netatalk.io

Netatalk 4.5.0

名前

afppasswd — AFP パスワード保守ユーティリティ

概要

afppasswd [-cfnr] [-a username] [-p path] [-u minimum uid] [-w password string]

afppasswd [-r]

説明

afppasswd は SRP（”Secure Remote Password”）UAMで使用される資格情報ファイルを作成および管理し、 -r オプションを使用すると、”Randnum exchange” および “2-Way Randnum exchange” UAM で使用される従来の afppasswd ファイルも管理する。

デフォルトでは、afppasswdはSRPモードで動作し、ユーザごとのソルトと検証子をSRP検証子ファイル （netatalk構成ディレクトリのデフォルトafppasswd.srp、またはafp.conf(5)の”srp passwd file“オプションで構成されたファイル） に保存する。代わりに従来のRandnumファイル（netatalk構成ディレクトリのデフォルトafppasswd、 または”passwd file“オプションで構成されたファイル）を操作するには、-rを指定すること。

呼び出しパターンは2つある:

• rootユーザとして, afppasswdは任意のシステムユーザの資格情報を管理する。 ユーザは-a username で指定する（新しいエントリの追加と既存エントリの更新の両方を行う）。 または、-cでファイル全体を一度に初期化することもできる。
• 通常ユーザとして, afppasswdは位置引数を取らず、呼び出しユーザ自身のAFPパスワードを変更する。 デフォルトではSRPのパスワードを変更し、-rを指定すると従来のRandNum UAMのパスワードを変更する。

対象ユーザはすでにローカルシステムユーザとして存在している必要があることに注意。

注意: 従来のRandnumおよび2-Way Randnum UAMは弱いパスワード保護しか提供せず、推奨しない。 SRP、DHX、またはDHX2を使用できない非常に古いAFPクライアントをサポートするためにのみ有効にすべき。 Randnumは、afppasswdファイルと同じパスにafppasswd.keyという名前のファイルを必要とする。 キーファイルには、Randnumが保存されたパスワードを暗号化するために使用する16進エンコードされた8バイトのDESキーが含まれている。 afppasswd -r -cは、このキーファイルが存在しない場合に作成し、既存のファイルを検証する。 キーファイルが存在し、有効でない限り、Randnumのパスワードの更新は続行を拒否する。 Randnum UAMは、キーファイルが存在しないか無効な場合に起動時に警告をログに記録し、 修正されるまで認証とパスワードの変更は失敗する。

キーファイルには、オプションの改行を含む16個の16進文字が正確に含まれている必要がある。0123456789ABCDEFのような値で、サーバごとにこの例の値を再利用するのではなく、新しいランダムなキーを生成すると良い。

例

管理者がSRP検証ファイルを初期化し、新しいユーザを追加する：

example% sudo afppasswd -c
example% sudo afppasswd -a newuser
Enter NEW AFP password: (非表示)
Enter NEW AFP password again: (非表示)
afppasswd: updated SRP verifier.

管理者が既存ユーザのSRPパスワードを更新する：

example% sudo afppasswd -a someuser

ローカルユーザが自分のSRPパスワードを変更する:

example% afppasswd

管理者が非デフォルトのパスで従来のRandnumファイルを管理する：

example% sudo afppasswd -r -c -p /usr/local/etc/afppasswd
example% sudo afppasswd -r -a olduser -p /usr/local/etc/afppasswd
Enter NEW AFP password: (非表示)
Enter NEW AFP password again: (非表示)
afppasswd: updated Randnum password.

オプション

-a username

指定されたユーザを追加または更新する。管理者が特定のユーザを操作する場合に必要。 非rootユーザの呼び出しは常に呼び出しユーザを操作し、このオプションは受け付けない。

-c

パスワード/検証子ファイルを作成して初期化する。 既存のエントリは、-uの閾値以上のuidを持つすべてのローカルシステムユーザのプレースホルダとして配置される。 パスワードは-aで個別に設定する必要がある。-rを使用すると、 Randnum UAMのコンパニオンafppasswd.keyファイルも作成または検証する。

-f

アクションを強制する。-cを使用すると、既存のパスワード/検証子ファイルを上書きできるようになる。

-r

SRP検証子ファイルの代わりに、従来のRandnum afppasswdファイルを操作する。 -pが指定されない場合のデフォルトのパスや、どのファイルが読み取られるか、作成されるかに影響する。

-p path

パスワード/検証子ファイルのデフォルトのパスを上書きする。 デフォルトはSRPモードではSRP検証子ファイルで、-rを使用するとRandnum afppasswdファイルになる。 両方のデフォルトはafp.conf(5)の”srp passwd file“と”passwd file“でグローバルにも設定できる。

-n

もしcracklibサポートがnetatalkに組み込まれており、 cracklib辞書に対して実行されたパスワードを持つことができる場合、このオプションはこの呼び出しのパスワード強度検証を無効にする。

-u minimum uid

-cがローカルユーザデータベースを歩いてファイルを埋めるときに、afppasswdが考慮する最小のユーザID（uid）。 デフォルトは100。

-w password string

パスワードを対話形式で入力するのではなく、password stringをパスワードとして使用する。 パスワードは平文で端末履歴に残るため、このオプションは絶対に必要な場合にのみ使用してください。

ファイル

afppasswd.srp

netatalk構成ディレクトリのデフォルトSRP検証子ファイル。ユーザごとに1行で、 username:hex_salt:hex_verifierの形式。 -pまたはafp.conf(5)の”srp passwd file“オプションで上書きすることができる。

afppasswd

netatalk構成ディレクトリのデフォルトの従来のRandnumファイル。-rでのみ使用される。 -pまたはafp.conf(5)の”passwd file“オプションで上書きすることができる。

afppasswd.key

従来のRandnumファイルのコンパニオンキーファイル。 オプションの改行を含む16個の16進文字が正確に含まれている必要がある。

関連項目

afpd(8), afp.conf(5)

著者

CONTRIBUTORS を参照