35.5. Befehlszeilen-Konfiguration

Wenn Sie lieber Befehlszeilen verwenden oder das X Window System nicht installiert haben, finden Sie in diesem Kapitel Informationen zum Konfigurierenvon Benutzern und Gruppen.

35.5.1. Benutzer hinzufügen

Um einen Benutzer zum System hinzuzufügen:

  1. Mit dem Befehl useradd erstellen Sie einen gesperrten Benutzeraccount:

    useradd <username>
  2. Entsperren Sie den Account mit dem Befehl passwd und vergeben Sie ein Passwort sowie Passwortablauf-Richtlinien:

    passwd <username>

Die Befehlszeilen-Optionen für useradd finden Sie unter Tabelle 35-1.

OptionBeschreibung
-c BefehlKommentar für den Benutzer
-d home-dirHome-Verzeichnis, das anstelle des Standardverzeichnisses /home/username verwendet wird
-e DatumDatum, wann der Account abläuft, das Format ist JJJJ-MM-TT
-f TageAnzahl der Tage, nach denen das Passwort und damit der Account ungültig wird. (Wenn 0 angegeben wird, wird der Account sofort deaktiviert, wenn das Passwort ungültig wird. Wenn -1 angegeben wird, wird der Account nicht deaktiviert, auch wenn das Passwort ungültig wird.)
-g Gruppen-NameGruppenname oder Gruppennummer für die Standardgruppe des Benutzers (Die Gruppe muss bereits bestehen, bevor Sie diese hier angeben können.)
-G GruppenlisteListe aller weiteren Gruppennamen oder Gruppennummern zu denen der Benutzer gehört, durch Kommata getrennt aufgeführt. (Die Gruppe muss bereits bestehen, bevor Sie diese hier angeben können).
-mErstellt das Home-Verzeichnis, falls dies noch nicht erstellt wurde
-MKein Home-Verzeichnis erstellen
-nKeine User Private Group für den Benutzer erstellen
-rErstellt einen Systemaccount mit einer Benutzer ID unter 500 und ohne Home-Verzeichnis
-p PasswortDas mit crypt verschlüsselte Passwort
-sAnmelde-Shell des Benutzers, weist standardmäßig auf /bin/bash
-u uidBenutzer-ID für den Benutzer. Muss einmalig und größer als 499 sein

Tabelle 35-1. useradd Befehlszeilen-Optionen

35.5.2. Gruppe hinzufügen

Um eine Gruppe dem System hinzuzufügen, verwenden Sie den Befehl groupadd:

groupadd <group-name>

Die Befehlszeilen-Optionen für groupadd finden Sie unter Tabelle 35-2.

OptionBeschreibung
-g gidGruppen-ID für die Gruppe. Muss einmalig und größer als 499 sein
-rErstellt eine Systemgruppe mit einer ID unter 500
-fBeendet mit einem Fehler, wenn die Gruppe bereits besteht. (Die Gruppe wird nicht verändert.) Wenn -g und -f angegeben werden, die Gruppe jedoch schon existiert, wird die Option -g ignoriert

Tabelle 35-2. groupadd Befehlszeilen-Optionen

35.5.3. Ablauf des Passworts

Aus Gründen der Sicherheit sollten Benutzer angewiesen werden, ihre Passwörter in regelmäßigen Abständen zu ändern. Dies kann während des Hinzufügens oder Bearbeitens eines Benutzers im Tab Passwort-Info des User Manager durchgeführt werden.

Um den Ablauf des Passworts für einen Benutzer vom Shell-Prompt aus zu konfigurieren, verwenden Sie den Befehl chage, gefolgt von einer Option aus Tabelle 35-3, gefolgt vom Benutzernamen des Benutzers.

WichtigWichtig
 

Shadow-Passwörter müssen aktiviert werden, wenn Sie den Befehl chage verwenden möchten.

OptionBeschreibung
-m TageGibt die Mindestanzahl der Tage an, in denen der Benutzer sein Passwort ändern muss. Ist der Wert auf 0 gesetzt, läuft das Passwort nicht ab.
-M TageGibt die Höchstzahl der Tage an, für die das Passwort gültig ist. Wenn die Anzahl der Tage für die das Passwort gültig ist plus die Anzahl der Tage, die durch die Option -d festgelegt wurde, einen früheren Zeitpunkt als den aktuellen Tag beschreibt, muss der Benutzer das Passwort ändern, bevor er den Account verwenden kann.
-d TageGibt die Anzahl der Tage seit dem 1. Januar 1970 an, an denen das Passwort geändert wurde.
-I TageGibt die Anzahl der Tage an, bevor der Account gesperrt wird, wenn das Passwort nicht geändert wird. Wenn der Wert 0 ist, wird der Account nicht gesperrt wenn das Passwort abläuft.
-E DatumGibt das Datum an, an dem der Account gesperrt wird. Das Format ist JJJJ-MM-TT. Anstelle des Datums kann auch die Anzahl von Tagen seit dem 1. Januar 1970 verwendet werden.
-W TageGibt die Anzahl der Tage vor Ablauf des Passworts an, um den Benutzer zu warnen.

Tabelle 35-3. chage Befehlszeilen-Optionen

TippTipp
 

Wenn der Befehl chage direkt von einem Benutzernamen (ohne Optionen) gefolgt wird, werden die aktuellen Werte zum Ablauf des Passworts angezeigt. Diese können geändert werden.

Wenn ein Systemadministrator möchte, dass ein Benutzer sein Passwort beim ersten Anmelden ändert, kann das Benutzerpasswort so gesetzt werden, dass es sofort abläuft und damit den Benutzer zwingt, dieses sofort nach dem ersten Einloggen zu ändern.

Um einen Benutzer zu zwingen, das Passwort beim ersten Anmelden an der Konsole zu ändern, folgen Sie den nachfolgenden Anweisungen. Bitte beachten Sie, dass dieser Vorgang nicht funktioniert, wenn der Benutzer sich über das SSH-Protokoll anmeldet.

  1. Sperren Sie das Benutzerpasswort — Wenn der Benutzer nicht existiert, verwenden Sie den Befehl useradd, um einen Benutzer-Account zu erstellen, weisen Sie diesem aber kein Passwort zu, so dass der Account gesperrt bleibt.

    Wenn bereits ein Passwort aktiviert wurde, sperren Sie dieses mit dem Befehl:

    usermod -L username
  2. Erzwingen sofortigen Ablaufs des Passworts — geben Sie dazu Folgendes ein:

    chage -d 0 username

    Dieser Befehl setzt den Wert für wann das Passwort zuletzt geändert wurde auf Epoche (1. Januar, 1970). Dieser Wert erzwingt den sofortigen Ablauf des Passworts, jegliche Einstellungen für den Ablauf von Passwörtern werden ignoriert.

  3. Entsperren Sie den Account — Hier gibt es zwei Möglichkeiten. Der Administrator kann ein anfängliches Passwort oder ein Null-Passwort zuweisen.

    WarnungWarnung
     

    Verwenden Sie nicht den Befehl passwd, um das Passwort zu erstellen, da dieser Befehl den sofortigen Ablauf des Passworts, den Sie im vorigen Schritt eingestellt haben, deaktiviert.

    Folgen Sie den Anweisungen, um ein anfängliches Passwort zu erstellen:

    • Starten Sie den Befehlszeilen-Python-Interpreter mit dem Befehl python. Folgendes wird angezeigt:

      Python 2.2.2 (#1, Dec 10 2002, 09:57:09)
      [GCC 3.2.1 20021207 (Red Hat Enterprise Linux 3 3.2.1-2)] on linux2
      Type "help", "copyright", "credits" or "license" for more information.
      >>>
    • Geben Sie am Prompt das Folgende ein (ersetzen Sie Passwort mit dem zu verschlüsselnden Passwort und salt mit einer Kombination aus genau 2 Groß- oder Kleinbuchstaben, Zahlen, dem Punkt (.) oder Schrägstrich (/), wie zum Beispiel ab oder 12:

      import crypt; print crypt.crypt("password","salt")

      Die Ausgabe ist das verschlüsselte Passwort, zum Beispiel 12CsGd8FRcMSM.

    • Drücken Sie [Strg]-[D] um den Python-Interpreter zu beenden.

    • Kopieren Sie das verschlüsselte Passwort ohne Leerzeichen vorne und hinten, und fügen Sie dieses in den folgenden Befehl ein:

      usermod -p "encrypted-password" username

    Anstelle eines anfänglichen Passworts kann ein Null-Passwort mit Hilfe des folgenden Befehls zugewiesen werden:

    usermod -p "" username

    AchtungAchtung
     

    Auch wenn das Verwenden eines Null-Passworts für Benutzer und Administrator sehr bequem ist, existiert ein geringes Risiko, dass ein Unbefugter sich als erstes anmeldet und damit auf das System zugreift. Um diese Gefahr zu verringern empfiehlt es sich, dass der Administrator sicher geht, dass der Benutzer zum Anmelden bereit ist bevor der Account entsperrt wird.

    In beiden Fällen wird der Benutzer bei der ersten Anmeldung aufgefordert, ein neues Passwort einzugeben.