名称

       gpasswd - 管理员 /etc/group 和 /etc/gshadow

大纲

       gpasswd [选项] group

描述

       The gpasswd command is used to administer /etc/group, and /etc/gshadow. Every group can
       have administrators, members and a password.

       System administrators can use the -A option to define group administrator(s) and the -M
       option to define members. They have all rights of group administrators and members.

       gpasswd called by a group administrator with a group name only prompts for the new
       password of the group.

       If a password is set the members can still use newgrp(1) without a password, and
       non-members must supply the password.

   请注意组密码
       Group passwords are an inherent security problem since more than one person is permitted
       to know the password. However, groups are a useful tool for permitting co-operation
       between different users.

选项

       除了 -A 和 -M 选项，其它选项不能联合使用。

       gpasswd 可以接受的选项有：

       -a, --adduser
           向名为 group 的组中添加用户 user。

       -d, --deleteuser
           从名为 group 的组中移除用户 user。

       -h, --help
           现实帮助信息并退出。

       -Q, --rootCHROOT_DIR
           Apply changes in the CHROOT_DIR directory and use the configuration files from the
           CHROOT_DIR directory.

       -r, --remove-password
           Remove the password from the named group. The group password will be empty. Only group
           members will be allowed to use newgrp to join the named group.

       -R, --restrict
           Restrict the access to the named group. The group password is set to "!". Only group
           members with a password will be allowed to use newgrp to join the named group.

       -A, --administratorsuser,...
           设置有管理权限的用户列表。

       -M, --membersuser,...
           设置组成员列表。

CAVEATS

       This tool only operates on the /etc/groupand /etc/gshadow files.  Thus you cannot change
       any NIS or LDAP group. This must be performed on the corresponding server.

配置文件

       在 /etc/login.defs 中有如下配置变量，可以用来更改此工具的行为：

       ENCRYPT_METHOD (string)
           这定义了系统加密密码的默认算法(如果没有在命令行上指定算法)。

           可以使用如下值：DES (default), MD5, SHA256, SHA512.

           注意，此参数会覆盖 MD5_CRYPT_ENAB 变量。

           注意：这只影响组密码的产生。用户密码的产生是由 PAM 和 PAM 配置负责的。建议设置此变量和
           PAM 配置一致。

       MAX_MEMBERS_PER_GROUP (number)
           每个组条目的最大成员数。达到最大值时，在 /etc/group 开始一个新条目(行)(使用同样的名
           称，同样的密码，同样的 GID)。

           默认值是 0，意味着组中的成员数没有限制。

           此功能(分割组)允许限制组文件中的行长度。这对于确保 NIS 组的行比长于 1024 字符。

           如果要强制这个限制，可以使用 25。

           注意：分割组可能不受所有工具的支持(甚至在 Shadow 工具集中)。您不应该使用这个变量，除非
           真的需要。

       MD5_CRYPT_ENAB (boolean)
           表示密码是否必须使用基于 MD5 的算法加密。如果设为 yes，新密码将使用可以和新版 FreeBSD
           兼容的基于 MD5 的算法加密。它支持无限长度的密码以及更长的盐字符串。如果您需要将加密的
           密码复制到其它不理解新算法的系统，设置为 no。默认值是 no。

           This variable is superseded by the ENCRYPT_METHOD variable or by any command line
           option used to configure the encryption algorithm.

           此变量已经废弃。您应该使用 ENCRYPT_METHOD。

           注意：这只影响组密码的产生。用户密码的产生是由 PAM 和 PAM 配置负责的。建议设置此变量和
           PAM 配置一致。

       SHA_CRYPT_MIN_ROUNDS (number), SHA_CRYPT_MAX_ROUNDS (number)
           ENCRYPT_METHOD 设为 SHA256 或 SHA512 时，此项确定加密算法默认使用 SHA 轮转数目(当轮转
           数没有通过命令行指定时)。

           使用很多轮转，会让暴力破解更加困难。但是需要注意，认证用户时也会需要更多的 CPU 资源。

           如果没有指定，libc 会选择默认的轮转数(5000)。

           值必须在 1000 - 999,999,999 之间。

           如果只设置了一个 SHA_CRYPT_MIN_ROUNDS 或 SHA_CRYPT_MAX_ROUNDS 值，就会使用这个值。

           如果 SHA_CRYPT_MIN_ROUNDS > SHA_CRYPT_MAX_ROUNDS，将会使用大的那个。

           注意：这只影响组密码的产生。用户密码的产生是由 PAM 和 PAM 配置负责的。建议设置此变量和
           PAM 配置一致。

文件

       /etc/group
           组账户信息。

       /etc/gshadow
           安全组账户信息。

参见

       newgrp(1), groupadd(8), groupdel(8), groupmod(8), grpck(8), group(5), gshadow(5).