министраторов.

Разработчикам программ понадобится Application Developer's Kit (ADK). Для системных администраторов предназначен пакет Administrator Runtime Kit (ARK), предназначенный для установки и управления сервером лицензирования, вместе с инструментами создания отчгтов.

Типы лицензий

Программный продукт iFOR/LS использует несколько различных типов лицензий:

Node Lock Такой механизм лицензирования, когда для каждой рабочей станции, использующей лицензированный продукт, требуется свой уникальный ключ. Программный продукт может быть запущен только с определенных рабочих станций (в процессе идентификации используется также уникальный аппаратный ID рабочей станции).

Concurrent use Конкурентное использование лицензионного программного обеспечения предоставляет возможность лицензиям на использование программ "плавать" по сети и при запросе любого пользователя, если есть свободная лицензия, ему будет разрешено запустить программу.

Use once Этот механизм использует счетчик количества запусков лицензионного программного продукта. И при установке счетчика в 0 программу запустить больше нельзя. Используется для целей ознакомления пользователей с программой (try and buy).

Compound Составная лицензия содержит в себе пароль на создание большего числа лицензий. Этот пароль сообщает вам производитель программы при покупке вами у него дополнительного количества лицензий.

Сервер лицензирования

Сервер (серверы) лицензий должен быть запущен на высокодоступной, надежной и контролируемой системе. Конечно, желательно, чтобы он (они) размещался в той же сети, где размещены и клиенты, требующие лицензий.

Каждый сервер лицензирования действует независимо друг от друга.

Администратор для балансировки нагрузки на серверы лицензий может распределить имеющиеся в организации лицензии на несколько серверов. И в то же время, для упрощения администрирования он может разместить все лицензии на одном сервере.

При запросе пользователя на использование лицензионного программного продукта iFOR/LS обращается с запросом на лицензию к серверу лицензий, который проверяет наличие лицензии в базе лицензий и права доступа пользователя. При наличии лицензии и достаточных прав пользователя сервер лицензий возвращает утверждение запроса iFOR/LS, который в свою очередь предоставляет лицензию пользователю.

Политика лицензирования

Программные продукты могут использовать две различные политики лицензирования:

Softstop Политика, когда при отсутствии лицензии пользователю всг же разрешается запустить программу, но об этом делается запись в файле аудита

Hardstop Политика, когда при отсутствии лицензии пользователю не разрешается запустить программу. Интерактивные приложения при отсутствии свободной лицензии могут предложить пользователю следующие варианты:

Wait Перейти в режим ожидания. Когда лицензия освободиться другим пользователем, требуемая программа запустится.

Quit Выход.

List Показать список систем использующих лицензии в настоящее время.

Queue Показывает вашу позицию в очереди ожидания доступности лицензии.

Различные прикладные программы используют различное время удержания лицензий (время повторного опроса сервера лицензий на предмет наличия свободных лицензий). Длинные интервалы удержания минимизируют сетевой трафик. Короткие периоды позволяют быстрее предоставлять свободные лицензии нуждающимся в них пользователям. Можно изменять одноминутными интервалами. Рекомендуется: 5-10 минут. Для программы входа в систему AIX BOS login это время составляет 15 минут.

Установка сервера "плавающих" лицензий

Установка сервера "плавающих" лицензий состоит из трех процедур:

1. Установка программного обеспечения iFOR/LS

2. Конфигурирование NCS и iFOR/LS

3. Запуск серверных демонов (фоновые процессы) llbd dlbd netlsd

В директории /usr/lib/netls/conf содержится командный файл netls_config, который автоматизирует процедуру установки.

К содержанию Вперед Назад

Common Desktop Environment (CDE)

К содержанию Вперед Назад

Common Desktop Environment (CDE)

Что такое CDE?

Common Desktop Environment (CDE) desktop - интерактивный графический интерфейс пользователя, совместно разработанный компаниями IBM, HP, Sun, и Novell для открытых систем. Desktop - богатый и интуитивный интерфейс пользователя, основанный на X11 release 5 и OSF/Motif 1.2. Этот интерфейс разработан для применения в информационных системах масштаба предприятия и на различных платформах и обращен к широкому диапазону пользователей от новичка до эксперта.

CDE адресуется тргм категориям пользователей: конечным пользователям, администраторам системы, и разработчикам.

Конечные пользователи обеспечены легким в использовании интерфейсом с акцентированием на общем представлении, чувстве, и поведении. Рабочий стол визуально привлекателен и гибко настраивается. Подробная интерактивная справка обеспечивает помощь пользователям в ознакомлении с ним в минимальный срок.

Администраторы системы высоко оценят интегрированный подход CDE по вызову прикладных программ, установлены ли они локально или на удаленной системе. CDE также прост в установке и конфигурировании, так как в большинстве случаев установка выполняется встроенными инструментальными средствами. Прикладные программы могут обслуживаться из систем, которые не имеют установленного CDE.

Разработчики найдут, что интеграция прикладных программ будет естественной и нетрудной.

Комплект инструментальных средств разработчика включен в стандартную поставку AIX. Комплект инструментальных средств включает библиотеки, файлы заголовков и инструменты построения прикладных программ.

Рабочий стол также поддерживает существующие прикладные программы X Window, OSF/MOTIF и OPENLOOK.

Почему CDE?

Преимущества CDE

Широкое применение в индустрии

CDE широко применяется в индустрии UNIX, многими независимыми поставщиками программного обеспечения и разработчики прикладных программ.

Обширная система интерактивной справки

Стандартная система интерактивной справки является системной, но прикладные программы могут быть легко с ней интегрированы.

Богатый набор инструментальных средств для производительной работы

Много встроенных инструментальных средств, таких как календарь, редактор пиктограмм, текстовый редактор, клиент электронной почты, программа управления печатью и эмулятор терминала.

Множественные рабочие области

Одна из более популярных особенностей рабочего стола - множественные рабочие области между которыми можно переключаться. Учитывает особенности работы в распределенной среде

Рабочий стол разработан, чтобы помочь пользователям воспользоваться преимуществом распределенных вычислений. Например пользователь может добавлять встречу в календарь другого пользователя или выполнять прикладную программу, которая размещена на удаленной машине.

Основан на стандартах

CDE основан на промышленных стандартах X-OPEN, X11 release 5, OSF/MOTIF 1.2 и Spec 1170.

Интуитивность

CDE основан на непротиворечивом интерфейсе пользователя для представления и поведения настольных компонентов.

Краткое описание рабочего стола AIX CDE

Управление окнами / лицевая панель

Администратор окон и лицевая панель управляют доступом к рабочим областям окна, прикладным программам, устройствам и часто используемым объектам.

Администратор окон основан на стандартах OSF/MOTIF 1.2 и включает в себя расширения для поддержки множественных рабочих областей (дополнительные области экранного пространства).

Лицевая панель обеспечивает доступ к часто используемыми пиктограммам. Имеется также удобные пиктограммы блокировки экрана и выхода из системы. Лицевая панель настраивается через простые меню; пользователи могут добавлять, удалять или переименовывать рабочие области, создавать субпанели и управлять ими. Опытные пользователи могут редактировать файлы конфигурации лицевой панели. Эти файлы могут изменять лицевую панель так, чтобы поддерживать специфические потребности заказчика, например, изменение размеров лицевой панели, размещения ег на экране, а также замены или добавления пиктограмм.

Администратор файлов

Администратор файлов используется, чтобы просматривать и управлять объектами и папками. Администратор файлов поддерживает многократные представления объектов, таких как дерево директорий, пиктограммы или подробного представления.

Администратор файлов позволяет создавать, перемещать, копировать и удалять объекты, а также изменять их свойства. Большинство этих действий может быть выполнено или через прямое манипулирование (методом drag and drop) или через меню.

Администратор стиля

Внешний вид рабочего стола может быть настроен через администратора стиля. Администратор стиля позволяет пользователям изменять такие характеристики представления как: цветовую палитру, фон, установки мыши, установки клавиатуры, поведение окон и хранитель экрана.

Интерактивная справка CDE

Desktop обеспечивает интерактивную систему контекстно-чувствительной справки, которая включает просмотр и поддержку гипертекста для информации основанной на SGML. Администратор справки включает API которые позволяют прикладным программам представлять их собственные контекстно-чувствительные окна помощи. Эти API позволяют разработчикам прикладных программ сэкономить время для создания системы помощи.

Инструментальные средства пользователя

CDE Desktop предлагает набор графических инструментов для просмотра и редактирования данных и для связи с другими пользователями. В состав этих инструментов входят текстовый редактор, редактор пиктограмм, клиент электронной почты, календарь и инструменты печати. Эти прикладные программы сильно интегрированы друг с другом и с услугами desktop. Также стандартно поставляются программы графического калькулятора, часов, просмотр man-страниц и т.п.

Инструменты разработок программ

Desktop стандартно включает в себя два инструментальных средства, которые поддерживают быстродействующие прототипирование и разработку графических интерфейсов. Эти инструментальные средства - Application Builder и dtscript.

Dtscript - графический интерфейс создания диалогов и сценариев, основанный на технологии Windowing Korn Shell.

Application Builder - дополнительный простой инструмент разработки, который поддерживает новые widgets CDE.

Оба из этих инструмента позволяют пользователю создавать графический интерфейс, используя технику drag and drop.

Интернационализация

Desktop доступен на многих различных языках (в том числе и на русском). Реализация поддерживает независимость от кодовой таблицы и также позволяет пользователю выбирать язык при входе в систему.

К содержанию Вперед Назад

Приложения

К содержанию Вперед Назад

Приложения

Планирование безопасности

ОС AIX - полностью "открытая система". Эта ОС сама по себе не имеет никакой эффективной защиты, но она обеспечивает администратора инструментальными средствами для создания безопасной системы.

Первоначально администратор должен рассмотреть отдельно аспекты защиты:

1. ОС AIX;

2. Сетевая среда;

3. Среда NFS (и NIS, если используется).

При начальной установке

1. Установите TCB.

2. Установите пароль для root.

3. Установите следующие ограничения пароля в заданной по умолчанию станзе файла /etc/security/user:

pw_restrictions:
maxage = 12 (force change after 12 weeks)
maxrepeat = 3 (max three repeated characters)
minalpha = 1 (at least 1 alpha character)
mindiff = 3 (at least 3 different from last time)
minother = 1 (at least 1 nonalpha character)
maxexpired = 4 (allow logon 4 weeks after expired)
histexpire = 26 (prohibit reuse for 26 weeks)
histsize = 8 (prohibit reusing last 8 passwords)
pwdwarntime = 14 (start warning 14 days before expire)

4. Определите значение блокировки по времени. Поместите его в файл /etc/profile, если значение блокировки по времени должно быть единым для всех пользователей:

TMOUT=1800 (for Korn shell)
TIMEOUT=1800 (for Borne shell)
export TIMEOUT TMOUT

Значение блокировки по времени выражено в секундах. Например, значение 1800 означает, что оболочка должна блокировка по времени, если не производится никакого действия в течение 30 минут. Установите, и TMOUT и TIMEOUT, если ваши пользователи могут использовать любую оболочку.

5. Модифицируйте подсказку оболочки.

6. Переназначьте вывод skulker и подобных ему отчетов в один файл, например, /tmp/dailyreport - это сделает проще ежедневный контроль действий системы и ег состояния.

7. Команда securetcpip отключает некоторые сетевые сервисные демоны. Если не требуется применение команды rlogin и связанных с нею, то используйте эту команду.

8. В директории /var/adm/cron, используйте файлы cron.allow, cron.deny, at.allow, и at.deny для управления доступом к функциям cron.

9. Измените сообщение при входе в систему, которое идентифицирует вашу ОС.

10. Узнайте, как изменить сообщение дня.

11. Назначьте различные пароли root для различных машин. Администратор должен гарантировать, что для различных машин пароли root отличаются друг от друга. Можно позволить обычным пользователям иметь те же самые пароли на различных машинах, но никогда делайте этого для пользователя root.

12. Продумайте план мероприятий чрезвычайных мер. В том случае, когда администратор не сможет быть при аварии, другой уполномоченный человек должен иметь доступ к необходимому паролю. Использование этой процедуры должно регистрироваться и пароль должен быть изменен немедленно после его использования в чрезвычайной ситуации.

13. Рассмотрите необходимость отключения всех удаленных и dial-in терминалов в конце рабочего дня. Разрешите им доступ утром.

14. Тщательно проверьте все в заданных по умолчанию параметрах станзы файла /etc/security/user. Установите соответствующие значения по умолчанию прежде созда-ния пользователей. Это позволит не определять большиноство параметров для вновь создаваемых пользователей.

15. Рассмотрите необходимость отключения возможности входа в систему под именем root на любой системе, на которой более чем один человек знает пароль root. Такое отключение вынудит пользователей входить в систему под их собственным userid и затем выполнять команду su root. Средства аудита и/или записи в файле/var/adm/sulog будут контролировать этих пользователей.

16. Отредактируйте файл mkuser.default.

17. Рассмотрите предоставление SAK для всех терминалов, и разрешения всех пользователей, чтобы использовать доверенную оболочку.

Продолжение действий

1. Делайте копии. Храните архивы. Убедитесь, что ещг кто-то кроме вас знает, как восстановить файлы с самой свежей копии.

2. Остерегайтесь "свободно распространяемого программного обеспечения", "ПО общего пользования" или файлов, полученных с анонимного ftp-сервера. Никогда не запускайте общий файл при работе в системе с полномочиями root, если вы не исследовали этот файл и полностью не доверяете ему.

Выполнение этого требования может быть трудным делом. Пользователь (или даже ваш начальник) может прийти к вам с "замечательной" программой, которая ему срочно необходима. При этом она была получена "откуда-то" (из не очень доверенного источника) и различными способами передачи файла (с помощью не очень доверенного канала) и должна быть установлена с полномочиями root.

3. Новый пользователь, созданный через SMIT, не способен работать в системе, пока его пароль не создан (с помощью SMIT или командой passwd). Вы можете создавать новых пользователей прежде, чем они необходимы и временно не создавать для них пароли, пока этим пользователям не требуется доступ к системе.

4. При добавлении нового пользователя:

4.1. Убедитесь, что пользователь понимает, как задать приемлемый с точки зрения безопасности пароль, и как изменить его начальный пароль.
4.2. Объясните вашу стратегию относительно автоматических терминалов и операции блокировки по времени.
4.3. Дайте новому пользователю письменную копию стратегии безопасности вашей организации.
4.4. Попросите нового пользователя войти в систему. ОС попросит нового пользователя изменить пароль. Убедитесь, что он изменяет пароль.
4.5. Убедитесь, что пользователь знает где хранить его файлы (например, в директории /u/userid) - и где не хранить их (например в директории /tmp).
4.6. Проинструктируйте его по поводу опасности раскрытия (или дачи "взаймы") его пароля любому другому человеку.

5. Не позволите пользователям совместно использовать userid (совместно используя пароль) или UID (устанавливая несколько счетов с тем же самым UID).

6. При оказании помощи пользователю, не делайте su root из его сеанса. Если вы делаете это, вы используете его среду (с его PATH) и это открывает большое количество дефектов безопасности. Если вы всг же делаете su root из сеанса пользователя, то используйте полные имена пути для всех команд, которые вы используете при выполнении их как root.

7. Остерегайтесь пользователей, которые изменяют IFS (входной разделитель полей) в своих профилях. Не позволяйте им изменять файл /etc/profile. Хорошо осведомленный пользователь может проигрывать много умных приемов терминала с IFS и вызывать бесконечные проблемы.

8. Не поместите текущую директорию в PATH для root. Для отмены заданного по умолчанию PATH в заданном по умолчанию профиле (в файле /etc/profile) вы должны создать файл a.profile для root. a.profile находится в исходном каталоге пользователя.

9. Значение umask должно быть установлено для пользователей. Значение umask по умолчанию - 022, хотя значение 027 (отключает любой доступ "остальным") может быть лучше. Специфические значения umask могут быть помещены в индивидуальные файлы настроек пользователей $HOME/.profile (не забудьте, что пользователь может изменять его собственное значение umask в любое время).

10. Если Вы активизировали любые функции ревизии, Вы должны проверить их вывод по крайней мере ежедневно, при поиске необычных событий. Необычные события могут включать в себя действия в нерабочие часы, повторенные отказы входа в систему, повторенные отказы с командой su, и т.д.

11. Используйте tcbck ежедневно или по крайней мере еженедельно.

12. Модифицируйте профиль tcbck, когда важные файлы (из точки зрения защиты) или программы suid добавлены к системе.

13. Проверяйте файл /tmp/dailyreport ежедневно, если он существует.

Дополнительная аутентификация AIX позволяет Вам определять дополнительные первичные опознавательные шаги ("методы") и вторичные опознавательные шаги. В терминологии AIX, первичный опознавательный метод может отклонять вход в систему пользователя; вторичный опознавательный метод не может отклонять вход в систему.

Вторичный опознавательный шаг - метод для управления специфической программой как часть процесса входа в систему специфического пользователя. (Эта терминология уникальна AIX.)

Вход в систему с двумя паролями

Один общий метод увеличения защиты входа в систему состоит в том, чтобы требовать от пользователя два пароля. Для того чтобы войти в систему должны присутствовать два различных человека (с двумя различными паролями). Два различных пароля связаны с двумя различными счетами.

Не имеется никакого способа, используя стандартные средства, поддерживать два пароля для одного счета. Вы можете определять вход в систему с двумя паролями определенным образом, устанавливая следующие параметры, используя SMIT:

SMIT Security and Users Users Change/Show Characteristics of a User *User NAME [alex] ... PRIMARY Authentication Method [SYSTEM,SYSTEM;serg]

Когда alex регистрируется в системе, в этом примере, его запросят ввести его пароль. Если он отвечает правильно, система запросит затем ввести пароль пользователя serg (конечно, alex мог бы знать оба пароля, но тогда теряется смысл входа в систему с двумя паролями).

Вы должны установить ПЕРВИЧНЫЙ Опознавательный Метод точно как показано выше. Параметр SYSTEM определяет, что должна использоваться обычная программа установления подлинности пароля. По умолчанию, она проверяет пароль регистрирующегося пользователя.

Второй параметр SYSTEM определяет вторую проверку. В этом случае имеется операнд ;serg, и проверяется пароль счета, определенного в этом операнде.

Файлы безопасности

Нижеследующие ASCII файлы содержат атрибуты пользователей и контроля доступа:

Ю /etc/passwd допустимые пользователи
Ю /etc/group допустимые группы
Ю /etc/security директория не доступная обычным пользователям
Ю /etc/security/passwd пароли пользователей
Ю /etc/security/user атрибуты пользователей, ограничения на пароли
Ю /etc/security/limits ограничения пользователей
Ю /etc/security/environ установки окружения пользователей
Ю /etc/security/login.cfg установки входа в систему
Ю /etc/security/group атрибуты групп

Файл /etc/passwd

Файл /etc/passwd является списком пользователей системы и некоторыми их атрибутами. Этот файл должен быть доступен для чтения всеми пользователями. Пример файла (фрагмент):

# catr /etc/passwd
root:!:0:0::/:/bin/ksh
daemon:!:1:1::/etc:
bin:!:2:2::/bin:
sys:!:3:3::/usr/sys:
adm:!:4:4::/var/adm:
uucp:!:5:5::/usr/lib/uucp:
guest:!:100:100::/home/guest:
nobody:!:4294967294:4294967294::/: lpd:!:104:9::/:
alex:!:200:0:X7560 5th floor:/home/alex:/bin/ksh

Поля этого файла, разделяемые символом ":", следующие:

Ю имя пользователя - до 8-ми алфавитно-цифровых символов.
Ю пароль - в старых системах UNIX здесь содержался зашифрованный пароль. В AIX это поле содержит символ "!" как ссылка на файл /etc/security/passwd. Другими общими значениями этого поля может быть символ "*", который означает, что идентификатор пользователя неверный и это поле может быть пустым, что означает, что пароля нет.
Ю идентификатор пользователя - номер идентификатора пользователя.
Ю индетификатор группы - номер идентификатора группы вышеуказанного пользователя.
Ю полное имя - любой описательный текст для пользователя.
Ю директория -директория пользователя при входе в систему и инициирующее значение для переменной $HOME.
Ю login программа - оболочка пользователя при входе в систему и инициирующее значение для переменной $SHELL.

Файл /etc/security/passwd

Доступ к этому файлу есть только у пользователя root. Изменяется этот файл с помощью команд login, passwd, pwdadm и pwdck, исполняющихся с полномочиями root.

В этом файле хранятся зашифрованные пароли и связанная с ними информация. Этот файл имеет формат станз со станзами на каждого пользователя.

Пример файла (фрагмент):

# cat /etc/security/passwd
root:
    password=92t.mzJBjlfbY
    lastupdate=668124164
    flags=
daemon:
    password=*
bin:
    password=*
:
alex:
    password=q/qD6q.ss21x.
    lastupdate=666293529
    flags=ADMCHG,ADMIN,NOCHECK

Допустимые значения:

Ю password зашифрованный пароль или символ "*" для заблокированных счетов или пустой пароль.
Ю lastupdate дата и время последнего обновления пароля в секундах начиная с 1 января 1970 года.
Ю flags ADMCHG - пароль может быть изменен только администратором или пользователем root. ADMIN - пароль пользователя может быть изменен только root. NOCHECK - ограничения пароля не имеют силы для этого пользователя.

Файл /etc/security/user

Пример файла (фрагмент):

#cat /etc/security/user
default:
	admin=false
	login=true
	su=true
	daemon=true
	rlogin=true
	sugroups=ALL
	admgroups=
	ttys=ALL
	auth1=SYSTEM
	auth2=NONE
	tpath=nosak
	umask=022
	expires=0
	SYSTEM="compat"
	logintimes=
	pwdwarntime=0
	account_locked=false
	loginretries=0
	histexpire=0
	histsize=0
	minage=0
	maxage=0
	maxexpired=-1
	minalpha=0
	minother=0
	minlen=0
	mindiff=0
	maxrepeats=8
	dictionlist=
	pwdchecks=

Описание полей:

admin Определяется административный статус пользователя. Возможные значения true и false.
login Определяется то, может ли пользователь входить в систему. Возможные значения true и false.
su Определяется то, могут ли другие пользователи переключатся на этот счет командой su или нет. Возможные значения true и false.
daemon Определяется то, может ли пользователь исполнять программы пользуясь демоном cron или системным контроллером ресурсов (SRC). Возможные значения true и false.
rlogin Определяется то, можно ли получить доступ к счету пользователя используя удаленный вход в систему. Используется командами telnet и rlogin. Возможные значения true и false.
sugroups Определяются группы которые могут переключатся на этот счет пользователя. Если вы вставите символ "!" перед именем группы, ее пользователи наоборот будет исключены из возможности переключатся на этот счет. Возможные значения: список допустимых групп, разделенных запятыми, значение ALL или символ "*".
admgroups Список групп, которыми управляет пользователь. Значение: список доступных групп, разделенных запятыми.
ttys Определяются терминалы, с которых пользователю возможен доступ. Используя символ "!" перед именем терминала вы запретите использовать его для доступа пользователю. Возможные значения: список полных путей к устройствам, разделенный запятыми, значение ALL или символ "*".
auth1 Определяется первичный метод аутентификации для пользователя, который по умолчанию устанавливается для программы пароля. Этот метод аутентификации будут использовать программы login, telnet, rlogin и su. Для удвоенного входа в систему значением этого поля будет SYSTEM;NAME1,SYSTEM;NAME2.
auth2 Определяет для пользователя вторичный метод аутентификации.
tpath Определяет для пользователя характеристики доверенного пути. Возможные значения: nosak, notsh, always или on.
umask Определяет для пользователя значение переменной umask по умолчанию. Рекомендуется установить в 027.
expires Определяется время действительности счета пользователя. Возможные значения: дата допуска в формате MMDDHHMMYY или 0, если счет не имеет определенного времени допустимости. При значении 0101000070 счет отменен.
SYSTEM Определяются требования к аутентификации версии 4. Это поле используется для определения множественных или альтернативных методов аутентификации которые пользователь должен успешно пройти перед получением доступа к системе. Возможные значения:

files когда возможно только локальным пользователям иметь доступ к системе.
compat когда используется обычная процедура входа в систему и разрешается иметь доступ к системе как локальным пользователям так и пользователям NIS.
DCE используется аутентификация Распределенной Компьютерной Среды (Distributed Computing Enviroment, DCE).

logintimes Определяет время, когда пользователь может входить в систему. Значением является список времен, разделенный запятыми, в следующем формате: [!] [MMdd[-MMdd]]:hhmm-hhmm или [!] [MMdd[-MMdd][:hhmm-hhmm] или [!] [w[-w]]:hhmm-hhmm или [!] w[-w][:hhmm-hhmm] где, MM - номер месяца (00=январь, 11=декабрь), dd - день месяца, hh - часы дня (00-23), mm - минуты часа и w - день недели (0=воскресенье, 6=суббота).
pwdwarntime Количество дней перед сменой пароля когда появляется предупреждение пользователю с информацией о необходимости скорой смены пароля. Возможные значения: положительное целое число или 0 для выключения этой функции.
account_disable Устанавливается в true, если счет по умолчанию заблокирован и не может быть ис-пользован для входа в систему. В обратном случае устанавливается в false.
logintries Количество попыток неправильных входов в систему, после чего пользователь не имеет возможности войти в систему. Возможные значения: положительное целое число или 0 для выключения этой функции.
histexpire Определяет период в неделях в течении которого пользователь не может применить снова свой старый пароль. Возможные значения: целое число от 0 до 260. Рекомендованное значение - 26 (около 6-ти месяцев).
histsize Определяется количество старых паролей, которые не могут быть повторены. Возможные значения: целые числа от 0 до 50.
minage Определяется минимальное количество недель между сменами паролей. По умолчанию=0. Диапазон от 0 до 52. Рекомендуется оставить значение по умолчанию.
maxage Работает совместно с переменной pwdwarntime (см.выше). Определяет максимальное количество недель когда пароль является действующим. По умолчанию=0, что означает неограниченное время использования. Допустимый диапазон значений от 0 до 52.
maxexpired Определяется максимальное количество недель после истечения периода, указанного в переменной maxage, в течении которого пользователю дается возможность изменить свой пароль. По умолчанию=-1, что эквивалентно неограниченному сроку. Допустимый диапазон от -1 до 52.
minalpha Определяется минимальное количество алфавитных символов в пароле. По умолчанию=0. Диапазон - от 0 до 8.
minother Определяется минимальное количество неалфавитных символов в пароле. По умолчанию=0. Диапазон - от 0 до 8. Сумма значений параметров minalpha и minother должна не превышать 8. Если эта сумма больше 8 то значение параметра minother вычисляется как разница между 8 и значением параметра minalpha.
minlen Определяется минимальная длина пароля. По умолчанию=0. Диапазон - от 0 до 8. Минимальная длина пароля берется из значения этого параметра или из суммы значений параметров minalpha+minother, в зависимости от того, какая величина больше.
mindiff Определяется минимальное количество символов в новом пароле, которые не должны совпадать с символами в старом при его смене. По умолчанию=0. Возможные значения - от 0 до 8.
maxrepeats Определяется максимальное количество повторений одного символа в пароле. По умолчанию=8, что эквивалентно неограниченному количеству повторений. Возможные значения - от 0 до 8.
dictionlist Определяет словарь паролей используемый для проверки на "стойкость" нового пароля. Возможные значения: разделенный запятыми список абсолютных путей к файлам словарей. Файл словаря должен содержать по одному слову на строку, причем каждое слово не должно иметь пробелов ни впереди ни сзади. Слова могут содержать только 7-ми битные символы ASCII. Все словари и директории должны быть защищены от за-писи от всех пользователей, кроме root. По умолчанию не используется никакого файла словарей.
pwdchecks Определяется внешний ограничивающий метод используемый для проверки качества пароля. Возможные значения: разделенный запятыми список абсолютных путей методов проверки и/или путь к методу относительно директории /usr/lib. По умолчанию внешний ограничивающий метод проверки пароля не используется.

Файлы /etc/group и /etc/security/group

#more /etc/group
system:!:0:root,alex
staff:!:1:alex
bin:!:2:root,bin
sys:!:3:root,bin,sys
adm:!:4:bin,adm
uucp:!:5:uucp
mail:!:6:
security:!:7:root
nobody:!:4294967294:nobody,lpd
usr:!:100:guest
accounts:!:200:alex

Поля в файле /etc/group следующие:

Ю группа до 8 алфавитно-цифровых символов.
Ю пароль не используется AIX 4-й версии и должен содержать "!" Ю групповой идентификатор
Ю члены разделенный запятыми список пользователей, членов группы.

#more /etc/security/group
system:
    admin=true
staff:
    admin=false
:
accounts:
    admin=false
    adms=alex

Файл /etc/security/group построен в формате станз для каждой группы. Возможные параметры:
Ю admin true или false, в зависимости от того административная группа или нет.
Ю adms разделенный запятыми список пользователей, которые являются администраторами группы. Если параметр admin=true, то этот параметр игнорируется, так как только root может управлять административной группой.

Файл /etc/security/login.cfg

default:
:
herald="\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\nThis is the console. Restricted use only.\nlogin:
logintimes=
logindisable=0
logininterval=0
loginreenable=0
logindelay=0

Именами станз являются имена портов.

Возможные параметры:

herald Определяется первое сообщение выдаваемое на экран перед приглашением войти в систему. Значением является строка. Если herald явно не определен, то используется herald по умолчанию из директории сообщений ассоциированных с тем языком, который установлен в файле /etc/environment.

logintimes Определяет период в течение которого пользователь может использовать порт для входа в систему.

logindisable Количество неуспешных попыток входа в систему после которых порт будет заблокирован. Используется совместно с параметром logininterval (см.ниже).

logininterval Число секунд в течении которых порт будет заблокирован при достижении количества неуспешных попыток входа в систему согласно значения, установленного в параметре logindisable.

loginreenable Количество минут после прошествия которых заблокированный порт автоматически разблокируется.

logindelay Время задержки в секундах между попытками неудачного входа в систему. Задержка увеличивается с каждой попыткой на эту величину. То есть если значение у этого параметра - 2, то первая задерка будет 2 секунды, вторая - 4, третья - 6 секунд и так далее.

К содержанию Вперед Назад

Об авторе

К содержанию Назад

Об авторе

Быков Алексей Геннадиевич - менеджер информационной системы ЗАО "Комтек", г.Кривой Рог, Украина.

В 1990 году после окончания 2-го курса на кафедре "Физика полупроводниковых материалов и приборов" МИСиС работал в научно-исследовательском и проектном институте "Механобрчермет", где прошел путь от техника технического отдела до начальника рекламного отдела. Затем руководил рекламной фирмой "Софт-Пресс", после чего перешел в 1992 году работать в ПКФ "Комтек" (в дальнейшем преобразованное в закрытое акционерное общество), где и работает в настоящее время.

Выполняет задачи по развитию и управлению корпоративной информационной системой ЗАО "Комтек", построенной на серверах с операционными системами Microsoft Windows NT Server, IBM AIX, персональных компьютерах и сетевом оборудовании IBM, Hewlett-Packard, Cisco, 3Com. Участвует в техническом руководстве информационной системой Криворожского процессингового центра ЗАО "Комтек" по обслуживанию системы безналичных расчетов с использованием смарт-карт (система построена на использовании AIX, Oracle, системы SmartCity, маршрутизаторов и серверов доступа фирмы Cisco).

E-mail: agb@krig.dp.ua

К содержанию Назад