PLD-doc/book/pl_book__administracja: pl_administracja.chp pl_administracja__grupy.sec pl_administrac...

qwiat cvs w pld-linux.org
Czw, 10 Mar 2005, 20:27:05 CET 

Author: qwiat
Date: Thu Mar 10 20:27:01 2005
New Revision: 5574

Added:
   PLD-doc/book/pl_book__administracja/pl_administracja__grupy.sec
   PLD-doc/book/pl_book__administracja/pl_administracja__grupy_uprawnienia.sec
   PLD-doc/book/pl_book__administracja/pl_administracja__konta.sec
Modified:
   PLD-doc/book/pl_book__administracja/pl_administracja.chp
Log:
- dodanie zarządzania uzytkownikami


Modified: PLD-doc/book/pl_book__administracja/pl_administracja.chp
==============================================================================
--- PLD-doc/book/pl_book__administracja/pl_administracja.chp	(original)
+++ PLD-doc/book/pl_book__administracja/pl_administracja.chp	Thu Mar 10 20:27:01 2005
@@ -5,4 +5,7 @@
 &administracja_rescue;
 &administracja_uslugi;
 &administracja_poziomy_pracy;
+&administracja_konta;
+&administracja_grupy;
+&administracja_grupy_uprawnienia;
 </chapter>

Added: PLD-doc/book/pl_book__administracja/pl_administracja__grupy.sec
==============================================================================
--- (empty file)
+++ PLD-doc/book/pl_book__administracja/pl_administracja__grupy.sec	Thu Mar 10 20:27:01 2005
@@ -0,0 +1,54 @@
+<?xml version="1.0" encoding="iso-8859-2"?>
+<section id="administracja_grupy">
+	<title>Grupy</title>
+
+	<section id="administracja_grupy_dodanie">
+		<title>Dodanie</title>
+		<para>
+			Używamy polecenia <command>groupadd {$nazwa_grupy}</command>
+			np.:
+			<screen># groupadd kadry</screen>
+		</para>
+		<para>
+			Jeśli tworzymy takie same grupy na wielu
+			maszynach, to dobrym zwyczajem jest nadawanie takiego samego
+			numeru grupy (GID) dla każdej z grup. Własny GID
+			narzucamy w trakcie tworzenia grupy
+			programem <command>groupadd</command> z użyciem
+			opcji "-g".
+		</para>
+	</section>
+
+	<section id="administracja_grupy_zapisanie">
+		<title>Zapisanie do grup</title>
+		<para>
+			Dzięki poleceniu <command>id {$nazwa_użytkownika}</command>
+			sprawdzimy do jakich grup zapisany jest użytkownik,
+			jeśli nie podamy nazwy konta to zostanie wyświetlona
+			informacja o aktualnie używanym koncie np.
+<screen>$id jkowalski
+uid=500(jkowalski) gid=1000(users) grupy=1000(users),10(wheel),19(floppy),23(audio)</screen>
+			Program zwrócił wartości: UID, GID i listę grup do których
+			zapisany jest użytkownik jkowalski (users, wheel, floppy, audio) 
+		</para>
+		<para>
+			Zapisanie do grupy następuje po wykonaniu polecenia
+			<command>groupmod -A {$konto_użytkownika} {$grupa}</command> np.
+<screen>groupmod -A jkowalski kadry</screen>
+		</para>
+		<para>
+			Aby wyrejestrować użytkownika z grupy musimy użyć
+			parametru "-R" np.
+<screen>groupmod -R jkowalski kadry</screen>
+		</para>
+	</section>
+
+
+	<section id="administracja_grupy_usuniecie">
+		<title>Usunięcie</title>
+		<para>
+			Używamy polecenia <command>groupdel {$nazwa_grupy}:</command>
+			<screen># groupdel kadry</screen>
+		</para>
+	</section>
+</section>

Added: PLD-doc/book/pl_book__administracja/pl_administracja__grupy_uprawnienia.sec
==============================================================================
--- (empty file)
+++ PLD-doc/book/pl_book__administracja/pl_administracja__grupy_uprawnienia.sec	Thu Mar 10 20:27:01 2005
@@ -0,0 +1,47 @@
+<?xml version="1.0" encoding="iso-8859-2"?>
+<section id="administracja_grupy_uprawnienia">
+	<title>Zarządzanie uprawnieniami</title>
+	<para>
+		W PLD zastosowano restrykcyjny system uprawnień, zwykły użytkownik
+		domyślnie ma minimalne możliwe uprawnienia. Aby uzyskać większe
+		uprawnienia administrator musi zapisać użytkownika do odpowiednich
+		grup,	poniżej została przedstawiona skrócona lista grup i
+		odpowiadających im "przywilejów" lub funkcji.
+	</para>
+
+	<table frame='all'>
+	<title></title>
+		<tgroup cols='3' align='center' colsep='1' rowsep='1'>
+
+			<thead>
+				<row>
+					<entry>UID</entry><entry>Nazwa</entry><entry>Właściciel/Uprawnienia</entry>
+				</row>
+			</thead>
+	
+			<tbody>
+				<row><entry>0</entry><entry>root</entry><entry>grupa administracyjna - wysokie uprawnienia w całym systemie</entry></row>
+				<row><entry>3</entry><entry>sys</entry><entry>odczyt niektórych plików systemowych np. konfiguracji i logów systemu druku CUPS</entry></row>
+				<row><entry>4</entry><entry>adm</entry><entry>możliwość korzystania z narzędzi takich jak: <command>tarcerouote</command>, <command>ping</command>, <command>arping</command>, <command>clockdiff</command></entry></row>
+				<row><entry>7</entry><entry>lp</entry><entry>dostęp do portu drukarki: równoległego, USB</entry></row>
+				<row><entry>9</entry><entry>kmem</entry><entry>odczyt z urządzeń /dev/mem, /dev/kmem</entry></row>
+				<row><entry>10</entry><entry>wheel</entry><entry>możliwość korzystania z programu <command>su</command></entry></row>
+				<row><entry>17</entry><entry>proc</entry><entry>dostęp do pseudosystemu plików /proc (np. wgląd do procesów innych użytkowników)</entry></row>
+				<row><entry>19</entry><entry>floppy</entry><entry>możliwość niskopoziomowego formatowania dyskietek i tworzenia na nich systemu plików</entry></row>
+				<row><entry>22</entry><entry>utmp</entry><entry>zapis do plików /var/run/utmpx, /var/log/wtmp, /var/log/lastlog</entry></row>
+				<row><entry>23</entry><entry>audio</entry><entry>dostęp do karty dźwiękowej</entry></row>
+				<row><entry>27</entry><entry>cdwrite</entry><entry>dostęp do narzędzi nagrywania płyt CD</entry></row>
+				<row><entry>28</entry><entry>fsctrl</entry><entry>grupa której można używać do nadawania praw dla plików na montowanych urządzeniach</entry></row>
+				<row><entry>50</entry><entry>ftp</entry><entry>grupa systemowa serwera FTP: odczyt plików konfiguracji</entry></row>
+				<row><entry>51</entry><entry>http</entry><entry>grupa systemowa serwera WWW</entry></row>
+				<row><entry>117</entry><entry>crontab</entry><entry>odczytywanie konfiguracji demona CRON</entry></row>
+				<row><entry>123</entry><entry>stats</entry><entry>grupa używana do potrzeb automatycznie generowanych statystyk (mrtg, calamaris, itd.)</entry></row>
+				<row><entry>124</entry><entry>logs</entry><entry>grupa odczytu niektórych logów</entry></row>				
+				<row><entry>138</entry><entry>fileshare</entry><entry>możliwość udostępniania zasobów NFS i SMB (zapis do /etc/exports, /etc/samba/smb.conf)</entry></row>				
+				<row><entry>1000</entry><entry>users</entry><entry>domyślna grupa główna dla zwykłych użytkowników </entry></row>								
+			</tbody>
+
+		</tgroup>
+	</table>
+
+</section>

Added: PLD-doc/book/pl_book__administracja/pl_administracja__konta.sec
==============================================================================
--- (empty file)
+++ PLD-doc/book/pl_book__administracja/pl_administracja__konta.sec	Thu Mar 10 20:27:01 2005
@@ -0,0 +1,161 @@
+<?xml version="1.0" encoding="iso-8859-2"?>
+<section id="administracja_konta">
+	<title>Konta użytkowników</title>
+	<para>
+		W PLD zastosowano klasyczny dla systemów uniksowych system kont
+		użytkowników, tak więc istnieje podział na dwa rodzaje kont:
+		konta systemowe i konta użytkowników. Jako że tymi pierwszymi nie
+		musimy się na dobrą sprawę zajmować, opisana zostanie administracja
+		kontami użytkowników.
+	</para>
+
+	<section id="administracja_konta_dodanie">
+		<title>Dodanie</title>
+		<para>
+			Konto użytkownika dodajemy poleceniem
+			<command>useradd -m {$nazwa_użytkownika}</command> np.: 
+
+			<screen># useradd -m jkowalski</screen>
+
+			Powyższe polecenie doda konto o identyfikatorze 'jkowalski' i
+			utworzy katalog domowy (parametr "-m"). Dodatkowo do stworzonego
+			katalogu skopiowana zostaje zawartość katalogu
+			<filename>/etc/skel</filename>.
+			Domyślna konfiguracja konta jest tworzona na podstawie opcji z
+			plików: <filename>/etc/default/useradd</filename> i
+			<filename>/etc/login.defs</filename>.
+			Najważniejsze opcje pierwszego z nich to:
+			<itemizedlist>
+				<listitem>
+					<para>
+						GROUP - identyfikator grupy głównej -
+						domyślnie: 1000 (users)
+					</para>
+				</listitem>
+				<listitem>
+					<para>
+						HOME  - miejsce przechowywania katalogów
+						domowych - domyślnie:
+						<filename>/home/users</filename>
+					</para>
+				</listitem>
+				<listitem>
+					<para>
+						SHELL - powłoka - domyślnie:
+						<filename>/bin/bash</filename>
+					</para>
+				</listitem>
+			</itemizedlist> 
+		</para>
+		<para>
+			Drugi określa bardziej zaawansowane opcje, najważniejsze z
+			nich to:
+			<itemizedlist>
+				<listitem>
+					<para>
+						PASS_MAX_DAYS  - liczba dni do wygaśnięcia
+						hasła -domyślnie: 99999
+					</para>
+				</listitem>
+				<listitem>
+					<para>
+						PASS_MIN_DAYS  - minimalna liczba dni do
+						między zmianami hasła -domyślnie: 0
+					</para>
+				</listitem>
+				<listitem>
+					<para>
+						PASS_WARN_AGE  - ilość dni przez które
+						będzie pokazywane ostrzeżenie o wygaśnięciu
+						hasła - domyślnie: 7
+					</para>
+				</listitem>
+			</itemizedlist>
+		</para>
+		<para>
+			Wiele opcji kont zawartych w tych plikach można łatwo
+			modyfikować, poprzez przekazanie odpowiednich parametrów
+			do programu <command>useradd</command> oraz
+			<command>passwd</command>, więcej informacji na ten
+			temat uzyskamy w podręczniku systemowym. Jeśli chcemy
+			utworzyć większa ilość kont o zmodyfikowanych parametrach
+			to wygodniejsze będzie ustawienie interesujących nas
+			wartości w podanych powyżej plikach.
+		</para>
+		<para>
+			Jeśli użytkownik ma konto na wielu maszynach dobrym
+			zwyczajem jest nadawanie takiego samego numeru użytkownika
+			(UID) dla każdego z kont. W przypadku programu
+			<command>useradd</command> należy użyć opcji "-u".
+		</para>
+		<para>
+			Na koniec administrator musi ustawić hasło dla danego
+			użytkownika.
+		</para>
+	</section>
+
+	<section id="administracja_konta_usuniecie">
+		<title>Usunięcie</title>
+		<para>
+			Aby usunąć konto użyjemy programu userdel:
+
+			<screen># userdel jkowalski</screen>
+
+			Warto wspomnieć tu o opcjach "-r" i "-f", pierwsza usuwa
+			katalog domowy, druga wymusza usunięcie również plików z
+			katalogu domowego nawet jeśli do niego nie należą.
+		</para>
+		<para>
+			Ze względów bezpieczeństwa można polecić blokowanie kont
+			użytkowników w miejsce ich usuwania, w ten sposób możemy
+			się ochronić przed sytuacją powrotu do użytku numeru
+			UID usuniętego użytkownika.
+		</para>
+	</section>
+
+	<section id="administracja_konta_edycja">
+		<title>Modyfikacja</title>
+		<para>
+			Dane użytkownika modyfikujemy poleceniem
+			<command>usermod</command>, dokładny
+			opis tego programu znajdziemy w manualu.
+		</para>
+	</section>
+
+	<section id="administracja_konta_haslo">
+		<title>Hasło</title>
+		<para>
+			Pierwsze hasło dla użytkownika jest nadawane przez
+			administratora, każdą następną jego modyfikację użytkownik
+			może wykonywać samodzielnie.
+		</para>
+		<para>
+			Ustawienie hasła przez administratora:
+			<command>passwd {$nazwa_użytkownika}</command>
+
+<screen># passwd jkowalski
+Changing password for jkowalski.
+New UNIX password:  
+Retype new UNIX password:</screen>
+
+			Zwykły użytkownik zmienia swoje hasło również
+			poleceniem <command>passwd</command>, tyle że
+			bez podawania parametru.
+		</para>
+	</section>
+	<section id="administracja_konta_zarzadzanie">
+		<title>Zarządzanie kontami</title>
+		<para>
+			Blokadę konta zakładamy poleceniem:
+			<command>passwd -l {$nazwa_użytkownika}</command> np.:
+			<screen># passwd -l jkowalski</screen>
+
+			Konto odblokujemy przy pomocy parametru "-u" np.:
+			<screen># passwd -u jkowalski</screen>
+ 
+			Możemy zmusić użytkownika do zmiany hasła tuż po
+			zalogowaniu np.:
+			<screen># passwd -e jkowalski</screen>
+		</para>
+	</section>
+</section>

Więcej informacji o liście dyskusyjnej pld-doc