PLD-doc/queue/uzytkownicy_grupy.txt

qwiat cvs w pld-linux.org
Wto, 22 Lut 2005, 23:52:05 CET 

Author: qwiat
Date: Tue Feb 22 23:51:51 2005
New Revision: 5558

Added:
   PLD-doc/queue/uzytkownicy_grupy.txt
Log:
- nowe rozdzialy


Added: PLD-doc/queue/uzytkownicy_grupy.txt
==============================================================================
--- (empty file)
+++ PLD-doc/queue/uzytkownicy_grupy.txt	Tue Feb 22 23:51:51 2005
@@ -0,0 +1,168 @@
+Zarządzanie kontami użytkowników
+==================================
+
+1. Konta użytkowników
+----------------------
+
+ * Dodawanie konta użytkownika
+  Dodajemy konto użytkownika poleceniem useradd -m {$nazwa_użytkownika}
+  np.: 
+  # useradd -m jkowalski
+
+  To polecenie doda konto o identyfikatorze 'jkowalski' i utworzy katalog
+  domowy (-m). Dodatkowo do stworzonego katalogu skopiowana zostaje
+  zawartość katalogu /etc/skel.
+  
+  Domyślnie konto zostanie utworzone na podstawie opcji z plików:
+  /etc/default/useradd i /etc/login.defs.
+  
+  Najważniejsze opcje pierwszego z nich to: 
+   GROUP - id. grupy głównej - domyślnie: 1000 (users)
+   HOME  - miejsce przechowywania katalogów domowych - domyślnie: "/home/users"
+   SHELL - powłoka - domyślnie:  "/bin/bash"
+  
+  Drugi określa bardziej zaawansowane opcje, najważniejsze z nich to:
+   PASS_MAX_DAYS  - liczba dni do wygaśnięcia hasła -domyślnie: 99999
+   PASS_MIN_DAYS  - minimalna liczba dni do między zmianami hasła -domyślnie: 0
+   PASS_WARN_AGE  - ilość dni przez które będzie pokazywane ostrzeżenie o wygaśnięciu hasła - domyślnie: 7
+
+  Wiele opcji kont zawartych w tych plików można łatwo modyfikować poprzez
+  przekazanie  odpowiednich parametrów do programu useradd, informacje na ten
+  temat uzyskamy w manualu. Jeśli chcemy utworzyć większa ilość kont o
+  zmodyfikowanych parametrach to wygodniejsze będzie ustawienie
+  interesujących nas wartości  w /etc/default/useradd i /etc/login.defs.
+
+  Na koniec administrator musi ustawić hasło dla danego użytkownika.
+
+
+
+ * Usuwanie konta
+  Aby usunąć konto użyjemy programu userdel:
+  # userdel jkowalski
+
+  Warto wspomnieć tu o opcjach '-r' i '-f', pierwsza usuwa
+  katalog domowy, druga wymusza usunięcie również plików z katalogu domowego
+  nawet jeśli do niego nie należą.
+
+
+
+* Modyfikacja danych użytkownika
+  Dane użytkownika modyfikujemy poleceniem usermod, dokładny opis
+  tego programu znajdziemy w manualu.
+
+
+* Hasło
+  Administrator nadaj hasło użytkownikowi poleceniem passwd {$nazwa_użytkownika}
+  # passwd jkowalski
+  Changing password for w1.
+  New UNIX password)  
+  Retype new UNIX password) 
+
+  Zwykły użytkownik może zmienić swoje hasło poleceniem passwd bez parametru.
+
+
+
+* Zarządzanie kontami
+  Blokadę konta zakładamy poleceniem: passwd -l {$nazwa_użytkownika}  np.:
+  # passwd -l jkowalski
+
+  Konto odblokujemy przy pomocy parametru -u np.:
+  # passwd -u jkowalski
+ 
+  Możemy zmusić użytkownika do zmiany hasła tuż po zalogowaniu np.:
+  # passwd -e jkowalski
+
+
+    
+
+* Uwagi końcowe
+  - Jeśli użytkownik ma konto na wielu maszynach dobrym zwyczajem jest
+  nadawanie takiego samego numeru użytkownika (UID) dla każdego z kont.
+  W przypadku programu useradd należy użyć opcji "-u"
+
+
+
+  
+
+
+
+2. Grupy
+------------
+
+*Dodanie grupy
+  Używamy polecenia groupadd {$nazwa_grupy} np.:
+  # groupadd kadry
+
+
+
+*Usuwanie grupy
+  Używamy polecenia groupdel {$nazwa_grupy}:
+  # groupdel kadry
+
+
+
+*Uwagi końcowe
+
+  - Jeśli tworzymy grupy użytkowników na wielu maszynach, dobrym
+  zwyczajem jest nadawanie takiego samego numeru grupy (GID) dla każdej z grup.
+  W przypadku programu groupadd należy użyć opcji "-g"
+
+
+
+
+
+
+
+
+
+3. Zarządzanie uprawnieniami
+----------------------------
+W PLD zastosowano restrykcyjny system uprawnień, zwykły użytkownik domyślnie
+ma minimalne możliwe uprawnienia. Aby uzyskać większe uprawnienia administrator
+musi zapisać użytkownika do odpowiednich grup, poniżej została przedstawiona
+lista grup i odpowiadających im "przywilejów":
+
+Najczęściej spotykane grupy:
+root	(0)	- uzyskanie wysokich uprawnień w dużej części systemu
+bin	(1)
+daemon	(2)
+sys	(3)	- odczyt niektórych plików systemowych np. konfiguracji i logów systemu druku CUPS
+adm	(4)	- możliwość korzystania z narzędzi takich jak: tarcerouote, ping, arping, clockdiff
+tty	(5)	
+disk	(6)	- dostęp do zarządzania dyskami i partycjami (?)
+lp	(7)	- dostęp do portu drukarki: równoległego, USB
+mem	(8) 
+kmem	(9)	- odczyt z urządzeń /dev/mem, /dev/kmem, /dev/port (?)
+wheel	(10)	- umożliwienie korzystania z "sudo"
+icmp	(11) 
+mail	(12)
+news	(13)
+uucp	(14)
+man	(15)
+ttyS	(16) 
+proc	(17)	- dostęp do pseudosystemu plików /proc (np. wgląd do procesów innych użytkowników)
+floppy	(19)	- możliwość niskopoziomowego formatowania dyskietek i tworzenia na nich systemu plików
+games	(20) 
+slocate	(21) 
+utmp	(22)    - zapis do plików /var/run/utmpx, /var/log/wtmp, /var/log/lastlog
+audio	(23)	- dostęp do karty dźwiękowej
+video	(24)
+cdwrite	(27)    - dostęp do narzędzi nagrywania płyt CD
+fsctrl	(28)	- grupa której można używać do nadawania praw montowanych systemów plików
+console	(31) 
+dip	(40) 
+ftp	(50)	- grupa systemowa serwera FTP: odczyt plików konfiguracji
+http	(51)	- grupa systemowa serwera WWW 
+xdm	(55)    - grupa systemowa demona logowania
+nobody	(99)    - uniwersalna grupa
+crontab (117)	- odczytywanie konfiguracji demona CRON
+stats	(123)   - grupa używana do potrzeb automatycznie generowanych statystyk (mrtg, calamaris, itd.)
+logs	(124)	- grupa odczytu niektórych logów
+fileshare(138)  - możliwość udostępniania systemów plików w sieci (zapis do /etc/exports, /etc/samba/smb.conf)
+users	(1000)	- popularna grupa główna dla zwykłych użytkowników 
+tpexec	(65500) 
+nosock	(65501) 
+nocsock	(65502) 
+nossock	(65503) 
+nofork	(65504) 
+nogroup (65534)

Więcej informacji o liście dyskusyjnej pld-doc