Σειρά RHCSA: Πώς να διαχειριστείτε χρήστες και ομάδες στο RHEL 7 - Μέρος 3


Η διαχείριση ενός διακομιστή RHEL 7, όπως συμβαίνει με οποιονδήποτε άλλο διακομιστή Linux, απαιτεί να γνωρίζετε πώς να προσθέτετε, να επεξεργάζεστε, να αναστείλετε ή να διαγράφετε λογαριασμούς χρηστών και να εκχωρείτε στους χρήστες τα απαραίτητα δικαιώματα για αρχεία , καταλόγους και άλλους πόρους συστήματος για την εκτέλεση των εργασιών που τους έχουν ανατεθεί.

Διαχείριση λογαριασμών χρηστών

Για να προσθέσετε έναν νέο λογαριασμό χρήστη σε έναν διακομιστή RHEL 7, μπορείτε να εκτελέσετε μία από τις ακόλουθες δύο εντολές ως root:

adduser [new_account]
useradd [new_account]

Όταν προστίθεται ένας νέος λογαριασμός χρήστη, εκτελούνται από προεπιλογή οι ακόλουθες λειτουργίες.

  1. Δημιουργείται ο αρχικός του κατάλογος (/home/username εκτός εάν ορίζεται διαφορετικά).
  2. Αυτά τα κρυφά αρχεία .bash_logout, .bash_profile και .bashrc αντιγράφονται στον κεντρικό κατάλογο του χρήστη και θα χρησιμοποιηθούν για την παροχή μεταβλητών περιβάλλοντος για τον χρήστη/της συνεδρίας χρήστη. Μπορείτε να εξερευνήσετε καθένα από αυτά για περισσότερες λεπτομέρειες.
  3. Δημιουργείται ένας κατάλογος ουράς αλληλογραφίας για τον προστιθέμενο λογαριασμό χρήστη.
  4. Δημιουργείται μια ομάδα με το ίδιο όνομα με τον νέο λογαριασμό χρήστη.

Η πλήρης σύνοψη του λογαριασμού αποθηκεύεται στο αρχείο /etc/passwd. Αυτό το αρχείο διατηρεί μια εγγραφή ανά λογαριασμό χρήστη συστήματος και έχει την ακόλουθη μορφή (τα πεδία διαχωρίζονται με άνω και κάτω τελεία):

[username]:[x]:[UID]:[GID]:[Comment]:[Home directory]:[Default shell]
  1. Αυτά τα δύο πεδία [όνομα χρήστη] και [Σχόλιο] είναι αυτονόητα.
  2. Το δεύτερο αρχείο «x» υποδηλώνει ότι ο λογαριασμός προστατεύεται από έναν σκιερό κωδικό πρόσβασης (στο /etc/shadow), ο οποίος χρησιμοποιείται για τη σύνδεση ως [όνομα χρήστη].
  3. Τα πεδία [UID] και [GID] είναι ακέραιοι αριθμοί που εμφανίζουν το αναγνωριστικό χρήστη και το κύριο αναγνωριστικό ομάδας στο οποίο ανήκει το [όνομα χρήστη], εξίσου .

Τελικά,

  1. Ο [Αρχικός κατάλογος] εμφανίζει την απόλυτη θέση του οικιακού καταλόγου του [username] και
  2. Το [Προεπιλεγμένο κέλυφος] είναι το κέλυφος που δεσμεύεται σε αυτόν τον χρήστη όταν αυτός/αυτή συνδέεται στο σύστημα.

Ένα άλλο σημαντικό αρχείο με το οποίο πρέπει να εξοικειωθείτε είναι το /etc/group, όπου αποθηκεύονται οι πληροφορίες της ομάδας. Όπως συμβαίνει με το /etc/passwd, υπάρχει μία εγγραφή ανά γραμμή και τα πεδία της οριοθετούνται επίσης με άνω και κάτω τελεία:

[Group name]:[Group password]:[GID]:[Group members]

που,

  1. [Όνομα ομάδας] είναι το όνομα της ομάδας.
  2. Αυτή η ομάδα χρησιμοποιεί κωδικό πρόσβασης ομάδας; (Ένα "x " σημαίνει όχι).
  3. [GID]: όπως στο /etc/passwd.
  4. [Μέλη ομάδας]: μια λίστα χρηστών, διαχωρισμένων με κόμμα, που είναι μέλη κάθε ομάδας.

Μετά την προσθήκη ενός λογαριασμού, ανά πάσα στιγμή, μπορείτε να επεξεργαστείτε τις πληροφορίες λογαριασμού του χρήστη χρησιμοποιώντας το usermod, του οποίου η βασική σύνταξη είναι:

usermod [options] [username]

Διαβάστε επίσης:
15 Παραδείγματα εντολών «useradd»
15 Παραδείγματα εντολών «usermod».

ΠΑΡΑΔΕΙΓΜΑ 1: Ορισμός ημερομηνίας λήξης για έναν λογαριασμό

Εάν εργάζεστε για μια εταιρεία που έχει κάποιο είδος πολιτικής για την ενεργοποίηση του λογαριασμού για ένα συγκεκριμένο χρονικό διάστημα ή εάν θέλετε να παραχωρήσετε πρόσβαση σε περιορισμένο χρονικό διάστημα, μπορείτε να χρησιμοποιήσετε το --expiredate σημαία ακολουθούμενη από μια ημερομηνία σε μορφή ΕΕΕΕ-ΜΜ-ΗΗ. Για να επαληθεύσετε ότι η αλλαγή έχει εφαρμοστεί, μπορείτε να συγκρίνετε την έξοδο του

chage -l [username]

πριν και μετά την ενημέρωση της ημερομηνίας λήξης του λογαριασμού, όπως φαίνεται στην παρακάτω εικόνα.

ΠΑΡΑΔΕΙΓΜΑ 2: Προσθήκη του χρήστη σε συμπληρωματικές ομάδες

Εκτός από την κύρια ομάδα που δημιουργείται όταν προστίθεται ένας νέος λογαριασμός χρήστη στο σύστημα, ένας χρήστης μπορεί να προστεθεί σε συμπληρωματικές ομάδες χρησιμοποιώντας το συνδυασμό -aG ή –append < δυνατές>–ομάδες επιλογές, ακολουθούμενες από μια λίστα ομάδων διαχωρισμένων με κόμματα.

ΠΑΡΑΔΕΙΓΜΑ 3: Αλλαγή της προεπιλεγμένης θέσης του οικιακού καταλόγου του χρήστη ή/και αλλαγή του κελύφους του

Εάν για κάποιο λόγο χρειαστεί να αλλάξετε την προεπιλεγμένη θέση του οικιακού καταλόγου του χρήστη (εκτός από το /home/username), θα χρειαστεί να χρησιμοποιήσετε το -d ή < Επιλογές–home, ακολουθούμενες από την απόλυτη διαδρομή προς τον νέο αρχικό κατάλογο.

Εάν ένας χρήστης θέλει να χρησιμοποιήσει άλλο κέλυφος εκτός από το bash (για παράδειγμα, sh), το οποίο εκχωρείται από προεπιλογή, χρησιμοποιήστε το usermod με το –shell > σημαία, ακολουθούμενη από τη διαδρομή προς το νέο κέλυφος.

ΠΑΡΑΔΕΙΓΜΑ 4: Εμφάνιση των ομάδων στις οποίες είναι μέλος ένας χρήστης

Αφού προσθέσετε τον χρήστη σε μια συμπληρωματική ομάδα, μπορείτε να επαληθεύσετε ότι τώρα ανήκει πραγματικά σε τέτοιες ομάδες:

groups [username]
id [username]

Η παρακάτω εικόνα απεικονίζει Παραδείγματα 2 έως 4:

Στο παραπάνω παράδειγμα:

usermod --append --groups gacanepa,users --home /tmp --shell /bin/sh tecmint

Για να αφαιρέσετε έναν χρήστη από μια ομάδα, παραλείψτε τον διακόπτη --append στην παραπάνω εντολή και αναφέρετε τις ομάδες στις οποίες θέλετε να ανήκει ο χρήστης ακολουθώντας τη σημαία --groups.

ΠΑΡΑΔΕΙΓΜΑ 5: Απενεργοποίηση λογαριασμού με κλείδωμα κωδικού πρόσβασης

Για να απενεργοποιήσετε έναν λογαριασμό, θα χρειαστεί να χρησιμοποιήσετε είτε την επιλογή -L (πεζό L) είτε την επιλογή –κλείδωμα για να κλειδώσετε τον κωδικό πρόσβασης ενός χρήστη. Αυτό θα αποτρέψει τον χρήστη από τη δυνατότητα σύνδεσης.

ΠΑΡΑΔΕΙΓΜΑ 6: Ξεκλείδωμα κωδικού πρόσβασης

Όταν πρέπει να ενεργοποιήσετε ξανά τον χρήστη ώστε να μπορεί να συνδεθεί ξανά στον διακομιστή, χρησιμοποιήστε την επιλογή -U ή την επιλογή –ξεκλείδωμα για να ξεκλειδώσετε τον κωδικό πρόσβασης ενός χρήστη που ήταν είχε αποκλειστεί στο παρελθόν, όπως εξηγείται στο Παράδειγμα 5 παραπάνω.

usermod --unlock tecmint

Η παρακάτω εικόνα απεικονίζει Παραδείγματα 5 και 6:

ΠΑΡΑΔΕΙΓΜΑ 7: Διαγραφή ομάδας ή λογαριασμού χρήστη

Για να διαγράψετε μια ομάδα, θα θέλετε να χρησιμοποιήσετε το groupdel, ενώ για να διαγράψετε έναν λογαριασμό χρήστη θα χρησιμοποιήσετε το userdel (προσθέστε τον διακόπτη –r εάν θέλετε επίσης να διαγράψετε τα περιεχόμενα του αρχικού καταλόγου και της ουράς αλληλογραφίας):

groupdel [group_name]        # Delete a group
userdel -r [user_name]       # Remove user_name from the system, along with his/her home directory and mail spool

Εάν υπάρχουν αρχεία που ανήκουν στο group_name, δεν θα διαγραφούν, αλλά ο κάτοχος της ομάδας θα οριστεί στο GID της ομάδας που διαγράφηκε.