单元 5 — 用户管理 红帽RHCE中文课件.ppt

单元 5 — 用户管理 目标 学习了本单元后，你应该能够： ● 配置用户和组账户 ● 修改文件拥有者及权限 ● 使用“特殊”权限 SUID/SGID/Sticky ● 用 NIS 和 LDAP 配置网络用户 ● 设定 ACL 添加一个新用户账户 最常用的方法是 useradd ： ● useradd [options] username ● 运行 useradd相当于 ： ● 编辑 /etc/passwd、/etc/shadow、/etc/group、/etc/gshadow ● 创建并丰富主目录 ● 设定权限和拥有者 ● 用 passwd 设定账户密码 ● 用 newusers 可添加一组账户 用户专用组 ● 当创建用户帐户时，同时也会创建一个同名的专用组 ● 用户被分配到这个专用组 ● 和这个组一起为用户提供新文件 ● 优点 : 防止新文件归“公共”组所有 ● 缺点 : 可能会鼓励创建“任何人都可以访问”的文件 修改 / 删除用户帐户 ● 要更改用户的 /etc/passwd 条目中的字段，您可以 : ● 手动编辑文件 ● 用 usermod [options] username 命令 ● 删除用户 : ● 在 filename/etc/passwd ● 用 userdel [-r] username 组管理 ● 添加到 /etc/group 和 /etc/gshadow 的条目 ● groupadd ● groupmod ● groupdel 密码时效策略 ● 在默认状况下，密码不会过期 ● 强制密码失效是强大安全策略的一部分 ● 修改 /etc/login.defs 文件中默认的有效期设定 ● 要修改已存在用户的密码时效，使用 chage 命令 ● chage [options] username 更换账户 ● 语法 ● su [-] [user] ● su [-] [user] –c command ● 允许用户暂时成为其它用户 ● 默认用户是根用户 ● “-” 选项生成一个新的 shell，一个登录 shell sudo ● 在 /etc/sudoers 中列出的用户根据如下条件执行命令 : ● 有效用户 ID 0 ● 根用户组的组 ID ● 当使用 sudo 命令时，在 /etc/sudoers 文件中如果没有列出用户，那么就会联系管理员 网络用户 ● 有关用户的信息可在一台远程服务器上集中保存和管理 ● 每个用户账户都必须提供两种类型的信息 ● 账户信息 : UID 号码、默认 shell、主目录、组成员身份等等 ● 验证 : 验证登录中提供的密码是否正确的方法 验证配置 ● system-config-authentication ● 配置验证的 GUI 工具 ● 对于基于文本的工具，使用 authconfig-tui ● 装载 authconfig-gtk RPM ● 支持的账户信息服务 : ● （本地文件）、NIS、LDAP、Hesiod、Winbind ● 支持的验证机理 : ● （NSS）、kerberos、LDAP、SmartCard、SMB、Winbind 示例 : NIS 配置 ● 必须安装 ypbind 和 portmap RPM ● 运行 system-config-authentication ● 启动 NIS 来提供用户信息 ● 指定 NIS 服务器和 NIS 域名 ● 保留默认验证（通过 NSS） ● 这到底是在做什么呢 ？ ● 更改了五个文本配置文件 示例 : LDAP 配置 ● 必须安装 nss-ldap 和 openldap RPM ● 运行 system-config-authentication ● 启用 LDAP 来提供用户信息 ● 指定服务器、搜索几点 DN 和 TLS ● 启用 LDAP 来提供验证 ● 这到底是在做什么呢 ？ ● 更改了五个文本配置文件 SUID 和 SGID 可执行文件 ● 通常由用户启动的进程会在该用户的用户和组安全环境下运行 ● 为可执行文件设定 SUID 和 / 或 SGID 位可使其在该文件的拥有者和 / 或组的用户和 / 或组安全环境下运行 SGID 目录 ● 用来生成合作目录 ● 一般来说，在一个目录中创建的文件属于用户的默认组 ● 当在一个目录中创建一个带 SGID 位设定的文件时，它属于与该目录