Attributi di protezione e database degli utenti

In precedenza, nella modalità standard tutte le limitazioni di attributi di protezione e criteri delle password di HP-UX erano definite a livello dell'intero sistema. L'introduzione del database utenti consente di impostare gli attributi di protezione in base ai singoli utenti, ignorando le impostazioni predefinite a livello dell'intero sistema.

Attributi di protezione del sistema

Un attributo di protezione definisce il modo in cui sono controllate le configurazioni di protezione, come password, accessi ed auditing. Il file che descrive gli attributi di protezione, /etc/security.dsc, elenca gli attributi che è possibile definire in /etc/default/security e nel database degli utenti in /var/adm/userdb, o in entrambi questi file. Alcuni attributi sono configurabili, altri sono interni.




	ATTENZIONE: Il contenuto del file `/etc/security.dsc` non deve essere alterato in nessun modo.

Quando un utente esegue l'accesso, il sistema controlla gli attributi di protezione applicabili nell'ordine seguente:

Il sistema esamina gli attributi per utente nelle seguenti ubicazioni:
- /var/adm/userdb
- /etc/passwd
- /etc/shadow
  NOTA: Per ogni attributo per utente, è conservato un valore in uno dei tre file di cui sopra. Per conoscere quali attributi sono conservati in ogni file, consultare security(4).
Se non ci sono valori per utente, il sistema esaminerà quindi gli attributi predefiniti configurati per l'intero sistema in /etc/default/security.
Se non sono stati configurati dei valori per l'intero sistema, il sistema utilizzerà gli attributi predefiniti in /etc/security.dsc.

Configurazione degli attributi per l'intero sistema

Per configurare degli attributi validi per l'intero sistema, eseguire le operazioni seguenti:

Pianificare la propria configurazione in base alle risorse disponibili. Per informazioni sulla configurazione degli attributi per l'intero sistema, consultare security(4).
Per modificare un'impostazione predefinita per l'intero sistema, modificare con un editor di testo, come vi, il file /etc/default/security. I commenti iniziano con il carattere #. Gli attributi sono scritti nel formato attributo=valore.
Ad esempio, per impostare a livello di intero sistema un numero minimo di due (2) caratteri maiuscoli in una password, digitare i valori seguenti in /etc/default/security:
PASSWORD_MIN_UPPER_CASE_CHARS=2




	NOTA: I cambiamenti degli attributi di protezione per un intero sistema non hanno effetto immediato. Gli attributi relativi alle password hanno effetto al successivo cambiamento della password da parte degli utenti. Gli attributi relativi all'accesso hanno effetto al successivo accesso degli utenti.

Componenti del database degli utenti

La funzionalità del database degli utenti di HP-UX SMSE comprende file, comandi, manpage e attributi per utente che è possibile applicare ad utenti specifici del proprio sistema HP-UX. Tutti questi elementi del database degli utenti sono descritti nelle seguenti sezioni:

File di configurazione

La Tabella 4-1 descrive brevemente i file utilizzati con i componenti dei database degli utenti.

Tabella 4-1 File di configurazione del database degli utenti

File	Descrizione
`/var/adm/userdb`	Memorizza la maggior parte delle informazioni per utente.

Comandi

La Tabella 4-2 descrive brevemente i comandi che è possibile utilizzare per modificare e gestire le voci del database degli utenti.

Tabella 4-2 Comandi del database degli utenti

Comando	Descrizione
userdbset	Modifica il valore di un attributo configurato nel database degli utenti.
userdbget	Visualizza il valore di un attributo configurato nel database degli utenti.
userdbck	Controlla l'integrità delle informazioni contenute nel database degli utenti.
userstat	Segnala lo stato degli account degli utenti locali.

Attributi

Per i singoli utenti sono disponibili i seguenti attributi di protezione:

Tabella 4-3 Attributi dell'utente

Attributo	Descrizione
`ALLOW_NULL_PASSWORD`	Consente o impedisce l'accesso con password vuote.
`AUDIT_FLAG`	Esegue o arresta l'auditing dell'utente.
`AUTH_MAXTRIES`	Definisce il numero di accessi non riusciti dopo il quale l'accesso di un utente al sistema è bloccato.
`DISPLAY_LAST_LOGIN`	Visualizza le informazioni sull'ultimo accesso dell'utente.
`LOGIN_TIMES`	Limita l'accesso ad orari determinati.
`MIN_PASSWORD_LENGTH`	Definisce la lunghezza minima delle password.
`NUMBER_OF_LOGINS_ALLOWED`	Definisce il numero massimo consentito di accessi simultanei per utente.
`PASSWORD_HISTORY_DEPTH`	Definisce la lunghezza della cronologia delle password.
`PASSWORD_MIN_LOWER_CASE_CHARS`	Definisce il numero minimo di caratteri minuscoli obbligatori nella password.
`PASSWORD_MIN_UPPER_CASE_CHARS`	Definisce il numero minimo di caratteri maiuscoli obbligatori nella password.
`PASSWORD_MIN_DIGIT_CHARS`	Definisce il numero minimo di caratteri numerici obbligatori nella password.
`PASSWORD_MIN_SPECIAL_CHARS`	Definisce il numero minimo di caratteri speciali obbligatori nella password.
`UMASK`	Definisce il valore di umask per la creazione di file.




	NOTA: L'elenco precedente contiene solamente attributi di protezione nel database degli utenti che è possibile configurare. Per l'elenco completo degli attributi di protezione del sistema HP-UX, consultare security(4).

Manpage

La Tabella 4-4 descrive brevemente le manpage usate con il database degli utenti.

Tabella 4-4 Manpage del database degli utenti

Manpage	Descrizione
userdb(4)	Offre una panoramica dell'uso del database degli utenti.
userdbset(1M)	Descrive le funzionalità e la sintassi di userdbset.
userdbget(1M)	Descrive le funzionalità e la sintassi di userdbget.
userdbck(1M)	Descrive le funzionalità e la sintassi di userdbck.
userstat(1M)	Descrive le funzionalità e la sintassi di userstat.

Configurazione degli attributi nel database degli utenti

Nei precedenti sistemi HP-UX, le limitazioni degli attributi di protezione e dei criteri delle password erano definite a livello dell'intero sistema. Con HP-UX SMSE, è possibile configurare alcuni attributi di protezione in base ai singoli utenti. Gli attributi configurati per i singoli utenti ignorano gli attributi configurati per l'intero sistema.

Per modificare il valore di un attributo dell'utente, eseguire le operazioni seguenti:

Decidere quali utenti modificare e quali attributi applicare ad essi.
Ad esempio, si desidera che l'utente giorgio sia in grado di accedere al sistema solo dalle 8.00 alle 17.00 del lunedì.
Modificare gli attributi con il comando userdbset, nel modo seguente:
# userdbset -u nome_utente nome_attributo=valore_attributo
Ad esempio, per specificare che l'utente giorgio può accedere al sistema solo dalle 8.00 alle 17.00, digitare:
# userdbset -u giorgio LOGIN_TIMES=Mo0800-1700

Risoluzione dei problemi del database degli utenti

Per risolvere i problemi del database degli utenti, usare le seguenti procedure.

Problema 1: Gli attributi di protezione di un utente sembrano configurati impropriamente. Quando vi è il sospetto che le informazioni di un utente siano configurate impropriamente nel database degli utenti, eseguire il comando seguente:

# userdbget -u nome_utente

Saranno così visualizzati gli attributi configurati dell'utente nome_utente. Se un attributo è configurato impropriamente, riconfigurarlo. Per i dettagli, consultare “Configurazione degli attributi nel database degli utenti”.

Problema 2: Il database degli utenti non in funziona in modo appropriato. Se è necessario controllare il database degli utenti, eseguire il comando seguente:

# userdbck

Il comando userdbck identifica e risolve i problemi del database degli utenti.