Arch manual pages

PWCONV(8) Befehle zur Systemverwaltung PWCONV(8)

pwconv, pwunconv, grpconv, grpunconv - konvertiert zu oder von Shadow-Passwörtern und -gruppen

pwconv [Optionen]

pwunconv [Optionen]

grpconv [Optionen]

grpunconv [Optionen]

Der Befehl pwconv erstellt eine shadow-Datei aus einer passwd-Datei und gegebenenfalls aus einer bereits vorhandenen shadow-Datei.

Der Befehl pwunconv erstellt eine passwd-Datei aus einer passwd- und shadow-Datei und entfernt anschließend dieshadow-Datei.

Der Befehl grconv erstellt eine gshadow-Datei aus einer group-Datei und gegebenenfalls aus einer bereits vorhandenen gshadow-Datei.

Der Befehl grpunconv erstellt eine group-Datei aus einer group- und gshadow-Datei und entfernt anschließend die gshadow-Datei.

Diese vier Programme funktionieren mit der normalen und der Shadow-Passwortdatei und den Gruppendateien: /etc/passwd, /etc/group, /etc/shadow und /etc/gshadow.

Jedes dieser Programme erzeugt vor der Konvertierung die notwendigen Sperren. pwconv und grpconv sind vergleichbar. Zuerst werden die Einträge aus der Shadow-Datei entfernt, die nicht in der Hauptdatei enthalten sind. Anschließend werden die Einträge in der Shadow-Datei aktualisiert, die kein »x« als Passwort haben. Zuletzt werden die Passwörter in der Hauptdatei durch »x« ersetzt. Diese Programme können für eine erstmalige Konvertierung genutzt werden als auch, um die Shadow-Datei zu aktualisieren, falls die Hauptdatei von Hand bearbeitet wurde.

pwconv verwendet die Werte PASS_MIN_DAYS, PASS_MAX_DAYS und PASS_WARN_AGE aus /etc/login.defs, wenn neue Einträge zu /etc/shadow hinzugefügt werden.

Ebenfalls sind die Befehle pwunconv und grpunconv ähnlich. Passwörter in der Hauptdatei werden durch die Shadow-Datei aktualisiert. Einträge, welche in der Hauptdatei, aber nicht in der Shadow-Datei vorhanden sind, bleiben unberührt. Zuletzt wird die Shadow-Datei gelöscht. Eine Information für den Verfall von Passwörtern geht durch pwunconv verloren. Es wird aber so viel wie möglich umgewandelt.

Die Optionen, die von den Befehlen pwconv, pwunconv, grpconv und grpunconv unterstützt werden, sind:

-h, --help

zeigt die Hilfe an und beendet das Programm

-R, --root CHROOT_VERZ

führt die Veränderungen in dem Verzeichnis CHROOT_VERZ durch und verwendet die Konfigurationsdateien aus dem Verzeichnis CHROOT_VERZ

Fehler in der Passwort- oder Gruppendatei (wie z.B. ungültige oder doppelte Einträge) können zu Endlosschleifen oder anderen seltsamen Fehlern führen. Sie sollten daher pwck und grpck ausführen, um solche Fehler zu entfernen, bevor Sie von oder zu Shadow-Passwörtern oder -gruppen umwandeln.

Die folgende Konfigurationsvariablen in /etc/login.defs beeinflussen das Verhalten von grpconv und grpunconv:

MAX_MEMBERS_PER_GROUP (Zahl)

Maximale Anzahl von Mitgliedern je Gruppeneintrag. Wenn das Maximum erreicht wird, wird ein weiterer Eintrag in /etc/group (mit dem gleichen Namen, dem gleichen Passwort und der gleichen GID) erstellt.

Der Standardwert ist 0, was zur Folge hat, dass die Anzahl der Mitglieder einer Gruppe nicht begrenzt ist.

Diese Fähigkeit (der aufgeteilten Gruppe) ermöglicht es, die Zeilenlänge in der Gruppendatei zu begrenzen. Damit kann sichergestellt werden, dass die Zeilen für NIS-Gruppen nicht länger als 1024 Zeichen sind.

Falls Sie eine solche Begrenzung benötigen, können Sie 25 verwenden.

Hinweis: Aufgeteilte Gruppen werden möglicherweise nicht von allen Werkzeugen unterstützt, selbst nicht aus der Shadow-Werkzeugsammlung. Sie sollten diese Variable nur setzen, falls Sie zwingend darauf angewiesen sind.

Die folgenden Konfigurationsvariablen in /etc/login.defs beeinflussen das Verhalten von pwconv:

PASS_MAX_DAYS (Zahl)

Die maximale Anzahl von Tagen, für die ein Passwort verwendet werden darf. Wenn das Passwort älter ist, wird ein Wechsel des Passworts erzwungen. Falls nicht angegeben, wird -1 angenommen (was zur Folge hat, dass diese Beschränkung abgeschaltet ist).

PASS_MIN_DAYS (Zahl)

Die Mindestanzahl von Tagen, bevor ein Wechsel des Passworts zugelassen wird. Ein vorheriger Versuch, das Passwort zu ändern, wird abgelehnt. Falls nicht angegeben, wird -1 angenommen (was zur Folge hat, dass diese Beschränkung abgeschaltet ist).

PASS_WARN_AGE (Zahl)

Die Anzahl von Tagen, an denen der Benutzer vorgewarnt wird, bevor das Passwort verfällt. Eine Null bedeutet, dass eine Warnung nur am Tag des Verfalls ausgegeben wird. Ein negativer Wert bedeutet, dass keine Vorwarnung erfolgt. Falls nicht angegeben, wird keine Vorwarnung ausgegeben.

/etc/login.defs
Konfiguration der Shadow-Passwort-Werkzeugsammlung

grpck(8), login.defs(5), pwck(8).
13.11.2019 shadow-utils 4.7