/usr/bin/gpasswd

      gpasswd [option] group

gpasswdコマンドは、/etc/group、/etc/gshadowを管理するために使用される。各グループは、管理者、メンバー、およびパスワードを持つことができる。

システム管理者は、 -Aオプションでグループ管理者を、 -Mオプションでメンバーを定義することができる。

グループ管理者がグループ名を指定してgpasswdを呼び出すと、グループの新しいパスワードの入力を求めるプロンプトが表示されるだけである。

パスワードが設定されている場合、メンバーはパスワードなしで newgrp を使用することができ、メンバーでない人はパスワードを与えなければならない。

Notes about group passwords

グループパスワードは、複数の人がパスワードを知ることが許されるため、セキュリティ上の問題がある。しかし、グループは、異なるユーザー間の協力を可能にする便利なツールである。

-A および -M オプションを除き、オプションを組み合わせることはできない。

gpasswd コマンドに適用されるオプションは次のとおり:

-a, --add user

指定されたグループにユーザーを追加する。

-d, --delete user

指定されたグループからユーザを取り除く。

-h, --help

ヘルプを表示し、終了する。

-Q, --root CHROOT_DIR

CHROOT_DIR ディレクトリの変更を適用し、CHROOT_DIR ディレクトリの設定ファイルを使用する。

-r, --remove-password

指定されたグループからパスワードを削除する。グループのパスワードは空になる。グループメンバーだけが、指定されたグループに参加するためにnewgrpを使用することができるようになる。

-R, --restrict

指定したグループへのアクセスを制限する。グループのパスワードは "!" が設定される。パスワードを持つグループメンバーだけが、newgrp を使用して指定されたグループに参加することができる。

-A, --administrators user,...

管理者ユーザのリストがセットされる。

-M, --members user,...

グループメンバーのリストがセットされる。

このツールは、/etc/group と /etc/gshadow ファイルに対してのみ動作する。したがって、NISやLDAPのグループを変更することはできまない。これは、対応するサーバーで実行する必要がある。

/etc/login.defsにある以下の設定変数で、このツールの動作が変わる:

ENCRYPT_METHOD (string)

これは、パスワードを暗号化するためのシステムのデフォルトの暗号化アルゴリズムを定義する（コマンドラインでアルゴリズムが指定されていない場合）。

以下の値のいずれかを取ることができる: DES (既定)、MD5、SHA256、SHA512 のいずれかである。

注意：このパラメータは、MD5_CRYPT_ENAB変数を上書きする。

注：これは、グループパスワードの生成にのみ影響する。ユーザーパスワードの生成はPAMによって行われ、PAMの設定に従う。この変数は、PAMの構成と一致するように設定することが推奨される。

MAX_MEMBERS_PER_GROUP (number)

グループエントリあたりの最大メンバー数。最大値に達すると、/etc/groupに新しいグループエントリ（行）が開始される（同じ名前、同じパスワード、同じGIDで）。

デフォルト値は0である。つまり、グループ内のメンバー数に制限はない。

この機能(split group)は、グループ・ファイルの行の長さを制限することを許可する。これは、NISグループの行が1024文字より大きくないことを確認するのに便利である。

このような制限を強制する必要がある場合は、25 を使用できる。

注意：分割グループは、すべてのツールでサポートされていない場合がある（Shadow toolsuite でも）。本当に必要でない限り、この変数を使用するべきではない。

MD5_CRYPT_ENAB (boolean)

パスワードがMD5ベースのアルゴリズムで暗号化されていなければならないかどうかを指定する。yesに設定すると、新しいパスワードはFreeBSDの最近のリリースで使用されているものと互換性のあるMD5ベースのアルゴリズムを使って暗号化される。長さに制限のないパスワードや、より長いソルト文字列にも対応している。新しいアルゴリズムを理解できない他のシステムに、暗号化されたパスワードをコピーする必要がある場合は、noに設定する。デフォルトはnoである。

この変数は、ENCRYPT_METHOD変数や、暗号化アルゴリズムを設定するためのコマンドラインオプションに取って代わられる。

この変数は非推奨です。ENCRYPT_METHODを使用すべきである。

注意：これはグループパスワードの生成にのみ影響する。ユーザーパスワードの生成はPAMによって行われ、PAMの設定に従う。この変数は、PAMの設定と一致するように設定することを推奨する。

SHA_CRYPT_MIN_ROUNDS (number), SHA_CRYPT_MAX_ROUNDS (number)

ENCRYPT_METHOD が SHA256 または SHA512 に設定されている場合、これは暗号化アルゴリズムがデフォルトで使用する SHA ラウンド数を定義する（コマンドラインでラウンド数が指定されていない場合）。

ラウンド数が多いと、パスワードのブルートフォース（総当り）が難しくなる。しかし、ユーザーを認証するために、より多くのCPUリソースが必要になることにも注意。

指定しない場合、libcはデフォルトのラウンド数(5000)を選択する。

値は1000-999,999,999の範囲内でなければならない。

SHA_CRYPT_MIN_ROUNDSまたはSHA_CRYPT_MAX_ROUNDSのいずれかの値のみが設定されている場合、この値が使用される。

SHA_CRYPT_MIN_ROUNDS > SHA_CRYPT_MAX_ROUNDSの場合、最も大きい値が使用される。

注：これは、グループパスワードの生成にのみ影響する。ユーザーパスワードの生成はPAMによって行われ、PAMの設定に従う。この変数は、PAMの構成と一致するように設定することが推奨される。

/etc/group

グループアカウント情報

/etc/gshadow

セキュアグループアカウント情報

newgrp, groupadd, groupdel, groupmod, grpck, group, gshadow