Attributs de sécurité et la base de données utilisateur

Auparavant, en mode standard, tous les attributs de sécurité HP-UX et les restrictions de stratégies de mots de passe étaient définis à l'échelle du système. L'introduction d'une base de données utilisateur vous permet de définir des attributs de sécurité sur la base de chaque utilisateur, qui remplacent les attributs système par défaut.

Attributs de sécurité système

Un attribut de sécurité définit comment contrôler les configurations de sécurité, telles que les mots de passe, les connexions et l'audit. Le fichier de description d'attributs de sécurité, /etc/security.dsc, répertorie les attributs qui peuvent être définis dans /etc/default/security, dans la base de données utilisateur dans /var/adm/userdb, ou dans les deux fichiers. Certains attributs sont configurables, d'autres sont internes.




	ATTENTION : Vous ne devez modifier le fichier `/etc/security.dsc` en aucune manière.

Lorsqu'un utilisateur ouvre une session, le système vérifie les attributs de sécurité applicables dans l'ordre suivant :

Le système examine les attributs par utilisateur aux emplacements suivants :

/var/adm/userdb
/etc/passwd

/etc/shadow




	REMARQUE : Pour chaque attribut par utilisateur, une valeur est stockée dans l'un des trois fichiers mentionnés ci-dessus. Pour savoir quels attributs sont stockés dans chaque fichier, voir security(4).

S'il n'y a aucune valeur par utilisateur, le système examine les attributs configurés à l'échelle du système dans /etc/default/security.
S'il n'y a aucun attribut configuré à l'échelle du système, le système utilise les attributs par défaut dans /etc/security.dsc.

Configuration des attributs à l'échelle du système

Pour configurer des attributs à l'échelle du système, procédez comme suit :

Planifiez votre configuration à l'aide des ressources disponibles. Pour plus d'informations sur la configuration des attributs à l'échelle du système, voir security(4).
Pour modifier une valeur par défaut à l'échelle du système, modifiez le fichier /etc/default/security à l'aide d'un éditeur de texte tel que vi. Les commentaires commencent par un signe dièse (#). Les attributs sont écrits au format attribut=valeur.
Par exemple, pour définir à l'échelle du système la quantité minimale de caractères majuscules dans un mot de passe à deux (2), entrez les valeurs suivantes dans /etc/default/security :
PASSWORD_MIN_UPPER_CASE_CHARS=2




	REMARQUE : Les modifications apportées aux attributs de sécurité à l'échelle du système ne prennent pas effet immédiatement. Les attributs de mots de passe prennent effet la prochaine fois que les utilisateurs modifient leurs mots de passe. Les attributs de connexion prennent effet la prochaine fois que les utilisateurs se connectent.

Composants de la base de données utilisateur

La fonctionnalité de base de données utilisateur d'HP-UX SMSE inclut des fichiers, des commandes, des pages de manuel et des attributs par utilisateur que vous pouvez appliquer à des utilisateurs spécifiques sur votre système HP-UX. Tous ces éléments de la base de données utilisateur sont décrits dans les sections suivantes :

Fichiers de configuration

Le Tableau 4-1 décrit brièvement les fichiers utilisés avec la base de données utilisateur.

Tableau 4-1 Fichiers de configuration de la base de données utilisateur

Fichier	Description
`/var/adm/userdb`	Stocke la plupart des informations relatives à chaque utilisateur.

Commandes

Le Tableau 4-2 décrit brièvement les commandes utilisées pour modifier et administrer les entrées de la base de données utilisateur.

Tableau 4-2 Commandes de la base de données utilisateur

Commande	Description
userdbset	Modifie les valeurs d'attributs configurées dans la base de données utilisateur
userdbget	Affiche les valeurs d'attributs configurées dans la base de données utilisateur
userdbck	Vérifie l'intégrité des informations contenues dans la base de données utilisateur.
userstat	Indique l'état des comptes d'utilisateurs locaux.

Attributs

Les attributs de sécurité suivants sont disponibles pour les utilisateurs :

Tableau 4-3 Attributs utilisateur

Attribut	Description
`ALLOW_NULL_PASSWORD`	Autorise ou refuse la connexion avec un mot de passe nul.
`AUDIT_FLAG`	Démarre ou arrête l'audit de l'utilisateur.
`AUTH_MAXTRIES`	Définit la quantité d'échecs de connexion autorisée avant qu'un utilisateur ne soit verrouillé hors du système.
`DISPLAY_LAST_LOGIN`	Affiche des informations concernant la dernière connexion d'un utilisateur.
`LOGIN_TIMES`	Restreint les périodes de connexion.
`MIN_PASSWORD_LENGTH`	Définit la longueur minimale des mots de passe.
`NUMBER_OF_LOGINS_ALLOWED`	Définit la quantité de connexions simultanées autorisée par utilisateur.
`PASSWORD_HISTORY_DEPTH`	Définit la profondeur de l'historique de mot de passe.
`PASSWORD_MIN_LOWER_CASE_CHARS`	Définit la quantité minimale de caractères minuscules requise dans un mot de passe.
`PASSWORD_MIN_UPPER_CASE_CHARS`	Définit la quantité minimale de caractères majuscules requise dans un mot de passe.
`PASSWORD_MIN_DIGIT_CHARS`	Définit la quantité minimale de caractères numériques requise dans un mot de passe.
`PASSWORD_MIN_SPECIAL_CHARS`	Définit la quantité minimale de caractères spéciaux requise dans un mot de passe.
`UMASK`	Définit le umask pour la création de fichier.




	REMARQUE : La liste ci-dessus répertorie uniquement les attributs de sécurité pouvant être configurés dans la base de données utilisateur. Pour obtenir une liste complète des attributs de sécurité système HP-UX, voir la page de manuel security(4).

Pages de manuel

Le Tableau 4-4 décrit brièvement les pages de manuel utilisées avec la base de données utilisateur.

Tableau 4-4 Pages de manuel relatives à la base de données utilisateur

Page de manuel	Description
userdb(4)	Fournit une vue d'ensemble de l'utilisation de la base de données utilisateur.
userdbset(1M)	Décrit la fonctionnalité et la syntaxe de userdbset.
userdbget(1M)	Décrit la fonctionnalité et la syntaxe de userdbget.
userdbck(1M)	Décrit la fonctionnalité et la syntaxe de userdbck.
userstat(1M)	Décrit la fonctionnalité et la syntaxe de userstat.

Configuration des attributs dans la base de données utilisateur

Dans les systèmes HP-UX précédents, les attributs de sécurité et les restrictions de stratégies de mots de passe étaient définis à l'échelle du système. Avec HP-UX SMSE, vous pouvez configurer certaines attributs de sécurité pour chaque utilisateur. Les attributs configurés par utilisateur remplacent ceux configurés à l'échelle du système.

Pour modifier les valeurs d'attributs d'un utilisateur, procédez comme suit :

Déterminez quels utilisateurs sont concernés par la modification, et quels attributs seront appliqués.
Par exemple, vous souhaitez que joe soit en mesure de se connecter au système uniquement de 8 heures à 17 heures le lundi.
Modifiez les attributs à l'aide de la commande userdbset comme suit :
# userdbset -u nom_utilisateur nom_attribut=valeur_attribut
Par exemple, pour spécifier que l'utilisateur joe puisse se connecter au système uniquement de 8 heures à 17 heures, entrez :
# userdbset -u joe LOGIN_TIMES=Mo0800-1700

Dépannage de la base de données utilisateur

Appliquez les procédures suivantes pour dépanner la base de données utilisateur.

Problème 1 : les attributs de sécurité d'un utilisateur semblent mal configurés. Si vous soupçonnez que des informations utilisateur sont configurés de manière incorrecte dans la base de données utilisateur, exécutez la commande suivante :

# userdbget -u nom_utilisateur

Les attributs configurés pour l'utilisateur nom_utilisateur sont affichés. Si un attribut est configuré de manière incorrecte, reconfigurez-le. Pour obtenir des instructions, voir « Configuration des attributs dans la base de données utilisateur ».

Problème 2 : la base de données utilisateur ne fonctionne pas correctement. Si vous devez vérifier la base de données utilisateur, exécutez la commande suivante :

# userdbck

La commande userdbck identifie et corrige les problèmes dans la base de données utilisateur.