Atributos de seguridad y la base de datos de usuarios

Anteriormente, en modo estándar, todos los atributos de seguridad y restricciones de la directiva de contraseñas de HP-UX se definían en todo el sistema. La introducción de la base de datos de usuarios permite definir los atributos de seguridad usuario a usuario, lo que anula los valores por defecto accesibles en el sistema.

Atributos de seguridad del sistema

Los atributos de seguridad definen cómo controlar las configuraciones de seguridad, por ejemplo, las contraseñas, los inicios de sesión y la auditoría. El archivo de descripción de atributos de seguridad, /etc/security.dsc, enumera los atributos que se pueden definir en el archivo /etc/default/security y en la base de datos de usuarios de /var/adm/userdb, o en ambos archivos. Algunos atributos se pueden configurar, mientras que otros son internos.




	ATENCIÓN: No modifique el archivo `/etc/security.dsc` de manera alguna.

Cuando un usuario inicia una sesión, el sistema comprueba si hay atributos de seguridad aplicables en el siguiente orden:

El sistema examina los atributos por usuario en las siguientes ubicaciones:
- /var/adm/userdb
- /etc/passwd
- etc/shadow
  NOTA: Para cada atributo por usuario, se almacena un valor en uno de los tres archivos anteriores. Para ver qué atributos se almacenan en cada archivo, consulte la página de manual de security(4).
Si no hay ningún valor por usuario, el sistema examina los atributos para todo el sistema configurados en el archivo /etc/default/security.
Si no hay ningún atributo para todo el sistema configurado, el sistema utiliza los atributos por defecto del archivo /etc/security.dsc.

Configuración de los atributos para todo el sistema

Para configurar atributos accesibles en el sistema, dé los pasos siguientes:

Planifique la configuración mediante los recursos disponibles. Para obtener información sobre la configuración de los atributos accesibles en el sistema, consulte la página de manual de security(4).
Para modificar un valor por defecto accesible en el sistema, modifique el archivo /etc/default/security con un editor de texto como vi. Los comentarios van precedidos de un signo de número (#). Los atributos se escriben en el formato attributo=valor.
Por ejemplo, para definir en dos (2) el número mínimo accesible en el sistema de caracteres en mayúscula de una contraseña, escriba los siguientes valores en /etc/default/security:
PASSWORD_MIN_UPPER_CASE_CHARS=2




	NOTA: Los cambios efectuados en los atributos de seguridad accesibles en el sistema no surten efecto inmediatamente. Los atributos de contraseña surtirán efecto la próxima vez que los usuarios cambien la contraseña. Los atributos de inicio de sesión surtirán efecto la próxima vez que los usuarios inicien una sesión.

Componentes de la base de datos de usuarios

La característica de base de datos de usuarios de HP-UX SMSE abarca archivos, comandos, páginas de manual y atributos por usuario que se pueden aplicar a usuarios específicos del sistema HP-UX. Todos estos elementos de la base de datos de usuarios se describen en las siguientes secciones.

Archivos de configuración

La Tabla 4-1 describe brevemente los archivos que se utilizan con la base de datos de usuarios.

Tabla 4-1 Archivos de configuración de la base de datos de usuarios

Archivo	Descripción
`/var/adm/userdb`	Almacena la mayor parte de la información por usuario.

Comandos

La Tabla 4-2 describe brevemente los comandos que se pueden utilizar para modificar y administrar entradas en la base de datos de usuarios.

Tabla 4-2 Comandos de la base de datos de usuarios

Comando	Descripción
userdbset	Cambia los valores de atributo configurados en la base de datos de usuarios.
userdbget	Muestra los valores de atributo configurados en la base de datos de usuarios.
userdbck	Comprueba la integridad de la información en la base de datos de usuarios.
userstat	Informa del estado de las cuentas de usuario locales.

Atributos

Se dispone de los siguientes atributos de seguridad para usuarios individuales:

Tabla 4-3 Atributos de usuario

Atributo	Descripción
`ALLOW_NULL_PASSWORD`	Permite o deniega el inicio de sesión con una contraseña nula.
`AUDIT_FLAG`	Audita o detiene la auditoría del usuario.
`AUTH_MAXTRIES`	Define el número de errores de inicio de sesión permitidos antes de bloquear el acceso de un usuario al sistema.
`DISPLAY_LAST_LOGIN`	Muestra información sobre el último inicio de sesión del usuario.
`LOGIN_TIMES`	Restringe los periodos de tiempo de inicio de sesión.
`MIN_PASSWORD_LENGTH`	Define la longitud mínima de la contraseña.
`NUMBER_OF_LOGINS_ALLOWED`	Define el número de inicios de sesión simultáneos permitidos por usuario.
`PASSWORD_HISTORY_DEPTH`	Define el nivel de detalle del historial de contraseñas.
`PASSWORD_MIN_LOWER_CASE_CHARS`	Define la cantidad mínima de caracteres en minúscula necesarios en una contraseña.
`PASSWORD_MIN_UPPER_CASE_CHARS`	Define la cantidad mínima de caracteres en mayúscula necesarios en una contraseña.
`PASSWORD_MIN_DIGIT_CHARS`	Define la cantidad mínima de caracteres digitales necesarios en una contraseña.
`PASSWORD_MIN_SPECIAL_CHARS`	Define la cantidad mínima de caracteres especiales necesarios en una contraseña.
`UMASK`	Define umask para la creación de archivos.




	NOTA: La lista anterior sólo contiene los atributos de seguridad que se pueden configurar en la base de datos de usuarios. Para obtener una lista completa de los atributos de seguridad del sistema HP-UX, consulte la página de manual de security(4).

Páginas de manual

La Tabla 4-4 describe brevemente las páginas de manual que se utilizan con la base de datos de usuarios.

Tabla 4-4 Páginas de manual de la base de datos de usuarios

Página de manual	Descripción
userdb(4)	Proporciona una descripción general del uso de la base de datos de usuarios.
userdbset(1M)	Describe la funcionalidad y la sintaxis de userdbset.
userdbget(1M)	Describe la funcionalidad y la sintaxis de userdbget.
userdbck(1M)	Describe la funcionalidad y la sintaxis de userdbck.
userstat(1M)	Describe la funcionalidad y la sintaxis de userstat.

Configuración de los atributos de la base de datos de usuarios

En los sistemas HP-UX anteriores, los atributos de seguridad y las restricciones de la directiva de contraseñas se definían en todo el sistema. Con HP-UX SMSE, se pueden configurar algunos atributos de seguridad por usuario. Los atributos configurados por usuario anulan los atributos configurados en todo el sistema.

Para modificar los valores de atributo de un usuario, dé los pasos siguientes:

Decida qué usuarios se van a modificar y qué atributos se les van a aplicar.
Por ejemplo, quiere que el usuario joe pueda iniciar sesión en el sistema sólo entre las 8:00 y las 17:00 h los lunes.
Cambie los atributos mediante el comando userdbset como sigue:
# userdbset -u nombre_usuario nombre_atributo=valor_atributo
Por ejemplo, para especificar que el usuario joe pueda iniciar sesión en el sistema sólo entre las 8:00 y las 17:00 h, escriba:
# userdbset -u joe LOGIN_TIMES=Mo0800-1700

Solución de problemas con la base de datos de usuarios

Utilice los siguientes procedimientos para solucionar problemas relativos a la base de datos de usuarios.

Problema 1: Los atributos de seguridad de un usuario parecen no estar configurados correctamente. Si sospecha que la base de datos de usuarios contiene información de un usuario no configurada correctamente, ejecute el siguiente comando:

# userdbget -u nombre_usuario

Los atributos configurados para el usuario nombre_usuario se mostrarán. Si un atributo no está configurado correctamente, vuelva a configurarlo. Para obtener instrucciones, consulte la sección «Configuración de los atributos de la base de datos de usuarios».

Problema 2: La base de datos de usuarios no funciona correctamente. Si necesita comprobar la base de datos de usuarios, ejecute el siguiente comando:

# userdbck

El comando userdbck identifica y soluciona los problemas de la base de datos de usuarios.