Red Hat Enterprise Linux 3: Handbuch zur System-Administration | ||
---|---|---|
Zurück | Kapitel 35. Benutzer- und Gruppenkonfiguration | Nach vorne |
Wenn Sie lieber Befehlszeilen verwenden oder das X Window System nicht installiert haben, finden Sie in diesem Kapitel Informationen zum Konfigurierenvon Benutzern und Gruppen.
Um einen Benutzer zum System hinzuzufügen:
Mit dem Befehl useradd erstellen Sie einen gesperrten Benutzeraccount:
useradd <username> |
Entsperren Sie den Account mit dem Befehl passwd und vergeben Sie ein Passwort sowie Passwortablauf-Richtlinien:
passwd <username> |
Die Befehlszeilen-Optionen für useradd finden Sie unter Tabelle 35-1.
Option | Beschreibung |
---|---|
-c Befehl | Kommentar für den Benutzer |
-d home-dir | Home-Verzeichnis, das anstelle des Standardverzeichnisses /home/username verwendet wird |
-e Datum | Datum, wann der Account abläuft, das Format ist JJJJ-MM-TT |
-f Tage | Anzahl der Tage, nach denen das Passwort und damit der Account ungültig wird. (Wenn 0 angegeben wird, wird der Account sofort deaktiviert, wenn das Passwort ungültig wird. Wenn -1 angegeben wird, wird der Account nicht deaktiviert, auch wenn das Passwort ungültig wird.) |
-g Gruppen-Name | Gruppenname oder Gruppennummer für die Standardgruppe des Benutzers (Die Gruppe muss bereits bestehen, bevor Sie diese hier angeben können.) |
-G Gruppenliste | Liste aller weiteren Gruppennamen oder Gruppennummern zu denen der Benutzer gehört, durch Kommata getrennt aufgeführt. (Die Gruppe muss bereits bestehen, bevor Sie diese hier angeben können). |
-m | Erstellt das Home-Verzeichnis, falls dies noch nicht erstellt wurde |
-M | Kein Home-Verzeichnis erstellen |
-n | Keine User Private Group für den Benutzer erstellen |
-r | Erstellt einen Systemaccount mit einer Benutzer ID unter 500 und ohne Home-Verzeichnis |
-p Passwort | Das mit crypt verschlüsselte Passwort |
-s | Anmelde-Shell des Benutzers, weist standardmäßig auf /bin/bash |
-u uid | Benutzer-ID für den Benutzer. Muss einmalig und größer als 499 sein |
Tabelle 35-1. useradd Befehlszeilen-Optionen
Um eine Gruppe dem System hinzuzufügen, verwenden Sie den Befehl groupadd:
groupadd <group-name> |
Die Befehlszeilen-Optionen für groupadd finden Sie unter Tabelle 35-2.
Option | Beschreibung |
---|---|
-g gid | Gruppen-ID für die Gruppe. Muss einmalig und größer als 499 sein |
-r | Erstellt eine Systemgruppe mit einer ID unter 500 |
-f | Beendet mit einem Fehler, wenn die Gruppe bereits besteht. (Die Gruppe wird nicht verändert.) Wenn -g und -f angegeben werden, die Gruppe jedoch schon existiert, wird die Option -g ignoriert |
Tabelle 35-2. groupadd Befehlszeilen-Optionen
Aus Gründen der Sicherheit sollten Benutzer angewiesen werden, ihre Passwörter in regelmäßigen Abständen zu ändern. Dies kann während des Hinzufügens oder Bearbeitens eines Benutzers im Tab Passwort-Info des User Manager durchgeführt werden.
Um den Ablauf des Passworts für einen Benutzer vom Shell-Prompt aus zu konfigurieren, verwenden Sie den Befehl chage, gefolgt von einer Option aus Tabelle 35-3, gefolgt vom Benutzernamen des Benutzers.
![]() | Wichtig |
---|---|
Shadow-Passwörter müssen aktiviert werden, wenn Sie den Befehl chage verwenden möchten. |
Option | Beschreibung |
---|---|
-m Tage | Gibt die Mindestanzahl der Tage an, in denen der Benutzer sein Passwort ändern muss. Ist der Wert auf 0 gesetzt, läuft das Passwort nicht ab. |
-M Tage | Gibt die Höchstzahl der Tage an, für die das Passwort gültig ist. Wenn die Anzahl der Tage für die das Passwort gültig ist plus die Anzahl der Tage, die durch die Option -d festgelegt wurde, einen früheren Zeitpunkt als den aktuellen Tag beschreibt, muss der Benutzer das Passwort ändern, bevor er den Account verwenden kann. |
-d Tage | Gibt die Anzahl der Tage seit dem 1. Januar 1970 an, an denen das Passwort geändert wurde. |
-I Tage | Gibt die Anzahl der Tage an, bevor der Account gesperrt wird, wenn das Passwort nicht geändert wird. Wenn der Wert 0 ist, wird der Account nicht gesperrt wenn das Passwort abläuft. |
-E Datum | Gibt das Datum an, an dem der Account gesperrt wird. Das Format ist JJJJ-MM-TT. Anstelle des Datums kann auch die Anzahl von Tagen seit dem 1. Januar 1970 verwendet werden. |
-W Tage | Gibt die Anzahl der Tage vor Ablauf des Passworts an, um den Benutzer zu warnen. |
Tabelle 35-3. chage Befehlszeilen-Optionen
![]() | Tipp |
---|---|
Wenn der Befehl chage direkt von einem Benutzernamen (ohne Optionen) gefolgt wird, werden die aktuellen Werte zum Ablauf des Passworts angezeigt. Diese können geändert werden. |
Wenn ein Systemadministrator möchte, dass ein Benutzer sein Passwort beim ersten Anmelden ändert, kann das Benutzerpasswort so gesetzt werden, dass es sofort abläuft und damit den Benutzer zwingt, dieses sofort nach dem ersten Einloggen zu ändern.
Um einen Benutzer zu zwingen, das Passwort beim ersten Anmelden an der Konsole zu ändern, folgen Sie den nachfolgenden Anweisungen. Bitte beachten Sie, dass dieser Vorgang nicht funktioniert, wenn der Benutzer sich über das SSH-Protokoll anmeldet.
Sperren Sie das Benutzerpasswort — Wenn der Benutzer nicht existiert, verwenden Sie den Befehl useradd, um einen Benutzer-Account zu erstellen, weisen Sie diesem aber kein Passwort zu, so dass der Account gesperrt bleibt.
Wenn bereits ein Passwort aktiviert wurde, sperren Sie dieses mit dem Befehl:
usermod -L username |
Erzwingen sofortigen Ablaufs des Passworts — geben Sie dazu Folgendes ein:
chage -d 0 username |
Dieser Befehl setzt den Wert für wann das Passwort zuletzt geändert wurde auf Epoche (1. Januar, 1970). Dieser Wert erzwingt den sofortigen Ablauf des Passworts, jegliche Einstellungen für den Ablauf von Passwörtern werden ignoriert.
Entsperren Sie den Account — Hier gibt es zwei Möglichkeiten. Der Administrator kann ein anfängliches Passwort oder ein Null-Passwort zuweisen.
![]() | Warnung |
---|---|
Verwenden Sie nicht den Befehl passwd, um das Passwort zu erstellen, da dieser Befehl den sofortigen Ablauf des Passworts, den Sie im vorigen Schritt eingestellt haben, deaktiviert. |
Folgen Sie den Anweisungen, um ein anfängliches Passwort zu erstellen:
Starten Sie den Befehlszeilen-Python-Interpreter mit dem Befehl python. Folgendes wird angezeigt:
Python 2.2.2 (#1, Dec 10 2002, 09:57:09) [GCC 3.2.1 20021207 (Red Hat Enterprise Linux 3 3.2.1-2)] on linux2 Type "help", "copyright", "credits" or "license" for more information. >>> |
Geben Sie am Prompt das Folgende ein (ersetzen Sie Passwort mit dem zu verschlüsselnden Passwort und salt mit einer Kombination aus genau 2 Groß- oder Kleinbuchstaben, Zahlen, dem Punkt (.) oder Schrägstrich (/), wie zum Beispiel ab oder 12:
import crypt; print crypt.crypt("password","salt") |
Die Ausgabe ist das verschlüsselte Passwort, zum Beispiel 12CsGd8FRcMSM.
Drücken Sie
Kopieren Sie das verschlüsselte Passwort ohne Leerzeichen vorne und hinten, und fügen Sie dieses in den folgenden Befehl ein:
usermod -p "encrypted-password" username |
Anstelle eines anfänglichen Passworts kann ein Null-Passwort mit Hilfe des folgenden Befehls zugewiesen werden:
usermod -p "" username |
![]() | Achtung |
---|---|
Auch wenn das Verwenden eines Null-Passworts für Benutzer und Administrator sehr bequem ist, existiert ein geringes Risiko, dass ein Unbefugter sich als erstes anmeldet und damit auf das System zugreift. Um diese Gefahr zu verringern empfiehlt es sich, dass der Administrator sicher geht, dass der Benutzer zum Anmelden bereit ist bevor der Account entsperrt wird. |
In beiden Fällen wird der Benutzer bei der ersten Anmeldung aufgefordert, ein neues Passwort einzugeben.
Zurück | Zum Anfang | Nach vorne |
Ändern der Gruppeneigenschaften | Nach oben | Beschreibung des Vorgangs |