Руководство пользователя. Управление учетными записями

3. Управление учетными записями пользователей

Для чего служат учетные записи пользователей?
База данных учетных записей
Управление собственной учетной записью
Управление другими учетными записями
Устранение неполадок

В данном разделе мы рассмотрим, как работают учетные записи пользователей, как с помощью утилиты passwd пользователи могут изменять пароль своей учетной записи, а системные администраторы — создавать и обслуживать учетные записи пользователей посредством редактирования файлов базы данных учетных записей.

Примечание. Во встраиваемой системе разработчик может удалить файлы, относящиеся к учетным записям, отключить вход в систему и обращение к пользователям и группам по именам. При этом система остается полностью многопользовательской и поддерживает выполнение программ и владение системными ресурсами множеством пользователей с различными идентификаторами. Если ваша система настроена именно таким образом, большая часть материала в этом разделе может вам не понадобиться.

Для чего служат учетные записи пользователей?

Пользовательская учетная запись связывает текстовое имя пользователя с числовым идентификатором пользователя, идентификатором группы, паролем для входа в систему, полным именем, домашним каталогом и начальным командным интерпретатором (login shell). Эти данные хранятся в файлах /etc/passwd и /etc/shadow, которые используются утилитами входа в систему и другими приложениями, нуждающимися в информации учетных записей.

Примечание. Имена пользователей и пароли должны создаваться с учетом регистра.

Учетные записи позволяют выполнять следующие действия:

для пользователей — входить в систему под своим именем и паролем, запуская сеанс работы с соответствующим идентификатором пользователя и группы;
создавать собственные окружения;
для приложений — определять имя пользователя и учетные данные по идентификатору пользователя и группы, если они указаны в файлах /etc/passwd и /etc/group (например, команда ls -l отображает имена, а не идентификаторы пользователей и групп, владеющих файлами);
для утилит и приложений — принимать в качестве входных данных имена пользователей вместо числовых идентификаторов;
для командных интерпретаторов — преобразовывать пути ~имя_пользователя в фактические путевые имена на основе информации о домашних каталогах пользователей, хранимой в учетных записях.

Группы (groups) используются для связывания аналогичных прав доступа с группами пользователей. Список членов группы определяется записями в файлах /etc/passwd и /etc/group, а права доступа для членов группы — идентификатором группы выполняющейся программы, идентификатором группы и правами доступа к файлам и каталогам.

При входе в систему пользователь считается принадлежащим к группе, указанной в файле /etc/passwd. Переключиться в другую группу можно с помощью утилиты newgrp.

Учетные записи и идентификаторы пользователей: вход в систему, считывание и права доступа

После входа в систему возможности доступа ваших программ к ресурсам системы и выполнения операций (например, передачи сигналов другим процессам) определяются числовым идентификатором пользователя, от имени которого выполняются программы. Текстовые имена используются только утилитами и приложениями, которым требуется выполнять преобразование между именами и числовыми идентификаторами.

Примечание. Изменение имени пользователя, группы, идентификатора и прочих параметров в базе данных учетных записей не влияет на доступ к файлам до тех пор, пока пользователь не войдет в систему заново.

Пользователь root (с идентификатором 0) имеет право выполнять почти любые действия с файлами независимо от их владельцев и установленных разрешений. Более подробные сведения см. в подразд. "Владение файлами и права доступа" раздела 6.

Примечание. Когда командный интерпретатор обрабатывает путевое имя ~имя_пользователя, он считывает домашний каталог пользователя из файла /etc/passwd. Если вы удалите или измените учетную запись пользователя, то командный интерпретатор, ранее использовавший путевое имя ~имя_пользователя для доступа к домашнему каталогу, может попытаться воспользоваться устаревшей информацией, поскольку командный интерпретатор кэширует такого рода данные.

Новые командные интерпретаторы заново считывают данные из файла /etc/passwd. Это может вызывать проблемы в тех случаях, когда командный сценарий, использующий ~имя_пользователя, запускает другой сценарий, который использует эту же возможность для определения полного пути. Эти сценарии будут оперировать разными путями, если информация о домашнем каталоге изменилась с момента первого считывания.

Что происходит при входе в систему?

Как правило, сеанс работы с компьютером начинается с процедуры входа в систему (см. раздел. 2). Действия системы после процедуры входа зависят от конфигурации учетной записи.

При входе пользователя система создает для него сеанс, лидером которого является процесс с идентификатором пользователя и идентификатором группы по умолчанию, заданными в файле /etc/passwd.

Идентификаторы пользователя и группы определяют разрешения, которые имеет этот процесс для доступа к файлам и системным ресурсам. Кроме того, если процесс создает какие-либо файлы или каталоги, то они принадлежат данному пользователю и группе. Каждый новый процесс, запускаемый пользователем, наследует идентификатор пользователя и идентификатор группы от родительского процесса. Более подробные сведения см. в подразд. "Владение файлами и права доступа" раздела 6.

Примечание. Более подробные сведения о характеристиках, наследуемых программами от родительских программ, см. в разделе о spawn() в руководстве Neutrino "Library Reference". Информацию о сессиях и группах процессов можно найти в IEEE Std 1003.1-2001 Standard for Information Technology Portable Operating System Interface.

Вход в систему в текстовом режиме (утилита login) происходит иначе, чем в графическом режиме (утилита phlogin2 или phlogin).

При входе в систему с помощью утилиты login происходит переход в каталог, указанный в переменной окружения HOME. Эта утилита также записывает в переменную LOGNAME имя пользователя, а в переменную SHELL – начальную оболочку, указанную в учетной записи. Затем запускается начальная оболочка, в качестве которой, как правило, служит командный интерпретатор (/bin/sh), однако в его роли может также выступать любое приложение, запускаемое при входе пользователя в систему.
При входе в систему с помощью команды phlogin2 или phlogin в графической оболочке Photon также происходит переход в каталог, указанный в переменной окружения HOME, а значения LOGNAME и SHELL задаются в соответствии с именем пользователя и его начальной оболочкой.

Однако при входе в графическом режиме начальная оболочка запускается не в виде интерактивной программы, а с аргументами -c /usr/bin/ph.

Предупреждение.

Если в качестве начальной оболочки используется не /bin/sh или /bin/ksh, то, вероятно, вы не сможете войти в систему с помощью утилит phlogin2 и phlogin.

Команда ph запускает среду графической оболочки Photon. Из этой среды вы можете запустить в окне утилиты pterm командный интерпретатор, определенный значением переменной окружения SHELL.

База данных учетных записей

База данных учетных записей состоит из файлов, перечисленных с соответствующими разрешениями доступа в табл. 3.1.

Таблица 3.1
Файл	Владелец	Группа	Разрешения
/etc/passwd	root	root	rw- r-- r--
/etc/group	root	root	rw- r-- r--
/etc/shadow	root	root	rw- --- ---
/etc/.pwlock	root	root	rw- r-- r--

Обратите внимание на неограниченный доступ на чтение файла /etc/passwd, что позволяет стандартным утилитам получать информацию о пользователях. Однако шифрованные пароли хранятся не в этом файле, а в /etc/shadow, доступ к которому имеет только пользователь root. Таким образом, пароли защищаются от дешифрации.

Примечание. Для обеспечения безопасности не изменяйте вышеописанные разрешения.

Файл /etc/passwd

Все строки в файле /etc/passwd имеют следующий формат:

username:has_pw:userid:group:comment:homedir:shell

Компоненты строки разделяются двоеточиями. Далее приводятся их описания.

username — имя пользователя, которое может содержать любые символы за исключением двоеточия (:). Кроме того, следует избегать специальных символов командного интерпретатора. Более подробные сведения см. в подразд. "Применение кавычек со специальными символами" раздела 4.
has_pw — это поле должно либо быть пустым, либо содержать значение x. Первый случай означает, что у пользователя нет пароля, а второй — что шифрованный пароль хранится в файле /etc/shadow.
userid — числовой идентификатор пользователя.
group — числовой идентификатор группы.
comment — поле для свободного комментария, в котором, как правило, сообщают реальное имя пользователя. В комментарии запрещено использовать двоеточие.
homedir — домашний каталог пользователя.
shell — первая команда, которая должна быть выполнена после утилиты login (по умолчанию /bin/sh).

Примечание. Программе login нельзя передавать аргументы.

Приведем пример записи в файле /etc/passwd:

fred:x:290:120:Fred L. Jones:/home/fred:/bin/sh

Файл /etc/group

Все строки в файле /etc/group имеют следующий формат:

groupname:x:group_ID:[username[,username]...]

Компоненты строки разделяются двоеточиями. Далее приводятся их описания.

groupname — имя группы. Как и имя пользователя, оно может содержать любые символы за исключением двоеточия (:), однако следует избегать специальных символов командного интерпретатора. Более подробные сведения см. в подразд. "Применение кавычек со специальными символами" раздела 4.
x — пароль группы. Операционная система QNX Neutrino не поддерживает пароли для групп.
group_ID — числовой идентификатор группы.
username[,username]... — имена принадлежащих к данной группе пользователей, взятые из учетных записей. Разделяются запятыми (,).

Пример записи:

techies:x:123:michel,ali,sue,jake

Файл /etc/shadow

Все строки в файле /etc/shadow имеют следующий формат:

username:password:0:0

Компоненты строки разделяются двоеточиями. Далее приводятся их описания.

username — имя пользователя для входа в систему.
password — шифрованный пароль пользователя.

Файл /etc/.pwlock

Утилита passwd создает файл /etc/.pwlock для того, чтобы сообщить другим запущенным ее экземплярам, что файл паролей в данный момент изменяется. По завершении своей работы утилита passwd удаляет файл блокировки.

Если системному администратору необходимо отредактировать файлы учетной записи, ему следует выполнить следующие действия:

Заблокировать базу данных паролей: создать файл /etc/.pwlock (если он уже существует, то дождаться его удаления).
Открыть нужные файлы с помощью какого-либо текстового редактора и внести необходимые изменения.
Разблокировать базу данных паролей посредством удаления файла /etc/.pwlock.

Управление собственной учетной записью

Обычные пользователи (т. е. не root) могут менять свой пароль, а также настраивать окружение посредством изменения конфигурационных файлов, расположенных в домашнем каталоге (см. раздел 9).

Изменение пароля

Для изменения пароля служит утилита passwd, а в графической оболочке Photon также может использоваться утилита phuser. Обе утилиты запрашивают текущий пароль и затем предлагают ввести новый. Для проверки ошибок новый пароль вводится дважды. С помощью утилиты phuser вы можете также "привязать" к вашему пользователю пиктограмму.

В зависимости от правил задания паролей, установленных системным администратором, утилита passwd может потребовать, чтобы вводимый пароль имел определенную длину или содержал определенные элементы (например, сочетание букв, цифр и знаков препинания). Если пароль не соответствует установленному критерию, утилита passwd запросит ввести другой пароль.

Если к системе имеют доступ другие пользователи (физически, через Интернет или коммутируемое соединение), пароль следует выбрать таким образом, чтобы он гарантировал защиту от несанкционированного доступа. Для этого пароль должен отвечать следующим требованиям:

иметь длину не менее 5 символов;
состоять из нескольких слов или чисел и включать знаки препинания и пробелы;
не использоваться в других системах (многие системы, в особенности Web-сайты, хранят и передают пароли в нешифрованной форме; это позволяет людям, имеющим доступ к системе, видеть ваш пароль как обычный текст);
включать буквы как в нижнем, так и в верхнем регистре;
не содержать слов, фраз и чисел, которые могут быть угаданы другими людьми (например, имена членов вашей семьи, клички домашних животных, номера автомашин, даты рождения).

Более подробные сведения об обеспечении безопасности систем см. в разделе 19.

Если вы забыли пароль

Если вы забыли пароль, попросите системного администратора (пользователя root) назначить новый пароль для вашей учетной записи. root — единственный пользователь, который может сделать это.

Вообще никто не может получить ваш старый пароль из файла /etc/shadow. Если пароль короткий или состоит из одного слова, системный администратор (или злоумышленник) может без труда подобрать его, поэтому лучше задать новый пароль.

Если вы системный администратор и забыли пароль пользователя root, вам следует найти альтернативный способ доступа к файлам /etc/passwd и /etc/shadow, чтобы переустановить пароль. Например, вы можете использовать такие способы:

загрузите систему с другого диска или устройства, позволяющего вам войти как пользователь root (например, с установочного компакт-диска), и установите пароль вручную;
откройте нужные файлы из учетной записи root на другой машине Neutrino через сеть Qnet (более подробные сведения см. в разделе 12);
удалите из системы носитель, содержащий файлы /etc/passwd и /etc/shadow, и подключите его к другой машине Neutrino, на которой вы можете отредактировать их;
в случае встроенной системы постройте новый образ с новыми файлами /etc/passwd и /etc/shadow и затем перенесите его в целевую систему.

Управление другими учетными записями

Системный администратор должен добавлять и удалять учетные записи пользователей и их группы, управлять паролями и разрешать проблемы, связанные с работой пользователей. Для этого следует войти в систему как root, поскольку другие пользователи не имеют разрешение на изменение файлов /etc/passwd, /etc/shadow и /etc/group.

Предупреждение.

Изменять пароль существующего пользователя с помощью утилиты passwd можно в любое время. Однако любые другие изменения базы данных учетных записей во время использования системы могут быть небезопасны. Следующие операции по изменению учетных данных пользователя могут привести к некорректной работе приложений и утилит:

добавление нового пользователя при помощи утилиты passwd или посредством ручного редактирования файла /etc/passwd;
задание пароля для учетной записи, ранее не имевшей его;
редактирование файлов /etc/passwd и /etc/group.

Если существует вероятность использования утилиты passwd или обновления файлов базы данных учетных записей во время их редактирования, следует предварительно заблокировать базу данных паролей, создав файл /etc/.pwlock.

Как описано ранее, для изменения пароля учетной записи следует пользоваться утилитой passwd. Однако для решения следующих задач вам понадобится текстовый редактор:

изменение имени, полного имени, идентификатора пользователя, идентификатора группы, домашнего каталога и начального командного интерпретатора для существующего пользователя;
создание новой учетной записи, не допустимой по конфигурации утилиты passwd;
удаление учетной записи;
создание и удаление группы;
изменение списка членов группы.

В графической оболочке Photon вы можете воспользоваться командой phuser, которая обеспечивает графический интерфейс с утилитой passwd и позволяет выбирать пиктограмму и оболочку пользователя, а также редактировать группы.

Примечание. Изменения файлов учетной записи вручную не проверяются на соответствие правилам, установленным в файле конфигурации утилиты passwd. (Более подробные сведения можно найти в информации о файле /etc/default/passwd в описании команды passwd в «Описание программы. Часть 1. Справочник по утилитам» КПДА.10964-01 13 01.)

Добавление пользователей

Чтобы добавить пользователя:

Войдите в систему под учетной записью пользователя root.
Затем запустите утилиту passwd или phuser (при использовании графической оболочки Photon):

passwd новое_имя_пользователя

Примечание. Длина имени пользователя не должна превышать 14 символов, в противном случае пользователь не сможет войти в систему.

Если вы задаете уже зарегистрированное ранее имя, утилита passwd считает, что вы хотите изменить его пароль. Если вы действительно хотите выполнить эту операцию, введите новый пароль и подтвердите его. В противном случае нажмите комбинацию клавиш <Ctrl>+<C>, чтобы завершить утилиту passwd без сохранения изменений.

Если имя пользователя еще не зарегистрировано, утилита passwd предложит ввести данные для учетной записи (список групп пользователя, домашний каталог и начальный командный интерпретатор). Конфигурационный файл /etc/default/passwd определяет правила, по которым устанавливаются данные по умолчанию для новых учетных записей. (Более подробные сведения см. в описании команды passwd.)

Утилита passwd запрашивает следующие данные.

User id# (значение по умолчанию)

Введите числовой идентификатор нового пользователя. По умолчанию никакие два пользователя не могут иметь одинаковый идентификатор, иначе приложения не смогут однозначно определить имя пользователя, соответствующее этому идентификатору.

Group id # (значение по умолчанию)

Введите числовой идентификатор группы, к которой будет принадлежать пользователь после входа в систему.

Примечание. Утилита passwd не добавляет нового пользователя в запись группы в файле /etc/group. Это можно сделать вручную с помощью текстового редактора. (Более подробные сведения см. в подразд. "Определение групп" далее в этом разделе.)

Real name ()

Введите реальное имя пользователя. Реальное имя редко используется системными утилитами, однако оно может потребоваться для некоторых приложений (например, электронной почты).

Home directory (/home/имя_пользователя)

Введите путевое имя домашнего каталога пользователя. Как правило, оно имеет вид /home/имя_пользователя. Утилита passwd автоматически создает заданный каталог. Если он уже существует, то по умолчанию предлагается выбрать другое путевое имя. Для отключения этой возможности см. сведения о файле /etc/default/passwd в описании команды passwd.

Программа, запускаемая при входе пользователя в систему. Как правило, это командный интерпретатор (/bin/sh), обеспечивающий интерактивную командную строку.

Примечание. Вместо начальной оболочки можно задать любую программу, однако ей нельзя передавать аргументы командной строки. Кроме того, вход в систему с использованием графических утилит phlogin2 и phlogin невозможен, если начальная программа несовместима со стандартом POSIX.

Задать начальную программу можно не только в учетной записи, но и в файле .profile, находящемся в домашнем каталоге каждого пользователя. Командный интерпретатор /bin/sh запускает этот профиль автоматически в начале работы. Более подробные сведения см. в разделе 9.

New password:

Укажите пароль учетной записи и подтвердите его повторным набором.

Удаление учетных записей

Чтобы удалить учетную запись пользователя, выполните следующие действия.

Заблокируйте базу данных учетных записей. Если файл /etc/.pwlock не существует, создайте его, в противном случае дождитесь его удаления.
Удалите информацию об учетной записи из файлов /etc/passwd и /etc/shadow, чтобы запретить вход пользователя в систему, либо укажите в качестве начального командного интерпретатора программу, которая выдает специальное сообщение и завершается.
Удалите ссылки на пользователя из файла /etc/group.
Разблокируйте базу данных учетных записей, удалив файл /etc/.pwlock.
При необходимости удалите или измените владельцев системных ресурсов, которые имел пользователь.
При необходимости удалите или измените ссылки на пользователя в системах электронной почты, файлах контроля доступа TCP/IP, приложения и т. д.

Вместо удаления пользователя вы можете отключить его учетную запись, изменив ее пароль с помощью утилиты passwd. В этом случае остается возможность определить, какими системными ресурсами владел пользователь, т. к. преобразование идентификатора пользователя в имя пользователя продолжает работать. При выполнении этого действия утилита passwd автоматически блокирует и разблокирует базу данных учетных записей.

Если когда-нибудь возникнет необходимость воспользоваться этой учетной записью, вы сможете либо переключиться на этого пользователя с пользователя root с помощью утилиты su ("switch user"), либо войти под этой учетной записью в систему. Если вы забудете пароль этой учетной записи, то всегда можете изменить его через пользователя root.

Что следует сделать с ресурсами, которыми владел бывший пользователь? Далее перечислено несколько возможностей.

Если вы сохранили учетную запись пользователя в базе данных, но отключили ее посредством изменения пароля или начального командного интерпретатора, то можете оставить файлы как есть.
Вы можете назначить файлы другому пользователю:

find / -user имя_пользователя_или_ID -chown новое_имя_пользователя

Вы можете выполнить архивацию файлов и при необходимости перенести их на другой накопитель:

find / -user имя_пользователя_или_ID | pax -wf архивный_файл

Вы можете удалить файлы:

find / -user имя_пользователя_или_ID -remove!

Предупреждение.

Если вы удалите учетную запись пользователя из базы данных, но не отмените или измените информацию о владении файлами, существует вероятность того, что созданный в будущем новый пользователь получит освобожденный идентификатор и поэтому автоматически станет владельцем всех файлов удаленного пользователя.

Определение групп

Запись пользователя в файле /etc/passwd определяет группу, в которой он будет находиться при входе в систему, а в файле /etc/group определены все другие группы, членом которых является пользователь и в которые он может перейти с помощью утилиты newgrp. Как и в случае с именами и идентификаторами пользователя, возможности доступа программы к ресурсам системы определяются числовым эффективным идентификатором группы.

Рассмотрим следующий пример. Вы хотите обеспечить доступ к файлу /home/projects для участников группы разработки, но не желаете, чтобы другие пользователи имели доступ к нему. Для этого выполните следующие действия.

Добавьте группу с именем projects в файл /etc/group и включите в нее всех необходимых пользователей (более подробные сведения см. в следующем разделе).
Если вы хотите сделать эту группу в качестве группы по умолчанию, измените записи пользователей в файле /etc/passwd, указав для них новый идентификатор группы по умолчанию.
Измените идентификатор и права доступа группы у каталога /home/projects и его содержимого:

chgrp -R projects /home/projects

chmod -R g+rw /home/projects

Запретите доступ для всех остальных пользователей:

chmod –R o-rwx /home/projects

Более подробные сведения см. в подразд. "Владение файлами и права доступа" раздела 6.

Создание новой группы

Чтобы создать новую группу, откройте файл /etc/group в текстовом редакторе и добавьте строку, определяющую имя, идентификатор и членов новой группы. Например:

techies:x:101:michel,jim,sue

Более подробные сведения об указанных полях см. в разд. "Файл /etc/group" ранее в этом разделе.

Предупреждение.

Эту работу следует выполнять во время простоя системы. Если во время изменения файла /etc/group посредством текстового редактора какое-либо приложение или утилита (например, ls -l, newgrp) попытается его прочитать, это может привести к некорректной работе.

Изменение существующей группы

Чтобы включить в группу нового пользователя (например, при создании новой учетной записи пользователя с помощью утилиты passwd), необходимо отредактировать файл /etc/group и добавить этого пользователя в соответствующую запись. Например, если вы хотите включить пользователя zeke в существующую группу с именем techies, измените строку:

techies:x:101:michel,jim,sue

на

techies:x:101:michel,jim,sue,zeke

Изменять файл /etc/group следует лишь при условии, что никакая программа или пользователь не обращаются к нему в данный момент.

Устранение неполадок

Далее рассмотрены некоторые проблемы, с которыми вы можете столкнуться при работе с паролями и учетными записями пользователей.

Утилита passwd дает сбой после изменения пароля.

При обновлении базы данных паролей утилита passwd блокирует ее с помощью файла /etc/.pwlock. Существование этого файла препятствует выполнению passwd.

Если в процессе обновления базы данных система терпит аварию и файл /etc/.pwlock сохраняется, утилита passwd не будет работать до тех пор, пока системный администратор не удалит его.

В случае повреждения файлов паролей при системном сбое администратору также следует использовать резервные файлы /etc/oshadow и /etc/opasswd для восстановления /etc/shadow и /etc/passwd, соответственно, чтобы предотвратить возможные проблемы.

Почему я не могу войти в систему в графическом режиме?

Если вы вводите имя пользователя и пароль по запросу утилиты входа графической оболочки (phlogin2 или phlogin), а в ответ вновь получаете диалоговое окно с пустыми полями, это может быть вызвано следующими причинами:

введенные имя пользователя и пароль не соответствуют никакой учетной записи системы (как имя пользователя, так и пароль должны вводиться с учетом регистра клавиатуры);
начальный командный интерпретатор, указанный в вашей учетной записи, не соответствует стандарту POSIX.

В любом случае следует обратиться за помощью к системному администратору.

Почему я не могу войти в систему в текстовом режиме?

Если при вводе имени пользователя и пароля по запросу утилиты login, обеспечивающей вход в систему в текстовом режиме, возникает сообщение "Login incorrect", скорее всего, это означает, что в системе отсутствует пользователь с указанным именем или введен неверный пароль. Следует иметь в виду, что имя пользователя и пароль зависят от регистра клавиатуры, поэтому проверьте, чтобы клавиша <Caps Lock> не была нажата.

Чтобы избежать подсказок неавторизованным пользователям, утилита login не сообщает, какие именно данные (имя пользователя или пароль) введены неверно. Если вам не удается разрешить проблему самостоятельно, системный администратор (пользователь root) может установить новый пароль для вашей учетной записи.

Подобная проблема может возникать в случаях, когда отсутствует один или несколько файлов, хранящих информацию о паролях. Если системный администратор в данный момент обновляет эти файлы, то неполадка, скорее всего, временная. Попытайтесь войти в систему заново через 1—2 минуты. Если это не поможет, обратитесь за помощью к системному администратору.

Если вы являетесь системным администратором и не можете получить доступ к системе, попробуйте сделать это с другой машины Neutrino через сеть Qnet, с инструментальной машины через интерфейс qconn, либо загрузите и запустите систему с установочного компакт-диска, чтобы обнаружить и устранить неполадку посредством командного интерпретатора.

При входе в систему в текстовом режиме выводится сообщение: "No such file or directory".

Это означает, что система не может найти утилиту, указанную в качестве начального командного интерпретатора. Это может происходить по следующим причинам:

утилиту не удалось найти в переменной окружения PATH (как правило, /bin:/usr/bin) утилиты login; укажите полное путевое имя программы в записи пользователя в файле /etc/passwd (например, /usr/local/bin/myprogram);
в записи пользователя для начального командного интерпретатора указаны аргументы или параметры, что запрещено, поскольку вся строка интерпретируется как имя файла, подлежащего запуску.

Внимание! Использование средств защиты информации от несанкционированного доступа, разработанных в соответствии с требованиями российских руководящих документов описано в документе «Описание применения. Часть 2. Комплекс средств защиты» КПДА.10964-01 31 02.