引言 　　aix 提供了大量的命令来处理用户和组管理。本文讨论其中一些核心安全命令，并提供可用作便捷参考的列表。这些命令的行为在所有 aix 版本中应该都是相同的。 　　命令 　　一般命令 　　如何在 aix 上创建用户？ 　　要在 aix 上创建用户，可以输入以下命令： mkuser 　　或者 useradd 　　这两个命令都在 aix 上创建该用户，并更新 /etc/passwd 文件中的用户信息。 　　如何设置用户密码？ 　　passwd 命令设置用户的密码，并将用户的密码信息更新到 /etc/security/passwd 文件中。在使用 passwd 命令来为用户设置密码之后，它将设置 admchk 标志，以便在用户下一次登录期间提示他们更改密码。 　　要设置密码，可以输入以下命令：passwd 　　如何清除某个用户的 admchk 标志？ 　　要清除某个用户的 admchk 标志和所有的密码标志，可以输入以下命令：pwdadm -c 　　-c 标志清除用户的 admchk 标志，并修改用户在 /etc/security/passwd 文件中的密码节。 　　如何在 aix 上创建组？ 　　可以使用 mkgroup 命令在 aix 上创建组，并更新 /etc/group 和 /etc/security/group 文件中的组信息。 mkgroup 　　如何删除用户？ 　　可以使用两个命令来删除用户。要删除用户，可以输入以下命令：rmuser 　　或userdel 　　如何删除组？ 　　可以使用 rmgroup 命令来删除组。rmgroup 　　如何列出用户的属性？ 　　lsuser 命令显示 /etc/passwd 和 /etc/security/user 文件中的所有用户属性。 lsuser 　　如何列出组属性？ 　　要显示某个组的属性，可以输入命令：lsgroup 　　如何更改用户属性？ 　　chuser 命令更改用户信息并更新配置文件。chuser attribute=value 　　如何在系统上禁用远程登录？ 　　用户属性存储在 /etc/security/user 配置文件中。要禁止用户远程登录，可以将“rlogin”属性设置为“false”。 　　用户的“registry”和“system”属性之间的区别是什么？ 　　registry 属性指定了管理用户或组身份信息的位置，system 属性则控制使用哪些方法以及那些方法如何影响总体身份验证。aix 上的每个用户的 registry 和 system 属性都必须具有某个值。组仅有 registry 值。 　　aix 安全配置文件是什么？ /etc/passwd /etc/group /etc/security/passwd /etc/security/user /etc/security/group /etc/security/lastlog /etc/security/login.cfg /usr/lib/security/methods.cfg 　　如何检查安全配置文件的不一致性？ usrck此命令校正用户信息。 grpck此命令校正组信息。 pwdck此命令验证用户数据库文件中的密码信息的正确性。 　　如何获得内核中的用户和组名称长度限制？ 　　带 login_name_max 参数的 getconf 命令检索内核中的用户和组名称长度限制。 　　　　getconf login_name_max 　　用户和组的最大名称长度是多少？ 　　对于 aix 5.2 及更低的版本，用户和组的最大名称长度是 8 个字符。aix 5.3 及更高版本允许管理员将用户和组的名称长度最多增加到 255 个字符。 　　如何增加用户和组的名称长度？ 　　使用 smit，smit -> system environments -> change / show characteristics of operation system 面板可用于更改 odm 数据库中的值（在“maximum login name length at boot time”字段中）。在该 smit 面板中指定的值将在下一次重新启动后生效。 　　使用命令行，chdev 命令可用于通过 max_logname 属性更改 sys0 设备在 odm 数据库中的 v_max_logname 参数。odm 数据库中更改后的值将在下一次重新启动后生效。 # chdev -l sys0 -a max_logname=30 　　sys0 changed 　　ldap 命令 　　如何在 aix 上配置 itds ldap 服务器/客户端？ 　　mksecldap 命令配置 itds ldap 服务器/客户端。有关更多信息，请参阅参考资料部分。 　　如何停止 ldap 客户端守护进程？ 　　可以使用 /usr/sbin/stop-secldapclntd 命令来停止 ldap 客户端守护进程。 　　如何启动 ldap 客户端守护进程？ 　　可以使用 /usr/sbin/start-secldapclntd 命令来启动 ldap 客户端守护进程。 　　如何重新启动 secldapclntd 守护进程？ 　　可以使用 /usr/sbin/restart-secldapclntd 命令来重新启动 secldapclntd 守护进程。 　　如何从 ldap 服务器获得 ldap 用户信息？ 　　lsldap 命令通过 ldap 客户端和 secldapclntd 守护进程从 ldap 服务器获得该信息。 lsldap -a passwd username or lsuser -r ldap username 　　如何从 ldap 服务器获得 ldap 组信息？ lsldap -a group groupname or lsgroup -r ldap groupname 　　有关 ldap 命令的更多信息，请参阅此白皮书。 　　kerberos 命令 　　如何在 aix 上配置 nas kerberos 服务器？ mkkrb5srv -r -s -d 　　此命令在 aix 上配置 kerberos 服务器，并创建 /etc/krb5/krb5.conf、/var/krb5/krb5kdc/kdc.conf 和 kdm5.acl 文件。 　　如何在 aix 上配置 nas kerberos 客户端？ mkkrb5clnt -r -c -s -d -a admin/admin -a i files -k - t 　　此命令在 aix 上配置 kerberos 客户端，并使用“files”作为 kerberos 的数据库。如果希望使用“ldap”作为数据库，可以指定 ldap 来取代上述命令中的“files”。此命令还将 krb5files 和 krb5 模块信息更新到 /usr/lib/security/methods.cfg 文件中。 　　如何创建 kerberos 用户？ mkuser -r registry=krb5files system="krb5files" 　　　　　　　　　　or mkuser -r krb5ldap registry=krb5ldap system="krbldap" 　　如何设置 kerberos 用户的密码？ passwd -r krb5files 　　　　　　　　 or passwd -r krb5ldap 　　如果为 kerberos 客户端配置了 kadmin 支持，则此命令有效。如果不存在 kadmind 支持，则用户无法从 kerberos 客户端更改他们的密码。 如果喜欢aix 安全命令请收藏或告诉您的好朋友.