在安装过程中,可以选择用户身份验证方法。该方法是在本地进行的(通过 /etc/passwd),或在网络连接已建立的情况下通过 NIS、LDAP、Kerberos 或 Samba 来进行(请参见第 6.15.1.7 节 “用户身份验证方法”)。随时都可使用 YaST 来创建或修改用户帐户,还可更改身份验证方法。
会为每个用户指派一个系统范围的用户 ID (UID)。 除了可以登录到您的计算机的用户之外,还存在一些仅供内部使用的系统用户。每位用户都会被指派到一个或多个组中。与系统用户类似,还存在仅供内部使用的系统组。
要管理用户或组,请启动 YaST 并单击+。或者,请通过从命令行运行 yast2 users & 来直接启动。
根据使用此对话框来选择查看和修改的用户集(本地用户,网络用户,系统用户),主窗口会显示若干选项卡。这些选项卡可用于执行以下任务:
- 管理用户帐户
从选项卡中,创建、修改、删除或临时禁用用户帐户(如第 12.2 节 “管理用户帐户”所述)。通过第 12.3 节 “用户帐户的其他选项”可以对高级选项有所了解,如:实施密码策略,使用加密的用户主目录,使用指纹身份验证或管理磁盘定额。
- 更改默认设置
本地用户帐户是根据选项卡中定义的设置来创建的。通过第 12.4 节 “更改本地用户的默认设置”可以了解到如何更改默认组指派或用户主目录的默认路径和访问权限。
- 将用户指派到组
通过第 12.5 节 “将用户指派到组”可以了解到如何为单个用户更改组指派。
- 管理组
从选项卡中,可以添加、修改或删除现有组。请参见第 12.6 节 “管理组”以获取有关如何进行此操作的信息。
- 更改用户身份验证方法
如果您的计算机已连接到提供了 NIS 或 LDAP 之类的用户身份验证方法的网络上,您可以在选项卡上的若干身份验证方法中进行选择。有关更多信息,请参考第 12.7 节 “更改用户身份验证方法”。
对于用户和组管理,此对话框提供了类似的功能。通过在此对话框顶部选择适当的选项卡可以轻松地在用户和组管理视图间切换。
过滤器选项可用于定义要修改的用户集或组集:在或选项卡上,单击,以便根据或 (如果您是使用 LDAP 的网络的一部分)之类的特定类别来查看和编辑用户或组。通过+,您也可以设置和使用自定义过滤器。
此对话框可能并未提供以下所有选项和功能,具体取决于所选的过滤器。
YaST 可用于创建、修改、删除或临时禁用用户帐户。除非您是有经验的用户或管理员,否则不要修改用户帐户。
![[Note]](admon/note.png) | 更改现有用户的用户 ID |
|---|---|
文件所有权与用户 ID,而非用户名绑定在一起。用户 ID 更改后,此用户的用户主目录中的文件会自动调整,以反映出此更改。但是,ID 更改后,此用户就不再拥有其在文件系统的其他位置创建的文件的所有权,除非手动更改这些文件的所有权。 | |
通过以下内容可以了解到如何设置默认用户帐户。有关一些进一步的选项(如:自动登录、在不使用密码的情况下登录、设置加密的用户主目录或管理用户和组的定额),请参见第 12.3 节 “用户帐户的其他选项”。
过程 12.1. 添加或修改用户帐户
打开 YaST 对话框并单击选项卡。
使用定义要管理的用户集。对话框会显示系统用户列表及用户所属的组。
要修改现有用户选项,请选择某一条目并单击。
要创建新的用户帐户,请单击。
在第个张选项卡上输入合适的用户数据,如(用于登录)和。这些数据足以创建新用户。如果此时单击,系统将自动指派用户 ID 并将根据默认值设置所有其他值。
如果想调整进一步的细节(如用户 ID 或用户的用户主目录路径),请在选项卡上进行此操作。
如果需要重新定位现有用户的用户主目录,请在该选项卡中输入新的用户主目录路径,并使用移动当前用户主目录的内容。否则,不会使用任何的现有数据来创建新的用户主目录。
要强制用户以常规方式更改密码或设置其他密码选项,请切换到并调整选项。
如果已按照需要设置了所有选项,请单击。
单击+,以在不退出对话框的情况下保存所有更改。单击以关闭管理对话框并保存更改。此时,新添加的用户可以使用您创建的登录名和密码登录系统。
![[Tip]](admon/tip.png) | 匹配用户 ID |
|---|---|
如果便携式计算机上的一个新(本地)用户还需要集成到某一网络环境中,而该用户在这个网络环境中已有用户 ID,则将该(本地)用户 ID 与网络 ID 匹配的操作对这个用户非常有用。这样可确保用户“脱机”创建的文件的所有权和其直接在网络上创建的文件的所有权相同。 | |
除了默认用户帐户的设置,SUSEŽ Linux Enterprise Server 还提供了更多选项,如:实施密码策略的选项、使用加密用户主目录的选项或为用户和组定义磁盘定额的选项。
如果使用的是 KDE 或 GNOME 桌面环境,则可为特定用户配置自动登录,也能为所有用户配置无密码登录。自动登录使用户在引导时自动登录到桌面环境。一次只能为一位用户激活此功能。无密码登录使所有用户都能在在登录管理器中输入其用户名后登录到系统中。
![[Warning]](admon/warning.png) | 安全风险 |
|---|---|
在多人可以访问的计算机上启用自动登录或无密码登录具有一定的安全性风险。无需身份验证,任何用户都能访问您的系统和数据。如果系统包含机密数据,请勿使用此功能。 | |
如果想激活自动登录或无密码登录,请在 YaST 中通过+来访问这些功能。
在有多个用户的系统上,最好至少强制实施基本的密码安全性策略。用户应该定期更改其密码并使用不能轻易识破的可靠密码。对于本地用户,请执行以下操作:
要在失窃和硬盘被卸下的情况下保护用户主目录中的数据,可为用户创建加密的用户主目录。这些用户主目录是用 LUKS(Linux 统一密钥设置)加密的,这会为用户生成映像和映像密钥。映像密钥受用户的登录密码保护。用户登录系统时,会装入加密的用户主目录,且该用户可以使用内容。
| 指纹读卡器设备和加密的用户主目录 |
|---|---|
如果想使用指纹读卡器设备,就不得使用加密的用户主目录。否则,登录会失败,因为如果指纹读卡器设备处于活动状态,那么登录时无法进行解密。 | |
使用 YaST 可以为新用户或现有用户创建加密的用户主目录。要对现有用户的用户主目录加密或修改其加密的用户主目录,需要知道该用户的当前登录密码。默认情况下,所有现有用户数据都会复制到新的加密用户主目录中,但是不会从未加密的目录中删除这些数据。
| 安全性限制 |
|---|---|
对用户主目录加密并不能对其他用户的访问进行高度安全的防御。 如果需要高度安全性,则不应物理共享系统。 | |
请在第 11.2 节 “Using Encrypted Home Directories” (第 11 章 Encrypting Partitions and Files, ↑安全指南)中查找有关加密用户主目录及为了获得更强的安全性而要执行的操作的背景信息。
如果您的系统包含指纹读卡器,那么除了通过登录及密码进行的标准身份验证以外,还可以使用生物特征身份验证。注册指纹后,用户可以通过在指纹读取器按下手指或输入密码登录系统。
可以在 YaST 中注册指纹。请在第 7 章 Using the Fingerprint Reader (↑安全指南)中查找有关指纹身份验证配置和使用的详细信息。有关支持的设备的列表,请参见 http://reactivated.net/fprint/wiki/Supported_devices。
为了防止系统容量在没有通知的情况下耗尽,系统管理员可以为用户或组设置定额。可以为一个或多个文件系统定义定额,定额可以限制可使用的磁盘空间量和可在该处创建的 inode(索引记事)数。Inode 是文件系统上储存有关普通文件、目录或其他文件系统对象的基本信息的数据结构。其会储存文件系统对象的所有属性(如:用户和组所有权、读权限、写权限或执行权限),但不会储存文件名和内容。
SUSE Linux Enterprise Server 允许使用软和硬定额。通常,软定额定义警告级别,处于该级别时会通知用户已接近限制,硬定额定义拒绝写请求的限制。另外,可以定义宽限间隔,使用户或组可以暂时超出定额一定量。
过程 12.6. 为分区启用定额支持
为了为某些用户和组配置定额,需要先在 YaST 专家分区程序中为相应的分区启用定额支持。
在 YaST 中,选择+并单击以继续。
在中,选择要启用定额的分区并单击。
单击 并激活。如果
quota包尚未安装,当您使用确认相应的消息时就会安装该包。确认您的更改,然后离开。
过程 12.7. 为用户或组设置定额
现在,您可以为特定用户或组设置软定额或硬定额,并可设置时间周期作为宽限间隔。
在 YaST 中,选择想要设置定额的用户或组并单击。
在选项卡中,选择定额条目并单击以打开对话框。
从中,选择应应用定额的分区。
在下,限制磁盘空间量。请输入用户或组在此分区上可拥有的大小为 1 KB 的块数。指定和值。
另外,也可限制用户或组在分区上可拥有的 inode 数。在 中,输入和
仅当用户或组已超出指定的大小或 inode 软限制时,才能定义宽限间隔。否则,与时间有关的输入字段不会处于激活状态。指定允许用户或组超出以上设置的限制的时间周期。
单击确认您的设置。
单击+,以在不退出对话框的情况下保存所有更改。单击以关闭管理对话框并保存更改。
SUSE Linux Enterprise Server 还随附了命令行工具(如 repquota 或 warnquota),系统管理员可以使用这些工具控制磁盘用量或向超出定额的用户发送电子邮件通知。使用 quota_nld,管理员也可向 D-BUS 转发与已超出的定额有关的内核消息。有关更多信息,请参见 repquota、warnquota 和 quota_nld 手册页(需要 root 的密码)。
创建新的本地用户时,YaST 使用几个默认设置。例如,这些设置包括用户所属的主组和次组或用户的用户主目录访问权限。您可以更改这些默认设置来满足要求:
打开 YaST 对话框并选择选项卡。
要更改新用户应自动归入的主组,请从中选择另一个组。
要修改新用户的次组,请在中添加或更改组。 组名必须用逗号隔开。
如果不想使用
/home/作为新用户的用户主目录默认路径,请修改。username要更改新建用户主目录的默认许可权限模式,请调整 中的 umask 值。有关 umask 的更多信息,请参见第 10 章 Access Control Lists in Linux (↑安全指南)和 umask 手册页。
有关各个选项的信息,请单击。
单击应用您的更改。
根据可从对话框的选项卡中访问的默认设置,会将本地用户指派到若干个组中。通过以下内容可以了解到修改单个用户的组指派的方法。如需更改新用户的默认组指派,请参见第 12.4 节 “更改本地用户的默认设置”。
使用 YaST 还能轻松地添加、修改或删除组。
过程 12.9. 创建和修改组
打开 YaST 对话框并单击选项卡。
使用定义想要管理的组集。该对话框会显示系统中存在的组的列表。
要创建新组,请单击。
要修改现有组,请选择该组并单击。
在以下对话框中,输入或更改数据。右侧列表显示了可以成为该组成员的所有可用用户和系统用户的概述。
要将现有用户添加到新组中,请通过选中对应的框来从可能的列表中选择这些用户。要从组中除去这些用户,只需取消选中框。
单击以应用您的更改。
单击+,以在不退出对话框的情况下保存所有更改。
要删除该组,其中不得包含任何组成员。要删除某个组,请从列表中选择该组并单击。 单击+,以在不退出对话框的情况下保存所有更改。单击以关闭管理对话框并保存更改。
如果您的计算机已连接到网络,则可更改安装时所设置的身份验证方法。下列选项可用:
- NIS
在 NIS 服务器上对网络中的所有系统进行集中用户管理。有关细节,请参见第 3 章 Using NIS (↑安全指南)。
- LDAP
在 LDAP 服务器上对网络中的所有系统进行集中用户管理。有关 LDAP 的细节,请参见第 4 章 LDAP—A Directory Service (↑安全指南)。
可以使用 YaST 用户模块管理 LDAP 用户。如第 4.4 节 “Configuring an LDAP Client with YaST” (第 4 章 LDAP—A Directory Service, ↑安全指南)所述,所有其他 LDAP 设置(包括 LDAP 用户的默认设置)都必须使用 YaST LDAP 客户端模块来定义。
- Kerberos
如果使用 Kerberos,用户一旦注册,在剩下的会话期间整个网络都会信任该用户。
- Samba
在 Linux 和 Windows 混用的网络中经常使用 SMB 身份验证。有关细节,请参见第 24 章 Samba (↑管理指南)。
- eDirectory LDAP
eDirectory 身份验证用于 Novell 网络。
要更改身份验证方法,请执行以下操作:
打开 YaST 中的对话框。
单击选项卡以显示可用身份验证方法和当前设置的概述。
要更改身份验证方法,请单击并选择想要修改的身份验证方法。此操作会直接带您进入 YaST 中的客户端配置模块。 有关相应客户端配置的信息,请参见以下部分:
NIS:. 第 3.2 节 “Configuring NIS Clients” (第 3 章 Using NIS, ↑安全指南)
LDAP:. 第 4.4 节 “Configuring an LDAP Client with YaST” (第 4 章 LDAP—A Directory Service, ↑安全指南)
Samba:. 第 24.4.1 节 “使用 YaST 配置 Samba 客户机” (第 24 章 Samba, ↑管理指南)
接受配置后,请返回到概述。
单击以关闭管理对话框。