Файл passwd — это список пользователей, которые известны системе. В процессе регистрации пользователя система обращается к данному файлу в поисках идентификатора пользователя, а также с целью проверки входного пароля. Каждая строка файла описывает одного пользователя и содержит семь полей, разделенных двоеточиями:

• регистрационное имя;

• зашифрованный пароль (если не используется файл скрытых паролей; см. ниже);

• идентификатор пользователя;

• идентификатор группы по умолчанию;

• поле GECOS (полное имя, номер офиса, рабочий и домашний телефоны);

• начальный каталог;

• регистрационный интерпретатор команд.

Вот примеры правильно составленных строк файла /etc/passwd:

Файл /etc/passwd часто используется несколькими системами через СУБД, такую как NIS или NIS+. Более подробную информацию на эту тему вы найдете в главе 18.

Ниже рассматривается назначение отдельных полей файла /etc/passwd.

Bo FreeBSD настоящим файлом паролей является файл /etc/master.passwd. Файл /etc/passwd оставлен в целях обратной совместимости, но он генери­руется на основании "главного" файла и никогда не редактируется напрямую. Изменения, производимые в файле /etc/master.passwd с помощью команды vipw, passwd, chfn, chsh или chpass, автоматически отражаются на файле /etc/passwd. Главный файл создается с помощью утилиты pwd_mkdb.

Файл master.passwd выступает в роли теневого файла паролей в том смысле, что он доступен для просмотра только пользователю root (в файле /etc/passwd не содержится никаких паролей). В нем имеется три дополнительных поля:

• класс регистрации;

• время изменения пароля;

• срок действия учетной записи.

Поле класса регистрации (если он задан) содержит ссылку на запись в файле /etc/login.conf. Класс регистрации определяет пользовательские квоты на использование ресурсов и другие параметры регистрации (см. следующий параграф).

Файл /etc/login во FreeBSD содержит параметры учетных записей для пользователей и групп. Его формат напоминает формат файлов termcap и printcap. Файл состоит из разделенных двоеточиями пар ключ/значение и булевых флагов.

Когда пользователь регистрируется в системе, поле класса регистрации в файле /etc/master.passwd определяет, какую запись из файла /etc/login.conf следует применить. Если класс не был задан, подразумевается класс default.

Использование теневого файла паролей в Solaris является обязательным. В Red Hat для работы с ним требуется наличие пакета shadow.

Файл /etc/shadow доступен для чтения только суперпользователю и предназначен для хранения зашифрованных паролей подальше от любопытных глаз. В нем также содержится учетная информация, которая недоступна в файле /etc/passwd. В отличие от файла master.passwd во FreeBSD, файл shadow не включает в себя файл passwd, и последний не генерируется автоматически при изменении теневого файла. Оба файла необходимо сопровождать независимо друг от друга.

Подобно файлу /etc/passwd, файл /etc/shadow содержит одну строку для каждого пользователя. Каждая строка состоит из 9 полей, разделенных двоеточиями:

• регистрационное имя;

• зашифрованный пароль;

• дата последнего изменения пароля;

• минимальное число дней между изменениями пароля;

• максимальное число дней между изменениями пароля;

• число дней, которое должно остаться до истечения срока действия пароля, чтобы было выдано предупреждение;

• период отсутствия активности, после которого учетная запись будет отменена;

• срок действия учетной записи;

• флаги.

Файл /etc/group содержит имена UNIX-групп и списки членов каждой группы. Например:

Каждая строка представляет одну группу и содержит четыре поля:

• имя группы;

• зашифрованный пароль (устаревшее, редко используемое поле);

• идентификатор группы;

• список членов (разделяются запятыми).

Как и в файле /etc/passwd, поля разделяются двоеточиями. В некоторых системах длина имени группы не должна превышать 8 символов. Несмотря на наличие поля пароля (с помощью которого пользователи могут присоединиться к группе, выполнив команду newgrp), последний задается редко. В большинстве случаев в это поле вводится звездочка (*), но можно оставить его пустым.

Будьте аккуратны, чтобы случайно не вставить пробелы между именами пользователей группы. В большинстве систем любая информация после первого пробела игнорируется.

Имена групп и их идентификаторы должны быть одинаковыми на всех компьютерах, получающих совместный доступ к файлам посредством NFS. Этого трудно достичь в гетерогенной среде, поскольку разные операционные системы используют разные идентификаторы для одних и тех же групп. Мы считаем, что по умолчанию пользователь не должен регистрироваться как член системной группы. Это также касается групп, создаваемых поставщиками, в частности staff.

Чтобы избежать конфликтов, связанных с идентификаторами стандартных групп, рекомендуем выбирать идентификаторы локальных групп, начиная с номера 100 или последнего номера стандартной группы, в зависимости от того, какой из них больше.