Author: qwiat
Date: Thu Mar 10 20:27:01 2005
New Revision: 5574
Added:
PLD-doc/book/pl_book__administracja/pl_administracja__grupy.sec
PLD-doc/book/pl_book__administracja/pl_administracja__grupy_uprawnienia.sec
PLD-doc/book/pl_book__administracja/pl_administracja__konta.sec
Modified:
PLD-doc/book/pl_book__administracja/pl_administracja.chp
Log:
- dodanie zarządzania uzytkownikami
Modified: PLD-doc/book/pl_book__administracja/pl_administracja.chp
==============================================================================
--- PLD-doc/book/pl_book__administracja/pl_administracja.chp (original)
+++ PLD-doc/book/pl_book__administracja/pl_administracja.chp Thu Mar 10
20:27:01 2005
@@ -5,4 +5,7 @@
&administracja_rescue;
&administracja_uslugi;
&administracja_poziomy_pracy;
+&administracja_konta;
+&administracja_grupy;
+&administracja_grupy_uprawnienia;
</chapter>
Added: PLD-doc/book/pl_book__administracja/pl_administracja__grupy.sec
==============================================================================
--- (empty file)
+++ PLD-doc/book/pl_book__administracja/pl_administracja__grupy.sec Thu Mar
10 20:27:01 2005
@@ -0,0 +1,54 @@
+<?xml version="1.0" encoding="iso-8859-2"?>
+<section id="administracja_grupy">
+ <title>Grupy</title>
+
+ <section id="administracja_grupy_dodanie">
+ <title>Dodanie</title>
+ <para>
+ Używamy polecenia <command>groupadd
{$nazwa_grupy}</command>
+ np.:
+ <screen># groupadd kadry</screen>
+ </para>
+ <para>
+ Jeśli tworzymy takie same grupy na wielu
+ maszynach, to dobrym zwyczajem jest nadawanie takiego
samego
+ numeru grupy (GID) dla każdej z grup. Własny GID
+ narzucamy w trakcie tworzenia grupy
+ programem <command>groupadd</command> z użyciem
+ opcji "-g".
+ </para>
+ </section>
+
+ <section id="administracja_grupy_zapisanie">
+ <title>Zapisanie do grup</title>
+ <para>
+ Dzięki poleceniu <command>id
{$nazwa_użytkownika}</command>
+ sprawdzimy do jakich grup zapisany jest użytkownik,
+ jeśli nie podamy nazwy konta to zostanie wyświetlona
+ informacja o aktualnie używanym koncie np.
+<screen>$id jkowalski
+uid=500(jkowalski) gid=1000(users)
grupy=1000(users),10(wheel),19(floppy),23(audio)</screen>
+ Program zwrócił wartości: UID, GID i listę grup do
których
+ zapisany jest użytkownik jkowalski (users, wheel,
floppy, audio)
+ </para>
+ <para>
+ Zapisanie do grupy następuje po wykonaniu polecenia
+ <command>groupmod -A {$konto_użytkownika}
{$grupa}</command> np.
+<screen>groupmod -A jkowalski kadry</screen>
+ </para>
+ <para>
+ Aby wyrejestrować użytkownika z grupy musimy użyć
+ parametru "-R" np.
+<screen>groupmod -R jkowalski kadry</screen>
+ </para>
+ </section>
+
+
+ <section id="administracja_grupy_usuniecie">
+ <title>Usunięcie</title>
+ <para>
+ Używamy polecenia <command>groupdel
{$nazwa_grupy}:</command>
+ <screen># groupdel kadry</screen>
+ </para>
+ </section>
+</section>
Added:
PLD-doc/book/pl_book__administracja/pl_administracja__grupy_uprawnienia.sec
==============================================================================
--- (empty file)
+++ PLD-doc/book/pl_book__administracja/pl_administracja__grupy_uprawnienia.sec
Thu Mar 10 20:27:01 2005
@@ -0,0 +1,47 @@
+<?xml version="1.0" encoding="iso-8859-2"?>
+<section id="administracja_grupy_uprawnienia">
+ <title>Zarządzanie uprawnieniami</title>
+ <para>
+ W PLD zastosowano restrykcyjny system uprawnień, zwykły
użytkownik
+ domyślnie ma minimalne możliwe uprawnienia. Aby uzyskać większe
+ uprawnienia administrator musi zapisać użytkownika do
odpowiednich
+ grup, poniżej została przedstawiona skrócona lista grup i
+ odpowiadających im "przywilejów" lub funkcji.
+ </para>
+
+ <table frame='all'>
+ <title></title>
+ <tgroup cols='3' align='center' colsep='1' rowsep='1'>
+
+ <thead>
+ <row>
+
<entry>UID</entry><entry>Nazwa</entry><entry>Właściciel/Uprawnienia</entry>
+ </row>
+ </thead>
+
+ <tbody>
+
<row><entry>0</entry><entry>root</entry><entry>grupa administracyjna - wysokie
uprawnienia w całym systemie</entry></row>
+
<row><entry>3</entry><entry>sys</entry><entry>odczyt niektórych plików
systemowych np. konfiguracji i logów systemu druku CUPS</entry></row>
+
<row><entry>4</entry><entry>adm</entry><entry>możliwość korzystania z narzędzi
takich jak: <command>tarcerouote</command>, <command>ping</command>,
<command>arping</command>, <command>clockdiff</command></entry></row>
+
<row><entry>7</entry><entry>lp</entry><entry>dostęp do portu drukarki:
równoległego, USB</entry></row>
+
<row><entry>9</entry><entry>kmem</entry><entry>odczyt z urządzeń /dev/mem,
/dev/kmem</entry></row>
+
<row><entry>10</entry><entry>wheel</entry><entry>możliwość korzystania z
programu <command>su</command></entry></row>
+
<row><entry>17</entry><entry>proc</entry><entry>dostęp do pseudosystemu plików
/proc (np. wgląd do procesów innych użytkowników)</entry></row>
+
<row><entry>19</entry><entry>floppy</entry><entry>możliwość niskopoziomowego
formatowania dyskietek i tworzenia na nich systemu plików</entry></row>
+
<row><entry>22</entry><entry>utmp</entry><entry>zapis do plików /var/run/utmpx,
/var/log/wtmp, /var/log/lastlog</entry></row>
+
<row><entry>23</entry><entry>audio</entry><entry>dostęp do karty
dźwiękowej</entry></row>
+
<row><entry>27</entry><entry>cdwrite</entry><entry>dostęp do narzędzi
nagrywania płyt CD</entry></row>
+
<row><entry>28</entry><entry>fsctrl</entry><entry>grupa której można używać do
nadawania praw dla plików na montowanych urządzeniach</entry></row>
+
<row><entry>50</entry><entry>ftp</entry><entry>grupa systemowa serwera FTP:
odczyt plików konfiguracji</entry></row>
+
<row><entry>51</entry><entry>http</entry><entry>grupa systemowa serwera
WWW</entry></row>
+
<row><entry>117</entry><entry>crontab</entry><entry>odczytywanie konfiguracji
demona CRON</entry></row>
+
<row><entry>123</entry><entry>stats</entry><entry>grupa używana do potrzeb
automatycznie generowanych statystyk (mrtg, calamaris, itd.)</entry></row>
+
<row><entry>124</entry><entry>logs</entry><entry>grupa odczytu niektórych
logów</entry></row>
+
<row><entry>138</entry><entry>fileshare</entry><entry>możliwość udostępniania
zasobów NFS i SMB (zapis do /etc/exports, /etc/samba/smb.conf)</entry></row>
+
<row><entry>1000</entry><entry>users</entry><entry>domyślna grupa główna dla
zwykłych użytkowników </entry></row>
+ </tbody>
+
+ </tgroup>
+ </table>
+
+</section>
Added: PLD-doc/book/pl_book__administracja/pl_administracja__konta.sec
==============================================================================
--- (empty file)
+++ PLD-doc/book/pl_book__administracja/pl_administracja__konta.sec Thu Mar
10 20:27:01 2005
@@ -0,0 +1,161 @@
+<?xml version="1.0" encoding="iso-8859-2"?>
+<section id="administracja_konta">
+ <title>Konta użytkowników</title>
+ <para>
+ W PLD zastosowano klasyczny dla systemów uniksowych system kont
+ użytkowników, tak więc istnieje podział na dwa rodzaje kont:
+ konta systemowe i konta użytkowników. Jako że tymi pierwszymi
nie
+ musimy się na dobrą sprawę zajmować, opisana zostanie
administracja
+ kontami użytkowników.
+ </para>
+
+ <section id="administracja_konta_dodanie">
+ <title>Dodanie</title>
+ <para>
+ Konto użytkownika dodajemy poleceniem
+ <command>useradd -m {$nazwa_użytkownika}</command> np.:
+
+ <screen># useradd -m jkowalski</screen>
+
+ Powyższe polecenie doda konto o identyfikatorze
'jkowalski' i
+ utworzy katalog domowy (parametr "-m"). Dodatkowo do
stworzonego
+ katalogu skopiowana zostaje zawartość katalogu
+ <filename>/etc/skel</filename>.
+ Domyślna konfiguracja konta jest tworzona na podstawie
opcji z
+ plików: <filename>/etc/default/useradd</filename> i
+ <filename>/etc/login.defs</filename>.
+ Najważniejsze opcje pierwszego z nich to:
+ <itemizedlist>
+ <listitem>
+ <para>
+ GROUP - identyfikator grupy
głównej -
+ domyślnie: 1000 (users)
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ HOME - miejsce przechowywania
katalogów
+ domowych - domyślnie:
+ <filename>/home/users</filename>
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ SHELL - powłoka - domyślnie:
+ <filename>/bin/bash</filename>
+ </para>
+ </listitem>
+ </itemizedlist>
+ </para>
+ <para>
+ Drugi określa bardziej zaawansowane opcje,
najważniejsze z
+ nich to:
+ <itemizedlist>
+ <listitem>
+ <para>
+ PASS_MAX_DAYS - liczba dni do
wygaśnięcia
+ hasła -domyślnie: 99999
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ PASS_MIN_DAYS - minimalna
liczba dni do
+ między zmianami hasła
-domyślnie: 0
+ </para>
+ </listitem>
+ <listitem>
+ <para>
+ PASS_WARN_AGE - ilość dni
przez które
+ będzie pokazywane ostrzeżenie o
wygaśnięciu
+ hasła - domyślnie: 7
+ </para>
+ </listitem>
+ </itemizedlist>
+ </para>
+ <para>
+ Wiele opcji kont zawartych w tych plikach można łatwo
+ modyfikować, poprzez przekazanie odpowiednich parametrów
+ do programu <command>useradd</command> oraz
+ <command>passwd</command>, więcej informacji na ten
+ temat uzyskamy w podręczniku systemowym. Jeśli chcemy
+ utworzyć większa ilość kont o zmodyfikowanych
parametrach
+ to wygodniejsze będzie ustawienie interesujących nas
+ wartości w podanych powyżej plikach.
+ </para>
+ <para>
+ Jeśli użytkownik ma konto na wielu maszynach dobrym
+ zwyczajem jest nadawanie takiego samego numeru
użytkownika
+ (UID) dla każdego z kont. W przypadku programu
+ <command>useradd</command> należy użyć opcji "-u".
+ </para>
+ <para>
+ Na koniec administrator musi ustawić hasło dla danego
+ użytkownika.
+ </para>
+ </section>
+
+ <section id="administracja_konta_usuniecie">
+ <title>Usunięcie</title>
+ <para>
+ Aby usunąć konto użyjemy programu userdel:
+
+ <screen># userdel jkowalski</screen>
+
+ Warto wspomnieć tu o opcjach "-r" i "-f", pierwsza usuwa
+ katalog domowy, druga wymusza usunięcie również plików z
+ katalogu domowego nawet jeśli do niego nie należą.
+ </para>
+ <para>
+ Ze względów bezpieczeństwa można polecić blokowanie kont
+ użytkowników w miejsce ich usuwania, w ten sposób możemy
+ się ochronić przed sytuacją powrotu do użytku numeru
+ UID usuniętego użytkownika.
+ </para>
+ </section>
+
+ <section id="administracja_konta_edycja">
+ <title>Modyfikacja</title>
+ <para>
+ Dane użytkownika modyfikujemy poleceniem
+ <command>usermod</command>, dokładny
+ opis tego programu znajdziemy w manualu.
+ </para>
+ </section>
+
+ <section id="administracja_konta_haslo">
+ <title>Hasło</title>
+ <para>
+ Pierwsze hasło dla użytkownika jest nadawane przez
+ administratora, każdą następną jego modyfikację
użytkownik
+ może wykonywać samodzielnie.
+ </para>
+ <para>
+ Ustawienie hasła przez administratora:
+ <command>passwd {$nazwa_użytkownika}</command>
+
+<screen># passwd jkowalski
+Changing password for jkowalski.
+New UNIX password:
+Retype new UNIX password:</screen>
+
+ Zwykły użytkownik zmienia swoje hasło również
+ poleceniem <command>passwd</command>, tyle że
+ bez podawania parametru.
+ </para>
+ </section>
+ <section id="administracja_konta_zarzadzanie">
+ <title>Zarządzanie kontami</title>
+ <para>
+ Blokadę konta zakładamy poleceniem:
+ <command>passwd -l {$nazwa_użytkownika}</command> np.:
+ <screen># passwd -l jkowalski</screen>
+
+ Konto odblokujemy przy pomocy parametru "-u" np.:
+ <screen># passwd -u jkowalski</screen>
+
+ Możemy zmusić użytkownika do zmiany hasła tuż po
+ zalogowaniu np.:
+ <screen># passwd -e jkowalski</screen>
+ </para>
+ </section>
+</section>
_______________________________________________
pld-cvs-commit mailing list
[email protected]
http://lists.pld-linux.org/mailman/listinfo/pld-cvs-commit
