RHCSA-serien: Sådan styres brugere og grupper i RHEL 7 - del 3


Administration af en RHEL 7-server, som det er tilfældet med enhver anden Linux-server, kræver, at du ved, hvordan du tilføjer, redigerer, suspenderer eller sletter brugerkonti og giver brugerne de nødvendige tilladelser til filer, mapper og andre systemressourcer til at udføre deres tildelte opgaver.

Håndtering af brugerkonti

For at tilføje en ny brugerkonto til en RHEL 7-server kan du køre en af følgende to kommandoer som root:

# adduser [new_account]
# useradd [new_account]

Når der tilføjes en ny brugerkonto, udføres som standard følgende handlinger.

  1. Hans/hendes hjemmekatalog oprettes (/hjem/brugernavn , medmindre andet er angivet).
  2. Disse .bash_logout , .bash_profile og .bashrc skjulte filer kopieres i brugerens hjemmekatalog og vil blive brugt til at give miljø variabler til hans/hendes brugersession. Du kan udforske hver af dem for at få yderligere oplysninger.
  3. Der oprettes en mail-spool-mappe til den tilføjede brugerkonto.
  4. En gruppe oprettes med samme navn som den nye brugerkonto.

Det fulde kontosammendrag er gemt i filen /etc/passwd . Denne fil har en post pr. Systembrugerkonto og har følgende format (felter er adskilt med et kolon):

[username]:[x]:[UID]:[GID]:[Comment]:[Home directory]:[Default shell]

  1. Disse to felter [brugernavn] og [Kommentar] er selvforklarende.
  2. Det andet arkiverede 'x' indikerer, at kontoen er sikret med en skraveret adgangskode (i /etc/shadow ), som bruges til at logge på som [brugernavn] .
  3. Felterne [UID] og [GID] er heltal, der viser User IDentification og den primære Group IDentification, som [username] hører ligeledes til.

Langt om længe,

  1. [Hjemmappe] viser den absolutte placering af [brugernavn] s hjemmekatalog, og
  2. [Standard shell] er den shell, der er forpligtet til denne bruger, når han/hun logger ind på systemet.

En anden vigtig fil, som du skal blive fortrolig med, er /etc/group , hvor gruppeoplysninger gemmes. Som det er tilfældet med /etc/passwd , er der en post pr. Linje, og dens felter er også afgrænset af et kolon:

[Group name]:[Group password]:[GID]:[Group members]

hvor,

  1. [Group name] er navnet på gruppen.
  2. Bruger denne gruppe en gruppeadgangskode? (Et "x" betyder nej).
  3. [GID] : samme som i /etc/passwd .
  4. [Gruppemedlemmer] : en liste over brugere, adskilt af kommaer, der er medlemmer af hver gruppe.

Når du har tilføjet en konto, når som helst, kan du redigere brugerens kontooplysninger ved hjælp af usermod, hvis grundlæggende syntaks er:

# usermod [options] [username]

Hvis du arbejder for et firma, der har en eller anden politik for at aktivere konto i et bestemt tidsinterval, eller hvis du vil give adgang til en begrænset periode, kan du bruge --udløbet flag efterfulgt af en dato i ÅÅÅÅ-MM-DD-format. For at kontrollere, at ændringen er anvendt, kan du sammenligne output fra

# chage -l [username]

før og efter opdatering af kontoens udløbsdato, som vist i det følgende billede.

Udover den primære gruppe, der oprettes, når der tilføjes en ny brugerkonto til systemet, kan en bruger føjes til supplerende grupper ved hjælp af de kombinerede -aG- eller –append-grupper-indstillinger efterfulgt af en komma-adskilt liste over grupper.

Hvis du af en eller anden grund har brug for at ændre standardplaceringen for brugerens hjemmekatalog (andet end/hjem/brugernavn), skal du bruge indstillingerne -d eller –home, efterfulgt af den absolutte sti til den nye hjemmekatalog.

Hvis en bruger ønsker at bruge en anden shell end bash (f.eks. Sh), der som standard tildeles, skal du bruge usermod med flaget –shell efterfulgt af stien til den nye shell.

Efter at have tilføjet brugeren til en supplerende gruppe, kan du kontrollere, at den nu faktisk tilhører en sådan gruppe (r):

# groups [username]
# id [username]

Følgende billede viser eksempler 2 til 4:

I eksemplet ovenfor:

# usermod --append --groups gacanepa,users --home /tmp --shell /bin/sh tecmint

For at fjerne en bruger fra en gruppe skal du udelade switchen --append i kommandoen ovenfor og liste de grupper, du vil have brugeren til at følge, efter flagget --groups .

For at deaktivere en konto skal du bruge enten -L (små bogstaver L) eller –lås for at låse en brugers adgangskode. Dette forhindrer brugeren i at være i stand til at logge på.

Når du har brug for at genaktivere brugeren, så han kan logge på serveren igen, skal du bruge -U eller –unlock-indstillingen til at låse op for en brugers adgangskode, der tidligere var blokeret, som forklaret i eksempel 5 ovenfor.

# usermod --unlock tecmint

Følgende billede illustrerer eksempler 5 og 6:

For at slette en gruppe skal du bruge groupdel, mens du vil slette en brugerkonto ved hjælp af userdel (tilføj kontakten –r, hvis du også vil slette indholdet i dens hjemmekatalog og mail-spool):

# groupdel [group_name]        # Delete a group
# userdel -r [user_name]       # Remove user_name from the system, along with his/her home directory and mail spool

Hvis der er filer, der ejes af gruppenavn, slettes de ikke, men gruppeejeren indstilles til GID for gruppen, der blev slettet.