontos. Benutzerkonten mit dem Automatisierungsgrad Full managed werden entsprechend der Einstellungen an der Kontendefinition deaktiviert. Für Benutzerkonten mit einem anderen Automatisierungsgrad konfigurieren Sie das gewünschte Verhalten an der Bildungsregel der Spalte UNXAccount.AIX_account_Locked.
Szenario:
Die Benutzerkonten sind mit Personen verbunden. Es sind keine Kontendefinitionen zugeordnet.
Benutzerkonten, die mit Personen verbunden sind, jedoch nicht über Kontendefinitionen verwaltet werden, werden deaktiviert, wenn die Person dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Konfigurationsparameter QER | Person | TemporaryDeactivation.
-
Ist der Konfigurationsparameter aktiviert, werden die Benutzerkonten einer Person deaktiviert, wenn die Person zeitweilig oder dauerhaft deaktiviert wird.
-
Ist der Konfigurationsparameter deaktiviert, haben die Eigenschaften der Person keinen Einfluss auf die verbundenen Benutzerkonten.
Um das Benutzerkonto bei deaktiviertem Konfigurationsparameter zu deaktivieren
-
Wählen Sie im Manager die Kategorie Unix > Benutzerkonten.
-
Wählen Sie in der Ergebnisliste das Benutzerkonto.
-
Wählen Sie die Aufgabe Stammdaten bearbeiten.
-
Aktivieren Sie auf dem Tabreiter Sicherheit die Option account_locked.
- Speichern Sie die Änderungen.
Szenario:
Benutzerkonten sind nicht mit Personen verbunden.
Um ein Benutzerkonto zu deaktivieren, das nicht mit einer Person verbunden ist
-
Wählen Sie im Manager die Kategorie Unix > Benutzerkonten.
-
Wählen Sie in der Ergebnisliste das Benutzerkonto.
-
Wählen Sie die Aufgabe Stammdaten bearbeiten.
-
Aktivieren Sie auf dem Tabreiter Sicherheit die Option account_locked.
- Speichern Sie die Änderungen.
Ausführliche Informationen zum Deaktivieren und Löschen von Personen und Benutzerkonten finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.
Verwandte Themen