3.4.3. ユーザーの認証の更新
基本的な useradd username コマンドを実行すると、パスワードは自動的に期限切れになりません(
/etc/shadow
ファイルを参照)。
これを変更する場合は、passwd を使用して
/etc/passwd
ファイルを管理する標準ユーティリティーを使用します。passwd コマンドの構文は、以下のようになります。
passwd option(s) username
たとえば、指定したアカウントをロックできます。このロックは、暗号化された文字列を感嘆符(
!
)のプレフィックスを付けて無効な文字列にレンダリングすることで、暗号化されたパスワードを無効な文字列にレンダリングすることで実行されます。後でアカウントのロックを解除する理由を見つけた場合は、passwd にロックのためのリバース操作があります。これらの 2 つの操作を実行できるのは root
のみです。
passwd -l username passwd -u username
例3.8 ユーザーパスワードのロック解除
~]# passwd -l robert Locking password for user robert. passwd: Success ~]# passwd -u robert passwd: Warning: unlocked password would be empty passwd: Unsafe operation (use -f to force)
最初は、
-l
オプションが robert
のアカウントパスワードを正常にロックします。ただし、 passwd -u コマンドを実行すると、パスワードレスアカウントの作成を拒否するため、パスワードのロックを解除しません。
アカウントのパスワードの有効期限が切れるようにするには、
-e
オプションを指定して passwd を実行します。ユーザーは、次回のログイン時にパスワードの変更を強制します。
passwd -e username
パスワードの有効期間が重要であるため、パスワードの変更の最小時間を設定することは、ユーザーが実際にパスワードを変更するのに便利です。システム管理者は、最小(
-n
オプション)および最大( -x
オプション)の有効期間を設定できます。パスワードの有効期限についてユーザーに通知するには、-w
オプションを使用します。これらのオプションはすべて日数とともに指定する必要があり、root
でのみ実行できます。
例3.9 ユーザーパスワードのデータの調整
~]# passwd -n 10 -x 60 -w 3 jane
上記のコマンドでは、最小パスワード有効期間を 10 日間、パスワードの最大有効期間を 60 日に設定し、自分のパスワードが 3 日後に期限切れになる前に警告を受信し始めます。
後で、パスワード設定を記憶できない場合は、
-S
オプションを使用して、特定のアカウントのパスワードステータスを把握するための短い情報を出力します。
~]# passwd -S jane jane LK 2014-07-22 10 60 3 -1 (Password locked.)
また、useradd コマンドを使用して、パスワードの期限が切れるまでの日数を設定することもできます。これにより、アカウントが完全に無効になります。値が
0
の場合は、パスワードの期限が切れるとすぐにアカウントが無効になり、値が -
1 の場合はこの機能が無効になります。つまり、ユーザーはパスワードの期限が切れたときにパスワードを変更する必要があります。-f
オプションは、アカウントが無効になるまで、パスワードの期限が切れてから日数を指定するために使用されます(ただし、システム管理者がブロック解除することもできます)。
useradd -f
number-of-days username
passwd コマンドの詳細は、man ページの passwd(1)を参照してください。