Управљање локалним корисницима и групама - МСП мреже

Општи индекс серије: Рачунарске мреже за мала и средња предузећа: Увод

Аутор: Федерицо Антонио Валдес Тоујагуе
федерицотоујагуе@гмаил.цом
https://blog.desdelinux.net/author/fico

Здраво пријатељи и пријатељи!

Овај чланак је наставак Провера идентитета Скуид + ПАМ у ЦентОС 7- СМБ мрежама.

УНИКС / Линук оперативни системи нуде СТВАРНО вишекорисничко окружење, у којем многи корисници могу истовремено радити на истом систему и делити ресурсе као што су процесори, чврсти дискови, меморија, мрежни интерфејси, уређаји уметнути у систем итд.

Из тог разлога, системски администратори су дужни да континуирано управљају корисницима и групама система и да формулишу и примењују добру стратегију администрације.

Даље ћемо врло кратко видети опште аспекте ове важне активности у администрацији Линук система.

Понекад је боље понудити услужни програм, а затим и потребу.

Ово је типичан пример тог поретка. Прво покажемо како применити услугу Интернет Проки са Скуид и локалним корисницима. Сада се морамо запитати:

  • ¿како могу да имплементирам мрежне услуге на УНИКС / Линук ЛАН-у од локалних корисника и са прихватљива сигурност?.

Није битно што су, поред тога, Виндовс клијенти повезани на ову мрежу. Важна је само потреба за услугама које су потребне МСП мрежи и који је најједноставнији и најјефтинији начин њихове примене.

Добро питање на које би сви требало да траже своје одговоре. Позивам вас да претражите појам «провера идентитета»На Википедији на енглеском језику, која је убедљиво најкомплетнија и најдоследнија у погледу оригиналног садржаја - на енглеском језику.

Према Историји већ отприлике, прво је био Аутентификација y Овлашћење локално, после НИШ Мрежни информациони систем развио Сун Мицросистем и познат и као Иеллов Пагес o yp, и онда ЛДАП Лигхтвеигхт Дирецтори Аццесс Протоцол.

Шта у вези "Прихватљива сигурност»Догађа се зато што много пута бринемо о сигурности наше локалне мреже, док приступамо Фацебоок-у, Гмаил-у, Иахоо-у итд. - да поменемо само неке - и у њих дајемо своју приватност. И погледајте велики број чланака и документараца који се тичу Нема приватности на Интернету они постоје

Напомена о ЦентОС-у и Дебиану

ЦентОС / Ред Хат и Дебиан имају своју филозофију о томе како имплементирати сигурност, која се у основи не разликује. Међутим, ми потврђујемо да су обоје врло стабилни, сигурни и поуздани. На пример, у ЦентОС-у је СЕЛинук контекст подразумевано омогућен. У Дебиану морамо инсталирати пакет основе селинук-а, што указује да можемо да користимо и СЕЛинук.

У ЦентОС-у, Уники другим оперативним системима креира се група -систем- точак да дозволи приступ као корен само корисницима система који припадају тој групи. читати /уср/схаре/доц/пам-1.1.8/хтмл/Линук-ПАМ_САГ.хтмл, И /уср/схаре/доц/пам-1.1.8/хтмл/Линук-ПАМ_САГ.хтмл. Дебиан не укључује групу точак.

Главне датотеке и наредбе

евиденција

Главне датотеке повезане са управљањем локалним корисницима у оперативном систему Линук су:

ЦентОС и Дебиан

  • / етц / пассвд: информације о корисничком налогу.
  • / етц / схадов- Информације о безбедности корисничког налога.
  • / етц / гроуп: информације о групном налогу.
  • / етц / гсхадов- Безбедносне информације за групне налоге.
  • / етц / дефаулт / усерадд: подразумеване вредности за креирање налога.
  • / етц / скел /: директоријум који садржи задане датотеке које ће бити укључене у ХОМЕ директоријум новог корисника.
  • /етц/логин.дефс- Пакет за конфигурацију заштите лозинке.

Дебиан

  • /етц/аддусер.цонф: подразумеване вредности за креирање налога.

Команде на ЦентОС и Дебиан

[роот @ линукбок ~] # цхпассвд -х # Ажурирање лозинки у батцх режиму
Како се користи: цхпассвд [опције] Опције: -ц, --црипт-метход МЕТОДА метода крипте (једна од НОНЕ ДЕС МД5 СХА256 СХА512) -е, --шифроване шифроване лозинке су дате -х, --хелп ово показује помоћ промпт и енд -м, --мд5 шифрира лозинку у јасном облику помоћу МД5 алгоритма -Р, --роот ЦХРООТ_ДИР директоријум за цхроот у -с, --сха-роундс број СХА рунди за СХА алгоритме шифрирања * # серија- Извршите наредбе када то дозвољава оптерећење система. Другим речима, # када просечно оптерећење падне испод 0.8 или вредност наведена позивањем # команде атд. Више информација ман батцх.

[роот @ линукбок ~] # гпассвд -х # Пријавите администраторе у / етц / гроуп и / етц / гсхадов
Како се користи: гпассвд [оптионс] ГРОУП Оптионс: -а, --адд УСЕР додаје УСЕР у ГРОУП -д, --делете УСЕР уклања УСЕР из ГРОУП -х, --хелп приказује ову поруку помоћи и завршава -К, - - роот ЦХРООТ_ДИР директоријум за цхроот у -р, --делете-пассворд уклања ГРОУП-ову лозинку -Р, --ограничава ограничава приступ ГРОУП-у својим члановима -М, - чланова УСЕР, ... поставља листу чланова ГРОУП - А, --администраторс АДМИН, ... поставља листу ГРОУП администратора Осим опција -А и -М, опције се не могу комбиновати.

[роот @ линукбок ~] # гроупадд -h    # Креирајте нову групу
Како се користи: гроупадд [оптионс] ГРОУП Оптионс: -ф, --форце прекида се ако група већ постоји и поништава -г ако се ГИД већ користи -г, --гид ГИД усе ГИД фор нев гроуп - х, - хелп приказује ову поруку помоћи и завршава -К, --кеи КЕИ = ВАЛУЕ преписује подразумеване вредности "/етц/логин.дефс" -о, --нон-уникуе вам омогућава да креирате групе са ГИД-овима (нису јединствене) дупликати -п, --пассворд ПАССВОРД користе ову шифровану лозинку за нову групу -р, --систем креира системски рачун -Р, --роот директоријум ЦХРООТ_ДИР за цхроот у

[роот @ линукбок ~] # гроупдел -h # Избришите постојећу групу
Како се користи: гроупдел [оптионс] ГРОУП Оптионс: -х, --хелп прикажи ову поруку помоћи и прекини -Р, --роот ЦХРООТ_ДИР директоријум за цхроот у

[роот @ линукбок ~] # гроупмемс -х # Прогласите администраторе у примарној групи корисника
Како се користи: гроупмемс [оптионс] [ацтион] Опције: -г, --гроуп ГРОУП променити име групе уместо корисничке групе (може само администратор) -Р, --роот ЦХРООТ_ДИР директоријум да цхроот у акције: -а, --адд УСЕР додаје УСЕР члановима групе -д, --делете УСЕР уклања УСЕР са листе чланова групе -х, --хелп приказује ову поруку помоћи и завршава -п, - очисти чишћење свих чланова групе - л, --лист наводи чланове групе

[роот @ линукбок ~] # гроупмод -х # Измените дефиницију групе
Како се користи: гроупмод [оптионс] ГРОУП Оптионс: -г, --гид ГИД мења идентификатор групе у ГИД -х, --хелп приказује ову поруку помоћи и завршава -н, --нев-наме НЕВ_Гроуп мења име а НЕВ_ГРОУП -о, --нон-уникуе омогућава употребу дупликата ГИД (не јединственог) -п, --пассворд ПАССВОРД мења лозинку у ПАССВОРД (шифровано) -Р, --роот ЦХРООТ_ДИР директоријум за цхроот у

[роот @ линукбок ~] # грпцк -х # Проверите интегритет групне датотеке
Како се користи: грпцк [опције] [група [гсхадов]] Опције: -х, --хелп прикажи ову поруку помоћи и изађи -р, - грешке и упозорења приказују само за читање, али не мењају датотеке -Р, - - роот ЦХРООТ_ДИР директоријум за цхроот у -с, --сорт сортирање уноса према УИД-у

[роот @ линукбок ~] # грпцонв
# Придружене команде: пвцонв, пвунцонв, грпцонв, грпунцонв
# Користи се за претварање у и из лозинки и група у сенци
# Четири команде раде на датотекама / етц / пассвд, / етц / гроуп, / етц / схадов, 
# и / етц / гсхадов. За више информација ман грпцонв.

[роот @ линукбок ~] # sg -х # Извршите наредбу са другим ИД-ом групе или ГИД-ом
Како се користи: сг гроуп [[-ц] ордер]

[роот @ линукбок ~] # невгрп -х # Промените тренутни ГИД током пријаве
Како се користи: невгрп [-] [група]

[роот @ линукбок ~] # Нови Корисници -х # Ажурирајте и креирајте нове кориснике у батцх режиму
Режим коришћења: нови корисници [опције] Опције: -ц, --црипт-метход МЕТОДА метода крипте (једна од НОНЕ ДЕС МД5 СХА256 СХА512) -х, --помоћ прикажи ову поруку помоћи и изађи -р, --систем креира систем аццоунт -Р, --роот ЦХРООТ_ДИР директоријум за цхроот у -с, --сха-роундс број СХА рунди за СХА алгоритме шифрирања *

[роот @ линукбок ~] # пвцк -х # Проверите интегритет датотека лозинки
Како се користи: пвцк [опције] [пассвд [сенка]] Опције: -х, --хелп прикажи ову поруку помоћи и изађи -к, - тихо само пријави грешке -р, - грешке и упозорења приказују само читање, али не мењајте датотеке -Р, --роот ЦХРООТ_ДИР директоријум у цхроот у -с, --сорт сортирање уноса према УИД

[роот @ линукбок ~] # усерадд -х # Креирајте новог корисника или ажурирајте подразумеване # информације новог корисника
Како се користи: усерадд [опције] КОРИСНИК усерадд -Д усерадд -Д [опције] Опције: -б, --басе-дир БАС_ДИР основни директоријум за матични директоријум новог налога -ц, --коментар ЦОММЕНТ ГЕЦОС поље на нови налог -д, --хоме-дир ПЕРСОНАЛ_ДИР почетни директоријум новог рачуна -Д, - подразумеване вредности исписати или променити подразумевано подешавање усерадд -е, - истекао ЕКСПИРИ_ДАТЕ датум истека новог рачуна -ф, - неактиван НЕАКТИВАН период неактивности лозинку за нови налог
делгроуп
  -г, --гид ГРОУП име или идентификатор примарне групе новог рачуна -Г, --гроупс ГРОУПС листа додатних група новог рачуна -х, --хелп приказује ову поруку помоћи и завршава -к, - скел ДИР_СКЕЛ користи овај алтернативни директоријум „скелета“ -К, --кеи КЕИ = ВАЛУЕ преписује подразумеване вредности „/етц/логин.дефс“ -л, --но-лог-инит не додаје корисника у базе података из ластлог-а и дневника неуспеха -м, --цреате-хоме креира корисника -М кућни директоријум, --но-цреате-хоме не креира корисника -Н матични директоријум, --но-усер-гроуп не креира групу са истим именом као корисник -о, --нон-уникуе омогућава креирање корисника са дупликатима (нејединственим) идентификаторима (УИД-овима) -п, --пассворд ПАССВОРД шифрована лозинка новог налога -р, --систем креира налог система -Р, --роот ЦХРООТ_ДИР директоријум за цхроот у -с, --схелл ЦОНСОЛЕ приступ конзоли новог налога -у, --уид УИД идентификатор корисника новог налога -У, --усер-гроуп цреатегрупа са истим именом као корисник -З, --селинук-усер УСЕР_СЕ користи наведеног корисника за СЕЛинук корисника

[роот @ линукбок ~] # усердел -х # Избришите кориснички рачун и повезане датотеке
Начин употребе: усердел [оптионс] УСЕР Оптионс: -ф, --форце форсирају неке радње које не би успеле у супротном, нпр. Уклањање корисника који је још увек пријављен или датотека, чак и ако није у власништву корисника -х, --хелп приказује ову поруку Помоћ и завршите -р, --уклоните уклањање почетног директоријума и поштанског сандучета -Р, --роот ЦХРООТ_ДИР директоријум за цхроот у -З, --селинук-усер уклоните било које СЕЛинук корисничко мапирање за корисника

[роот @ линукбок ~] # усермод -х # Измените кориснички налог
Како се користи: усермод [оптионс] УСЕР Оптионс: -ц, --цоммент ЦОММЕНТ нова вредност поља ГЕЦОС -д, --хоме ПЕРСОНАЛ_ДИР нови почетни директоријум новог корисника -е, --екпиредате ЕКСПИРЕД_ДАТЕ поставља датум истека рачун до ЕКСПИРЕД_ДАТЕ -ф, - неактиван ИНАКТИВНО поставља време мировања након истека рачуна на ИНАЦТИВЕ -г, --гид ГРОУП форсира употребу ГРОУП за нови кориснички рачун -Г, --гроупс ГРОУПС листа допунских група -а, - додај додати корисника у допунске ГРУПЕ које помиње опција -Г без уклањања из других група -х, --помоћи приказ ове поруке помоћи и прекинути -л, --логНОВО ИМЕ поново име за корисника -Л, - лоцк закључава кориснички налог -м, --мове-хоме премештање садржаја кућног директоријума у ​​нови директоријум (користи се само заједно са -д) -о, --нон-уникуе омогућава коришћење дупликата УИД-ова (нису јединствени) -п, - -пассворд ПАССВОРД користи шифровану лозинку за нови рачун -Р, --роот ЦХР ООТ_ДИР директоријум за цхроот у -с, --схелл ЦОНСОЛЕ нова приступна конзола за кориснички рачун -у, --уид УИД присиљава употребу УИД-а за нови кориснички рачун -У, - откључавање откључава кориснички рачун -З, --селинук-усер СЕУСЕР ново СЕЛинук мапирање корисника за кориснички рачун

Команде у Дебиану

Дебиан прави разлику између усерадд y додати корисника. Препоручује да системски администратори користе додати корисника.

роот @ сисадмин: / хоме / кеон # додати корисника -х # Додајте корисника у систем
роот @ сисадмин: / хоме / кеон # аддгроуп -х # Додајте групу у систем
аддусер [--хоме ДИРЕЦТОРИ] [--схелл СХЕЛЛ] [--но-цреате-хоме] [--уид ИД] [--фирстуид ИД] [--ластуид ИД] [--гецос ГЕЦОС] [--ингроуп ГРУПА | --гид ИД] [--дисаблед-пассворд] [--дисаблед-логин] КОРИСНИК Додајте нормалног корисника аддусер --систем [--хоме ДИРЕЦТОРИ] [--схелл СХЕЛЛ] [--но-цреате-хоме] [ --уид ИД] [--гецос ГЕЦОС] [--гроуп | --ингроуп ГРОУП | --гид ИД] [--дисаблед-пассворд] [--дисаблед-логин] КОРИСНИК Додајте корисника из системског аддусер --гроуп [--гид ИД] ГРОУП аддгроуп [--гид ИД] ГРОУП Додајте групу корисника аддгроуп --систем [--гид ИД] ГРОУП Додајте системског аддусер ГРУПА КОРИСНИК Додајте постојећег корисника у постојећу групу опште опције: --куиет | -к не приказују информације о процесу на стандардном излазу --форце-баднаме дозвољавају корисничка имена која се не подударају са променљивом конфигурације НАМЕ_РЕГЕКС --хелп | -х порука о употреби --верзија | -в број верзије и ауторска права --цонф | -ц ФИЛЕ користи ФИЛЕ као конфигурациону датотеку

роот @ сисадмин: / хоме / кеон # делусер -h # Уклоните нормалног корисника из система
роот @ сисадмин: / хоме / кеон # делгроуп -х # Уклоните нормалну групу из система
делусер УСЕР уклања нормалног корисника из примера система: делусер мигуел --ремове-хоме уклања корисников кућни директоријум и ред поште. --ремове-алл-филес уклања све датотеке у власништву корисника. - бацкуп прави резервне копије датотека пре брисања. - бацкуп-то одредишни директоријум за резервне копије. Тренутни директоријум се користи подразумевано. --систем уклонити само ако сте корисник система. делгроуп ГРОУП делусер --гроуп ГРОУП уклања групу из система пример: делусер --гроуп студентс --систем уклања само ако је група из система. --онли-иф-емпти уклоните само ако немају више чланова. делусер УСЕР ГРОУП уклања корисника из групе пример: делусер мигуел студентс опште опције: --куиет | -к не дајте информације о процесу на стдоут --хелп | -х порука о употреби --верзија | -в број верзије и ауторска права --цонф | -ц ФИЛЕ користи ФИЛЕ као конфигурациону датотеку

Политике

Постоје две врсте смерница које морамо узети у обзир приликом креирања корисничких налога:

  • Политике корисничког налога
  • Политике старења лозинке

Политике корисничког налога

У пракси су основне компоненте које идентификују кориснички налог:

  • Име корисничког налога - корисник ПРИЈАВА, а не име и презимена.
  • ИД корисник - УИД.
  • Главна група којој припада - ГИД.
  • Лозинка - лозинка.
  • Приступне дозволе - дозволе приступа.

Главни фактори које треба узети у обзир приликом креирања корисничког налога су:

  • Време када ће корисник имати приступ систему датотека и ресурсима.
  • Количина времена у којем корисник мора да повремено мења лозинку из безбедносних разлога.
  • Време током ког ће пријава -логин остати активна.

Такође, приликом додељивања кориснику његовог УИД y лозинка, морамо имати на уму да:

  • Целобројна вредност УИД мора бити јединствен и не негативан.
  • El лозинка мора бити одговарајуће дужине и сложености, тако да је тешко одгонетнути.

Политике старења лозинке

На Линук систему, лозинка корисника не додељује подразумевано време истека. Ако користимо политике старења лозинке, можемо променити подразумевано понашање и приликом креирања корисника, дефинисане политике ће се узети у обзир.

У пракси постоје два фактора која треба узети у обзир приликом постављања старости лозинке:

  • Сигурност.
  • Корисничка погодност.

Лозинка је сигурнија што је краћи период истека. Мањи је ризик да ће процурити до других корисника.

Да бисмо успоставили политике старења лозинке, можемо користити наредбу цхаге:

[роот @ линукбок ~] # Цхаге
Режим коришћења: цхаге [оптионс] УСЕР Оптионс: -д, --ластдаи ЛАСТ_ДАИ поставља дан последње промене лозинке на ЛАСТ_ДАИ -Е, --екпиредате ЦАД_ДАТЕ поставља датум истека на ЦАД_ДАТЕ -х, --хелп приказује ову поруку помоћи и завршава -И, - неактиван ИНАКТИВ онемогућава рачун након НЕАКТИВНИХ дана од датума истека -л, --лист приказује податке о старости рачуна -м, --миндаис МИНДАИС поставља број минималних дана пре промене лозинке на МИН_ДАИС -М, --макдаис МАКС_ДАИС поставља максималан број дана пре промене лозинке у МАКС_ДАИС -Р, --роот ЦХРООТ_ДИР директоријум за цхроот у -В, --варндаис ВАРНИНГ_ДАИС поставља обавештења о данима истека на ДАИС_НОТИЦЕ

У претходном чланку створили смо неколико корисника као пример. Ако желимо да знамо старосне вредности корисничког налога са ПРИЈАВА галадриел:

[роот @ линукбок ~] # цхаге --лист галадриел
Последња промена лозинке: 21. априла 2017. Лозинка истиче: никада Неактивна лозинка: никад налог истиче: никада Минимални број дана између промене лозинке: 0 Максималан број дана између промене лозинке: 99999 Број дана обавештења пре истека лозинке: 7

То су биле подразумеване вредности које је систем имао када смо креирали кориснички налог користећи графички услужни програм „Корисници и групе“:

Да бисте променили подразумеване вредности лозинке за старење, препоручује се уређивање датотеке /етц/логин.дефс y изменити минималну количину вредности која нам је потребна. У тој датотеци ћемо променити само следеће вредности:

# Контроле старења лозинке: # # ПАСС_МАКС_ДАИС Максималан број дана када се лозинка може користити. # ПАСС_МИН_ДАИС Минималан број дана између промена лозинке. # ПАСС_МИН_ЛЕН Минимална прихватљива дужина лозинке. # ПАСС_ВАРН_АГЕ Број дана упозорења пре истека лозинке. # ПАСС_МАКС_ДАИС 99999 #! Више од 273 године! ПАСС_МИН_ДАИС 0 ПАСС_МИН_ЛЕН 5 ПАСС_ВАРН_АГЕ 7

за вредности које смо изабрали према нашим критеријумима и потребама:

ПАСС_МАКС_ДАИС 42 # 42 непрекидна дана која можете да користите лозинка
ПАСС_МИН_ДАИС 0 # лозинка се може променити у било ком тренутку ПАСС_МИН_ЛЕН 8 # минимална дужина лозинке ПАСС_ВАРН_АГЕ 7 # Број дана у којима вас систем упозорава да # промените лозинку пре него што истекне.

Остатак датотеке остављамо онаквим какав је био и препоручујемо да не мењате друге параметре док не сазнамо шта радимо.

Нове вредности ће се узети у обзир када креирамо нове кориснике. Ако променимо лозинку већ креираног корисника, поштоваће се вредност минималне дужине лозинке. Ако користимо наредбу пассвд уместо графичке корисности и пишемо да ће лозинка бити «леголас17«, Систем се жали попут графичког алата« Корисници и групе »и одговара да«Лозинка некако гласи корисничко име»Иако на крају прихватам ту слабу лозинку.

[роот @ линукбок ~] # пассвд леголас
Промена лозинке корисника леголаса. Нова лозинка: голман               # је мањи од 7 знакова
НЕПРАВИЛНА ЛОЗИНКА: Лозинка је мања од 8 знакова Поново унесите нову лозинку: леголас17
Лозинке се не поклапају.               # Логично, зар не?
Нова лозинка: леголас17
НЕПРАВИЛНА ЛОЗИНКА: Нека лозинка некако чита корисничко име Поново унесите нову лозинку: леголас17
пассвд: сви токени за потврду идентитета су успешно ажурирани.

Наилазимо на „слабост“ декларисања лозинке која укључује ПРИЈАВА корисник. То је пракса која се не препоручује. Исправан начин би био:

[роот @ линукбок ~] # пассвд леголас
Промена лозинке корисника леголаса. Нова лозинка: АлтосМонтес01
Поново напишите нову шифру: АлтосМонтес01
пассвд: сви токени за потврду идентитета су успешно ажурирани.

Да бисте променили вредности истека лозинка de галадриел, користимо наредбу цхаге и морамо само да променимо вредност ПАСС_МАКС_ДАИС од 99999 до 42:

[роот @ линукбок ~] # цхаге -М 42 галадриел
[роот @ линукбок ~] # цхаге -л галадриел
Последња промена лозинке: 21. априла 2017. Лозинка истиче: 02. јуна 2017. Неактивна лозинка: никад Рачун истиче: никада Минимални број дана између промене лозинке: 0 Максимални број дана између промене лозинке: 42
Број дана обавештења пре истека лозинке: 7

И тако даље, можемо ручно да променимо лозинке већ креираних корисника и њихове вредности истека, користећи графички алат „Корисници и групе“ или помоћу скрипте - скрипта који аутоматизује неке неинтерактивне радове.

  • На овај начин, ако креирамо локалне кориснике система на начин који не препоручују најчешће праксе у погледу безбедности, можемо променити то понашање пре него што наставимо да примењујемо више услуга заснованих на ПАМ-у..

Ако креирамо корисника андуин са ПРИЈАВА «андуин»И лозинка«ЕлПассворд»Добићемо следећи резултат:

[роот @ линукбок ~] # усерадд андуин
[роот @ линукбок ~] # пассвд андуин
Промена лозинке корисника андуин. Нова лозинка: ЕлПассворд
НЕПРАВИЛНА ЛОЗИНКА: Лозинка не пролази верификацију речника - заснива се на речи из речника. Поново напишите нову шифру: ЕлПассворд
пассвд - Сви токени за потврду идентитета су успешно ажурирани.

Другим речима, систем је довољно креативан да укаже на слабости лозинке.

[роот @ линукбок ~] # пассвд андуин
Промена лозинке корисника андуин. Нова лозинка: АлтосМонтес02
Поново напишите нову шифру: АлтосМонтес02
пассвд - Сви токени за потврду идентитета су успешно ажурирани.

Резиме смерница

  • Јасно је да је политика сложености лозинке, као и минимална дужина од 5 знакова, подразумевано омогућена у ЦентОС-у. На Дебиану провјера сложености функционира за нормалне кориснике када покушају промијенити лозинку позивајући се на наредбу пассвд. За корисника корен, нема задатих ограничења.
  • Важно је знати различите опције које можемо пријавити у датотеци /етц/логин.дефс користећи команду човек логин.дефс.
  • Такође проверите садржај датотека / етц / дефаулт / усерадд, а такође и у Дебиану /етц/аддусер.цонф.

Корисници и групе система

У процесу инсталирања оперативног система ствара се читав низ корисника и група које једна литература назива Стандардни корисници, а друга Корисници система. Ми их више волимо називати системским корисницима и групама.

Корисници система по правилу имају УИД <1000 а ваше рачуне користе различите апликације оперативног система. На пример, кориснички налог «лигње»Користи програм Скуид, док се налог« лп »користи за поступак штампања из програма за уређивање речи или текста.

Ако желимо да наведемо те кориснике и групе, то можемо учинити помоћу наредби:

[роот @ линукбок ~] # цат / етц / пассвд
[роот @ линукбок ~] # мачка / итд / група

Уопште се не препоручује модификовање корисника и група система. 😉

Због његове важности понављамо да у ЦентОС-у, Уники другим оперативним системима креира се група -систем- точак да дозволи приступ као корен само корисницима система који припадају тој групи. читати /уср/схаре/доц/пам-1.1.8/хтмл/Линук-ПАМ_САГ.хтмл, И /уср/схаре/доц/пам-1.1.8/хтмл/Линук-ПАМ_САГ.хтмл. Дебиан не укључује групу точак.

Управљање корисничким и групним рачунима

Најбољи начин да научите како да управљате корисничким и групним налозима је:

  • Вежбање употребе горе наведених команди, по могућности у виртуелној машини и пре коришћења графичких алата.
  • Консултовање приручника или ман странице сваке наредбе пре претраживања било којих других информација на Интернету.

Пракса је најбољи критеријум истине.

Резиме

Далеко, један чланак посвећен управљању локалним корисницима и групама није довољан. Степен знања који сваки администратор стекне зависиће од личног интереса за учење и продубљивање ове и других сродних тема. То је исто као и код свих аспеката које смо развили у серији чланака МСП мреже. На исти начин можете уживати у овој верзији у пдф-у овде

Следећа испорука

Наставићемо да примењујемо услуге са аутентификацијом против локалних корисника. Затим ћемо инсталирати услугу размене тренутних порука на основу програма Просоди.

Видимо се ускоро!


4 коментара, остави свој

Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.

  1.   ХО2ГИ дијо

    Здраво, одличан чланак, питам вас где радим, штампачи се деле пуно, проблем је у шољама, понекад виси и не могу да штампају јер им могу дати дозволу да га поново покрену (јер већину времена радимо у другим областима) без давања корена лозинке, јер је једини начин који сам пронашао да је променим тако да је одређени корисник може поново покренути.
    Већ вам хвала.

    1.    Федерицо дијо

      Поздрав ХО2ГИ!. На пример, рецимо да је корисник Леголас желите да му дате дозволу да само поново покрене услугу ЦУПС, користећи наравно команду судо, који мора бити инсталиран:
      [роот @ линукбок ~] # висудо

      Спецификација замјенског имена

      Цмнд_Алиас РЕСТАРТЦУПС = /етц/инит.д/цупс рестарт

      Спецификација привилегија корисника

      роот АЛЛ = (АЛЛ: АЛЛ) АЛЛ
      леголас СВЕ = РЕСТАРТЦУПС

      Сачувајте промене направљене у датотеци џемпери. Пријавите се као корисник леголас:

      леголас @ линукбок: ~ $ судо /етц/инит.д/скуид поновно учитавање
      [судо] лозинка за леголе:
      Sorry, user legolas is not allowed to execute ‘/etc/init.d/postfix reload’ as root on linuxbox.desdelinux.лепеза.
      леголас @ линукбок: ~ $ судо /етц/инит.д/цупс рестарт
      [судо] лозинка за леголе:
      [ок] Поновно покретање система Уник за штампу: цупсд.

      Опростите ми ако се упит разликује на ЦентОС-у, јер сам се водио оним што сам управо урадио на Дебиан Вхеези-у. ;-). Где сам тренутно, немам ЦентОС при руци.

      С друге стране, ако желите да додате друге кориснике система као потпуне ЦУПС администраторе - они то могу погрешно конфигурисати - постаћете чланом групе лпадмин, која се креира када инсталирате ЦУПС.

      https://www.cups.org/doc/man-lpadmin.html
      http://www.computerhope.com/unix/ulpadmin.htm

      1.    ХО2ГИ дијо

        Велико хвала хиљаду Фицо, пробаћу одмах.

  2.   Федерицо дијо

    ХО2ГИ, у ЦентОС / Ред -Хат то би било:

    [роот @ линукбок ~] # висудо

    Usluge

    Цмнд_Алиас РЕСТАРТЦУПС = / уср / бин / системцтл рестарт цупс, / уср / бин / системцтл статус цупс

    Дозволите роот-у да извршава било које наредбе било где

    роот АЛЛ = (АЛЛ) АЛЛ
    леголас СВЕ = РЕСТАРТЦУПС

    Сачувај промене

    [роот @ линукбок ~] # излаз

    бузз @ сисадмин: ~ $ ссх леголас @ линукбок
    лозинка леголас @ линукбок:

    [леголас @ линукбок ~] $ судо системцтл рестартује чаше

    Верујемо да сте добили уобичајено предавање од локалног система
    Администратор. Обично се своди на ове три ствари:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

    [судо] лозинка за леголе:
    [леголас @ линукбок ~] $ судо системцтл статусне чаше
    ● цупс.сервице - Услуга штампања ЦУПС
    Учитана: учитана (/уср/либ/системд/систем/цупс.сервице; омогућена; унапред подешена опција добављача: омогућена)
    Активан: активан (трчи) од марта 2017-04-25 22:23:10 ЕДТ; Пре 6с
    Главни ПИД: 1594 (цупсд)
    ЦГроуп: /систем.слице/цупс.сервице
    └─1594 / уср / сбин / цупсд -ф

    [леголас @ линукбок ~] $ судо системцтл поново покрените скуид.сервице
    Жао нам је, корисничким леголама није дозвољено да извршавају '/ бин / системцтл рестарт скуид.сервице' као роот на линукбок-у.
    [леголас @ линукбок ~] $ излаз