3.3. コマンドラインツールの使用

Red Hat Enterprise Linux でユーザーを管理する最も簡単な方法は、「ユーザー管理ツールの使用」 で説明のとおり ユーザー管理 アプリケーションを使用することです。しかし、コマンドラインツールを好む場合や X Window System がインストールされていない場合には、表3.1「ユーザーとグループを管理するためのコマンドラインユーティリティ」 に一覧表示されているコマンドラインユーティリティを使用することができます。

表3.1 ユーザーとグループを管理するためのコマンドラインユーティリティ

ユーティリティ 詳細
useradd, usermod, userdel ユーザーアカウントを追加/修正/削除するための標準ユーティリティです。
groupadd, groupmod, groupdel グループを追加/修正/削除するための標準ユーティリティです。
gpasswd /etc/group 設定ファイルを管理するための標準ユーティリティです。
pwck, grpck パスワード、グループ、関連シャドウファイルを検証するためのユーティリティです。
pwconv, pwunconv 通常のパスワードをシャドウパスワードに変換するため、または逆にシャドウパスワードから通常のパスワードに変換するためのユーティリティです。

3.3.1. 新規ユーザーの追加

システムにユーザーを追加するには、root としてシェルプロンプトで以下を入力します:
useradd [options] username
options表3.2「useradd のコマンドラインオプション」 で説明のとおり、コマンドラインのオプションです。
デフォルトでは、useradd コマンドはロックされたユーザーアカウントを作成します。アカウントのロックを解除するには、root として以下のコマンドを実行して、パスワードを割り当てます:
passwd username
オプションとして、パスワードエージングポリシーを設定することもできます。パスワードエージングを有効にする方法については、『Red Hat Enterprise Linux 6 Security Guide』 を参照してください。

表3.2 useradd のコマンドラインオプション

オプション 詳細
-c 'comment' comment はあらゆる文字列と置換できます。このオプションは、通常ユーザーの氏名を指定するために使用されます。
-d home_directory デフォルトの /home/username/ の代わりに使用するホームディレクトリです。
-e date YYYY-MM-DD の形式でアカウントを無効にする日付です。
-f days パスワードが失効してからアカウントが無効になるまでの日数です。0 を指定すると、パスワードが失効した直後にアカウントは無効になります。-1 を指定すると、パスワードが失効した後でもアカウントは無効になりません。
-g group_name ユーザーのデフォルトグループ用のグループ名またはグループ番号です。グループはここで指定される以前から存在していなければなりません。
-G group_list ユーザーがメンバーとなる追加 (デフォルト以外) のグループ名またはグループ番号の一覧で、カンマで区切られています。グループはここで指定される以前から存在していなければなりません。
-m ホームディレクトリが存在しない場合は作成します。
-M ホームディレクトリを作成しません。
-N ユーザー用のユーザープライベートグループを作成しません。
-p password crypt で暗号化されたパスワードです。
-r UID が 500 より小さく、ホームディレクトリがないシステムアカウントを作成します。
-s ユーザーのログインシェルです。デフォルトでは /bin/bash に設定されています。
-u uid ユーザーのユーザー ID です。一意の番号で 499 より大きい数でなければなりません。

プロセスの説明

以下のステップは、シャドウパスワードが有効なシステム上で useradd juan コマンドを実行したときに発生する内容を解説したものです:
  1. /etc/passwdjuan の新しい行が作成されます:
    juan:x:501:501::/home/juan:/bin/bash
    この行には以下の特徴があります。
    • ユーザー名 juan で始まります。
    • パスワードフィールドには x があり、システムがシャドウパスワードを使用していることを示しています。
    • 499 より大きい数字の UID が作成されます。Red Hat Enterprise Linux では、500 より小さい数字の UID はシステム使用のために保有されています。これらはユーザー用には割り当てないことをお勧めします。
    • 499 より大きい数字の GID が作成されます。Red Hat Enterprise Linux では、500 より小さい数字の GID はシステム使用のために保有されています。これらはユーザー用には割り当てないことをお勧めします。
    • オプションの GECOS 情報は空白のままです。GECOS フィールドは、氏名や電話番号などユーザーの追加情報を提供するために使用されます。
    • juan のホームディレクトリは /home/juan/ に設定されています。
    • デフォルトのシェルは /bin/bash に設定されています。
  2. juan 用の新しい行が /etc/shadow に作成されます:
    juan:!!:14798:0:99999:7:::
    この行には以下の特徴があります。
    • ユーザー名 juan で始まります。
    • 2 つの感嘆符 (!!) が /etc/shadow ファイルのパスワードフィールドに表示され、アカウントがロックされます。

      注記

      暗号化されたパスワードが -p フラグを使用して渡される場合、/etc/shadow ファイル内のユーザー用の新しい行に置かれます。
    • パスワードは有効期限なしに設定されています。
  3. juan というグループ用の新しい行が /etc/group に作成されます:
    juan:x:501:
    ユーザーと同じ名前のグループは、ユーザープライベートグループ と呼ばれます。ユーザープライベートグループの詳細については 「ユーザープライベートグループ」 を参照して下さい。
    /etc/group に作成された行には、以下の特徴があります。
    • グループ名 juan で始まります。
    • パスワードフィールドに x が表示され、システムがシャドウグループパスワードを使用していることを示しています。
    • GID は /etc/passwd 内に表示されているユーザー juan の GID と一致します。
  4. juan というグループ用の新しい行が /etc/gshadow に作成されます:
    juan:!::
    この行には以下の特徴があります。
    • グループ名 juan で始まります。
    • 1 つの感嘆符 (!) が /etc/gshadow ファイルのパスワードフィールドに表示され、グループがロックされます。
    • その他のフィールドはすべて空白です。
  5. ユーザー juan 用のディレクトリが /home/ ディレクトリ内に作成されます:
    ~]# ls -l /home
    total 4
    drwx------. 4 juan juan 4096 Mar  3 18:23 juan
    このディレクトリは、ユーザー juan とグループ juan が所有しています。ユーザー juanのみ 読み取り書き込み 及び 実行 の権限が与えられています。その他のパーミッションはすべて拒否されます。
  6. /etc/skel/ ディレクトリ (デフォルトのユーザー設定を含む) 内のファイルが、新しい /home/juan/ ディレクトリにコピーされます:
    ~]# ls -la /home/juan
    total 28
    drwx------. 4 juan juan 4096 Mar  3 18:23 .
    drwxr-xr-x. 5 root root 4096 Mar  3 18:23 ..
    -rw-r--r--. 1 juan juan   18 Jun 22  2010 .bash_logout
    -rw-r--r--. 1 juan juan  176 Jun 22  2010 .bash_profile
    -rw-r--r--. 1 juan juan  124 Jun 22  2010 .bashrc
    drwxr-xr-x. 2 juan juan 4096 Jul 14  2010 .gnome2
    drwxr-xr-x. 4 juan juan 4096 Nov 23 15:09 .mozilla
この時点で、juan と呼ばれるロックされたアカウントがシステム上に存在します。管理者は、これをアクティベートするには passwd コマンドを使用してアカウントにパスワードを割り当てる必要があります。パスワードエージングのガイドラインを設定するというオプションもあります。