Подключение пользователей
Категория: Подключение новых пользователей | Автор: admin | 12-10-2009, 01:38 | Просмотров: 4408

Прежде чем создавать учетную запись для нового пользователя, крайне важно потребовать от него подписать соглашение о правилах работы пользователей. (Как?! У вас нет такого соглашения? Немедленно прочтите параграф 27.1, чтобы узнать, для чего нужно подобное соглашение и как его составлять.)

У пользователей нет особых причин подписывать соглашение, поэтому в ваших интересах убедить их сделать это. После того как учетная запись создана, добиться подписи может оказаться проблематично. Так что лучше получить ее заранее.

Процесс подключения нового пользователя состоит из целого ряда этапов. Три из них определяются системными требованиями, два связаны с формированием пользовательской среды, а еще несколько могут понадобиться для целей системного администрирования.

Обязательные этапы:

  • отредактировать файлы passwd и shadow с целью создания учетной записи пользователя;

  • установить исходный пароль;

  • создать начальный каталог для нового пользователя.

Пользовательские этапы:

• скопировать в начальный каталог пользователя стандартные конфигурационные сценарии;

  • установить каталог электронной почты и создать почтовые псевдонимы.

Административные этапы:

  • добавить запись нового пользователя в файл /etc/group;

  • установить дисковые квоты;

  • проверить правильность создания учетной записи.

Каждый поставщик ОС предоставляет свои средства для автоматизации этого процесса, но ниже мы подробно опишем все действия так, как если бы их пришлось выполнять вручную. Все эти операции необходимо выполнять с правами суперпользователя, зарегистрировавшись в системе под именем root или воспользовавшись программой sudo.

 

Редактирование файлов passwd и shadow

 

Чтобы безопасно редактировать файл passwd, выполните команду vipw, которая запустит текстовый редактор с копией файла. По умолчанию выбран редактор vi, но эту установку можно изменить, задав новое значение переменной среды EDITOR. Существование временной копии файла служит своего рода блокировкой: команда vipw позволяет только одному пользователю редактировать файл passwd. Когда пользователь выходит из редактора, команда vipw заменяет исходный файл passwd отредактированной копией.

В Solaris команда vipw спрашивает, хотите ли вы отредактировать файл shadow после окончания работы с файлом passwd. Необходимо ответить "да".

Во FreeBSD команда vipw редактирует файл master.passwd, а не /etc/passwd. После внесения изменений она вызывает утилиту pwd_mkdb, которая создает файл passwd и две версии файла master.passwd (одна содержит зашифрованные пароли и доступна только пользователю root, а другая не содержит паролей и доступна для всеобщего обозрения).

Например, для создания учетной записи tyler необходимо добавить в файл /etc/passwd следующую строку:

tyler:*:103:100:Tyler Stevens, ЕСЕЕ 3-27, х7919,:/home/staff/tyler: /bin/csh

 

Обратите внимание на отсутствие зашифрованного пароля. Если бы в системе использовался файл shadow, мы бы записали в соответствующее поле символ 'х' и добавили в файл /etc/shadow такую строку:

tyler:*::::::18627:

 

В этой строке говорится о том, что у пользователя tyler нет зашифрованного пароля, а учетная запись действительна до 31-го декабря 2001 г.

 

Задание исходного пароля

 

Суперпользователь может изменить пароль любого пользователя с помо­щью следующей команды:

 

# passwd пользователь
 

 

Команда passwd запросит новый пароль и потребует повторить его. Если введен короткий пароль, состоящий только из строчных букв, команда passwd попросит задать что-нибудь подлиннее. Система FreeBSD может принять такой пароль, если он введен три раза подряд, но в большинстве других систем требуется придумать пароль, состоящий из смеси строчных и прописных букв и имеющий длину около 8 символов. Если первая попытка не понравится команде passwd, она, возможно, сообщит о том, какие правила действуют в конкретной реализации UNIX.

 

Иногда пользователям требуется помощь при выборе пароля. Мы рекомендуем заменить системный вариант команды passwd обновленной версией, которая проверяет вводимые пароли на вероятность взлома. Таких версий существует несколько. Мы предпочитаем утилиту npasswd, доступную по следующему адресу:

http://www.utexas.edu/cc/unix/software/npasswd

 

Программа passwd, имеющаяся в Red Hat, проверяет, не входит ли пароль в системный словарь. Это не столь надежная проверка, как та, которую выполняет программа npasswd, но все же она полезна.

Никогда не оставляйте без пароля новую учетную запись или запись с доступом к интерпретатору команд.

 

Создание начального каталога

 

Каждый вновь создаваемый каталог изначально принадлежит пользователю root, поэтому необходимо изменить его владельца и группу с помощью команд chown и chgrp Следующая группа команд создаст начальный каталог для пользователя tyler:

  • mkdir /home/staff/tyler

  • chown tyler /home/staff/tyler

  • chgrp staff /home/staff/tyler

  • chmod 700 /home/staff/tyler

 

Копирование конфигурационных файлов

 

Работу некоторых команд и утилит можно настроить, поместив файлы конфигурации в свой начальный каталог. Имена таких файлов традиционно начинаются с точки, поэтому команда ls не включает их в листинги каталогов, если только не указана опция . Некоторые наиболее часто встречающиеся файлы перечислены в табл. 6.1.

Если у вас еще нет набора универсальных файлов конфигурации, создайте их в каталоге /usr/local/lib/skel с помощью текстового редактора. Лучше всего воспользоваться заготовками, оставленными разработчиками системы в каталоге /etc/skel (/usr/share/skel во FreeBSD), если он есть.

 

Таблица 6.1. Типичные файлы конфигурации

Утилита

Имя файла

Типичное применение

csh/tcsh

.login

 

 

.cshrc

 

 

 

.logout

Установка типа терминала

Установка переменных среды

Установка опций biff и mesg

Установка псевдонимов команд

Установка переменной среды PATH

Установка значения umask

Установка строки приглашения, формирование списка предыстории Вывод напоминаний

Очистка экрана

sh

.profile

Аналог файлов .login и .cshrc для Bourne shell

vi

.exrc

Установка опций редактора vi

emacs

.emacs_pro

Установка опций редактора emacs

Функциональная привязка клавиш редактора emacs

mailx

.mailrc

Задание персональных почтовых псевдонимов Установка параметров почтового клиента

tin

.newsrc

Задание списка телеконференций

xrdb

.Xdefaults

Задание параметров конфигурации XII: шрифты, цвета и т.д.

startx

.xinitrc

Задание начальной среды XII

 

Убедитесь, что файлы конфигурации содержат стандартные значения, приемлемые для неподготовленных пользователей. Не пытайтесь, однако, "защитить" пользователей от операционной системы. Такие псевдонимы, как

 

alias dir ls -l

alias rm rm –i

alias cp cp -i

 

 

считаются дурным тоном.

В каталоге /etc могут содержаться системные конфигурационные файлы, обрабатываемые раньше пользовательских. Например, во всех наших тестовых системах интерпретатор Bourne shell читал файл /etc/profile, прежде чем начинать обрабатывать файл ~/.profile.

Последовательность команд инсталляции конфигурационных файлов для нового пользователя tyler будет выглядеть следующим образом:

  • cp /usr/local/lib/skel/.[a-zA-Z]* ~/tyler

  • chmod 644 -/tyler/.[a-zA-Z]*

  • chown tyler -/tyler/.[a-zA-Z] *

  • chgrp staff -/tyler/.[a-zA-Z]*

 

Отметим, что нельзя использовать команду

# chown tyler -/tyler/.*

 

иначе пользователь tyler станет владельцем не только своих собственных файлов, но также родительского каталога “..”(/home/staff). Это очень распространенная и опасная ошибка системного администратора.

 

Назначение каталога для электронной почты

 

Пользователи предпочитают получать электронную почту на какой-то одной машине. Это часто реализуется путем добавления записи в файл глобальных псевдонимов /etc/mail/aliases или в пользовательскую базу данных системы sendmail. Информация об электронной почте приводится в главе 19, а способы организации почтовых каталогов рассматриваются начиная с параграфа 19.3.

 

Редактирование файла /etc/group

 

Продолжая добавление нового пользователя tyler, необходимо добавить его регистрационное имя в список пользователей группы с номером 100, поскольку именно эту группу мы назначили ему по умолчанию в файле /etc/passwd. Строго говоря, пользователь tyler будет в группе номер 100 независимо от того, указан он в файле /etc/group или нет, потому что это членство уже предоставлено ему благодаря записи файла passwd. Тем не менее, указанную информацию желательно ввести в файл /etc/group, чтобы можно было всегда узнать, какие пользователи к каким группам относятся.

Предположим, что нам нужно также включить пользователя tyler в группу wheel. В некоторых системах только члены этой группы могут выполнять команду su. В этом случае следует внести такие изменения в файл /etc/group:

 

wheel:*:0:root,evi,garth,scott,trent, tyler

csstaff::100:11 oyd,evi,tyler

 

 

Установка дисковых квот

 

Если в системе заданы дисковые квоты, их необходимо устанавливать для каждой новой учетной записи с помощью команды edquota. Эту команду можно использовать для интерактивного задания квот, но чаще всего удобнее назначать новому пользователю такие же квоты, как и у существующих пользователей, например:

# edquota -р пользователь_прототип новый_псльзователь

 

Такой метод использования команды edquota особенно полезен в сценариях add user.

Поскольку в наши дни жесткие диски относительно дешевы, мы не являемся сторонниками дисковых квот. Они создают больше проблем, чем решают, и вызывают дополнительную головную боль у администраторов. Много лет назад, когда мы использовали дисковые квоты, нам пришлось создать несколько учетных записей только для того, чтобы они служили прототипами пользовательских квот.

 

Проверка нового регистрационного имени

 

Чтобы проверить, правильно ли сформирована новая учетная запись, сначала выйдите из системы, а затем зарегистрируйтесь как новый пользователь и выполните следующие команды:

 

% pwd /* проверка начального каталога */

% ls -la /* проверка файлов конфигурации пользователя/группы */

 

 

Администратор должен сообщить новым пользователям об их регистрационных именах и исходных паролях. Это также удобный момент для того, чтобы рассказать новичкам о том, какие традиции существуют в данной организации и какие есть дополнительные документы, регламентирующие работу пользователей.

Если в организации установлен порядок, согласно которому пользователи должны подписать письменный контракт, то не забудьте выполнить эту процедуру до создания учетной записи. Это предотвратит возможные недоразумения и укрепит правовую базу санкций, которые впоследствии администратору, возможно, придется применять.

 

Кроме того, не забудьте напомнить новым пользователям о необходимости немедленной замены паролей.



 (голосов: 1)
Версия для печати | Комментариев: 0
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.


 
Логин
Пароль
 

 
Locations of visitors to this page