VIOS 4.1 で padminパスワード・ポリシーの変更

はじめに

VIOS (Virtual I/O Server, PowerVM, IBM PowerのI/Oリソースを共) バージョン4.1 は AIX 7.3 ベースのため、ユーザーのセキュリティ・ポリシーが以前のバージョンから変更されているようです。

PowerVM VIOS 4.1 is a new version of VIOS that is built on top of AIX 7.3 (7.3 TL 2).

VIOS 4.1.0.10 は、AIX 7.3 TL2 SP1 ベースです。

$ ioslevel
4.1.0.10
$ oem_setup_env
# oslevel -s
7300-02-01-2346
#

VIOS to NIM Mapping でも対応するAIXバージョンが確認できます。

VIOS 4.1.0 VIOS 4.1.0.10 AIX 7300-02-01-2346
VIOS 4.1.0.0 AIX 7300-02-00-0000

---

VIOS 4.1 /etc/security/user の default スタンザ

AIX 7.3 ではユーザーのセキュリティが参考になります。

VIOS 4.1 の /etc/security/user の default スタンザは以下の内容でした。

$ oem_setup_env
# cat /etc/security/user
(抜粋)

default:
        admin = false
        login = true
        su = true
        daemon = true
        rlogin = true
        sugroups = ALL
        admgroups =
        ttys = ALL
        auth1 = SYSTEM
        auth2 = NONE
        tpath = nosak
        umask = 022
        expires = 0
        SYSTEM = "compat"
        logintimes =
        pwdwarntime = 5
        account_locked = false
        loginretries = 0
        histexpire = 52
        histsize = 4
        minage = 4
        maxage = 13
        maxexpired = 4
        minalpha = 2
        minloweralpha = 1
        minupperalpha = 1
        minother = 0
        mindigit = 1
        minspecialchar = 1
        minlen = 10
        mindiff = 0
        maxrepeats = 8
        dictionlist =
        pwdchecks =
        default_roles =
        core_path = on
        core_pathname = /home/ios/logs

---

セキュリティ設定変更

このユーザー設定により、パスワード有効期限切れがいつの間にか発生し (maxage = 13, パスワードが変更される必要が生じるまでの最大週数が13)、VIOS の padmin ユーザーでログインできなくなることがあります。

maxage 、maxexpired を変更して対応する方法が下記の technote で出ています。

PowerVM/VIOS: Padmin login fails after upgrading to VIOS 4.1

• 2024/4 時点でログインが必要な場所での公開です。
  (外部公開後リンクを変更予定)

HIPER APAR も出ています。

・High Impact / Highly Pervasive APAR IJ50326 Unable to login as padmin after VIOS 4.1 upgrade

---

VIOS にログインができなくなっている場合、HMCで viosvrcmd コマンドを実行します。

① 対象 VIOS の LPAR の ID 確認

コマンド例：

lssyscfg -r lpar -m <筐体> --filter "lpar_names=<LPAR名>" -F name,lpar_id

実行例：

$ lssyscfg -r lpar -m S824-01 --filter "lpar_names=VIOS2" -F name,lpar_id
VIOS2,24

-> この環境では VIOS2 は LPAR ID 24 です。

② maxexpired の設定無効化(有効期限が切れたパスワードをユーザーが変更できる maxage を超えた最大週数：-1 に設定)

コマンド例：

viosvrcmd -m  <筐体> --id <lpar ID> -c "chuser -attr maxexpired=-1 padmin"

実行例：

hscroot@HMC1:~> viosvrcmd -m S824-01 --id 24 -c "chuser -attr maxexpired=-1 padmin"
hscroot@HMC1:~> echo $?
0

③ maxage の無効化 (パスワードが変更される必要が生じるまでの最大週数: 0 を設定)

コマンド例：

viosvrcmd -m <筐体> --id <lpar ID> -c "chuser -attr maxage=0 padmin"

実行例：

hscroot@HMC1:~> viosvrcmd -m S824-01 --id 24 -c "chuser -attr maxage=0 padmin"
hscroot@HMC1:~> echo $?
0

VIOS の padmin ユーザーのパスワード関連設定が変更され、ログインできるようになると思います。

---

おわりに

VIOS 4.1 でパスワード長や文字使用についても変更されているようなのでこちらも注意が必要です。

参照情報の更新が見つかれば当記事も更新予定です。

以上です。