部署指南 > 手動部署 >

章 12. 使用 YaST 管理使用者

目錄

12.1. 使用者及群組管理對話方塊
12.2. 管理使用者帳戶
12.3. 使用者帳戶的其他選項
12.4. 變更本地使用者的預設設定
12.5. 將使用者指定給群組
12.6. 管理群組
12.7. 變更使用者驗證方式

安裝過程中,您已選擇使用者驗證的方式。此方式可在本地使用 (透過 /etc/passwd),或者如果建立了網路連接,也可透過 NIS、LDAP、Kerberos 或 Samba 使用 (請參閱第 6.16.1.7 節「使用者驗證方式」)。您可以使用 YaST 隨時建立或修改使用者帳戶,以及變更驗證方式。

每位使用者都被指定了系統使用者 ID (UID)。除了可以登入機器的使用者以外,系統還提供了許多「系統使用者」供內部使用。系統會將每個使用者指定給一或多個群組。類似於「系統使用者」,系統還提供了「系統群組」供內部使用。

12.1. 使用者及群組管理對話方塊

若要管理使用者或群組,請啟動 YaST,然後按一下安全性與使用者+使用者和群組管理。此外,還可以從指令行執行 yast2 users & 直接啟動使用者及群組管理對話方塊。

圖形 12.1. YaST 使用者和群組管理

YaST 使用者和群組管理

視您選擇要使用對話方塊檢視和修改的一組使用者 (本地使用者、網路使用者、系統使用者) 而定,主視窗將顯示幾個索引標籤。使用它們可以執行以下任務:

管理使用者帳戶

使用者索引標籤中,建立、修改、刪除或暫時停用使用者帳戶,如第 12.2 節「管理使用者帳戶」 所述。在第 12.3 節「使用者帳戶的其他選項」 中瞭解進階選項,例如執行密碼規則、使用加密的主目錄、使用指紋驗證或管理磁碟配額。

變更預設設定

系統會根據在新使用者的預設值索引標籤上定義的設定建立本地使用者帳戶。在第 12.4 節「變更本地使用者的預設設定」 中瞭解如何變更指定的預設群組,或主目錄的預設路徑及存取許可權。

將使用者指定給群組

第 12.5 節「將使用者指定給群組」 中瞭解如何變更為個別使用者指定的群組。

管理群組

群組索引標籤中,您可以新增、修改或刪除現有的群組。有關如何執行此操作的資訊,請參閱第 12.6 節「管理群組」

變更使用者驗證方式

機器連接到提供 NIS 或 LDAP 等使用者驗證方式的網路時,您可以在驗證設定索引標籤上的多種驗證方式中進行選擇。若需更多資訊,請參考 第 12.7 節「變更使用者驗證方式」

對於使用者及群組管理,對話方塊提供了類似的功能。透過在對話方塊頂部選擇對應的索引標籤,可以輕鬆地在使用者與群組管理檢視窗之間切換。

使用過濾器選項可以定義要修改的一組使用者或群組:在使用者群組索引標籤上,按一下設定過濾器以根據特定類別檢視和編輯使用者或群組,例如本地使用者LDAP 使用者 (如果您位於使用 LDAP 的網路中)。透過設定過濾器+自定過濾器,您還可以設定和使用自定過濾器。

在該對話方塊中,並不是下列所有選項和功能都可用,具體取決於您選擇的過濾器。

12.2. 管理使用者帳戶

YaST 提供建立、修改、刪除或暫時停用使用者帳戶等功能。請勿修改使用者帳戶,除非您是有經驗的使用者或管理員。

[Note]變更現有使用者的使用者 ID

檔案擁有權與使用者 ID 而非使用者名稱繫結。變更使用者 ID 後,使用者主目錄中的檔案會自動調整以反映此變更。但變更 ID 後,使用者不再擁有他在檔案系統中的其他位置建立的檔案,除非您手動修改那些檔案的檔案擁有權。

下文說明了如何設定預設使用者帳戶。有關其他的一些選項,例如自動登入、無密碼登入、設定加密的主目錄或管理使用者與群組的配額,請參閱第 12.3 節「使用者帳戶的其他選項」

過程 12.1. 新增或修改使用者帳戶

  1. 開啟 YaST 的使用者和群組管理對話方塊並按一下使用者索引標籤。

  2. 使用設定過濾器定義要管理的一組使用者。對話方塊將顯示系統中的使用者及使用者隸屬之群組的清單。

  3. 若要修改現有使用者的選項,請選取項目,然後按一下編輯

    若要建立新的使用者帳戶,請按一下新增

  4. 在第一個索引標籤上輸入適當的使用者資料,例如使用者名稱(用於登入) 和密碼。此資料已足可建立新使用者。若現在按一下確定,系統將根據預設值自動指定使用者 ID 並設定所有其他值。

  5. 若要進一步調整詳細資料,例如使用者 ID 或使用者主目錄的路徑,可以在詳細資料索引標籤中進行。

    如果您需要重設現有使用者的主目錄,請在該處輸入新主目錄的路徑,然後使用移動到新位置移動目前主目錄的內容。否則,將會建立不含任何現有資料的新主目錄。

  6. 要強制使用者定期變更其密碼或設定其他密碼選項,請切換到密碼設定並調整選項。如需詳細資訊,請參閱 第 12.3.2 節「強制執行密碼規則」

  7. 視需要設定所有選項之後,按一下確定

  8. 按一下進階選項+立即寫入變更以儲存所有變更,而不離開使用者及群組管理對話方塊。按一下確定關閉管理對話方塊並儲存變更。現在,新增的使用者便可使用您建立的登入名稱和密碼登入系統。

[Tip]比對使用者 ID

若筆記型電腦上新的 (本地) 使用者在某個網路環境中已擁有使用者 ID,要將其整合到該網路環境中時,比對 (本地) 使用者 ID 與網路中的 ID 會非常有用。這樣可確保使用者離線所建檔案與在網路上直接建立之檔案的檔案擁有權相同。

過程 12.2. 停用或刪除使用者帳戶

  1. 開啟 YaST 的使用者和群組管理對話方塊並按一下使用者索引標籤。

  2. 若要暫時停用使用者帳戶而不將其刪除,請從清單中選取該使用者,然後按一下編輯。啟用停用使用者登入。您再次啟用該帳戶之前,使用者將一直無法登入機器。

  3. 若要刪除使用者帳戶,請從清單中選取該使用者,然後按一下刪除。選擇是否還要刪除使用者的主目錄,或者是否要保留資料。

12.3. 使用者帳戶的其他選項

除了預設使用者帳戶的設定以外,SUSE® Linux Enterprise Server 還提供了其他選項,例如用於強制執行密碼規則、使用加密的主目錄或定義使用者和群組的磁碟配額的選項。

12.3.1. 自動登入和無密碼登入

如果您使用的是 KDE 或 GNOME 桌面系統環境,則可以對特定使用者設定「自動登入」,對所有使用者設定「無密碼登入」。自動登入會讓使用者在開機時自動登入桌面環境。一次只能對一個使用者啟用此功能。使用無密碼登入可以讓使用者在登入管理員中輸入其使用者名稱後直接登入系統。

[Warning]安全性風險

在多人可以存取的機器上啟用「自動登入」或「無密碼登入」會有安全性風險。所有使用者無須驗證即可存取您的系統和資料。如果您的系統含有機密資料,則請勿使用此功能。

若要啟用自動登入或無密碼登入,可以透過 YaST使用者和群組管理中的進階選項+登入設定來存取這些功能。

12.3.2. 強制執行密碼規則

在任何擁有多個使用者的系統上,若能至少強制執行基本的密碼安全性規則,是個不錯的作法。使用者應定期變更密碼,並應使用增強式密碼,因為此種密碼無法輕易破解。對於本地使用者,請按照下列步驟進行:

過程 12.3. 設定密碼設定

  1. 開啟 YaST 的使用者和群組管理對話方塊並選取使用者索引標籤。

  2. 選取要為其變更密碼選項的使用者,然後按一下編輯

  3. 切換到密碼設定索引標籤。該索引標籤上會顯示使用者上次的密碼變更。

  4. 若要讓使用者在下次登入時變更其密碼,請啟用強制密碼變更

  5. 若要強制密碼輪用,請設定相同密碼最多可使用天數相同密碼最少可使用天數

  6. 若要提醒使用者在其密碼過期之前變更密碼,請設定密碼過期前發出警告的天數

  7. 若要限制使用者在其密碼過期後可以登入的期限,請變更密碼過期後仍可登入的天數中的值。

  8. 您還可以為整個帳戶指定特定的過期日期。以 YYYY-MM-DD 格式輸入過期日。請注意,此設定與密碼不相關,而是套用至帳戶自身。

  9. 如需關於選項和預設值的詳細資訊,請按一下說明

  10. 按一下確定套用您的變更。

12.3.3. 管理加密的主目錄

若要保護主目錄中的資料不致遭到竊取或徹底移除,您可以為使用者建立加密的主目錄。這些主目錄使用 LUKS (Linux Unified Key Setup) 加密,會為使用者產生影像以及影像金鑰。複本金鑰受到使用者登入密碼保護。使用者登入系統時,系統會掛載加密的主目錄,使其內容可供使用者使用。

[Note]指紋讀取器裝置和加密的主目錄

若您要使用指紋讀取器裝置,則不得使用加密的主目錄。否則登入將會失敗,因為登入時解密作業無法與使用中的指紋讀取器裝置配合工作。

透過 YaST,您可為新使用者或現有使用者建立加密的主目錄。若要加密現有使用者的主目錄或修改加密的主目錄,您必須知道使用者目前的登入密碼。預設會將所有現有的使用者資料複製到新的加密主目錄,但不會從未加密的目錄中將其刪除。

[Warning]安全性限制

加密使用者的主目錄並不會強化對於其他使用者的安全性。若需要高度安全性,則不應共享實體系統。

如需加密主目錄和用於增強安全性的動作的背景資訊,請參閱Section “Using Encrypted Home Directories” (Chapter 11, Encrypting Partitions and Files, ↑Security Guide)。

過程 12.4. 建立加密的主目錄

  1. 開啟 YaST 的使用者和群組管理對話方塊並按一下使用者索引標籤。

  2. 若要加密現有使用者的主目錄,請選取該使用者並按一下編輯

    否則,請按一下新增建立新的使用者帳戶,然後在第一個索引標籤上輸入適當的使用者資料。

  3. 啟用詳細資料索引標籤中的使用加密的主目錄。使用目錄大小的 MB 數指定要為此使用者建立之加密影像檔的大小。

  4. 按一下確定套用您的設定。

  5. 如果 YaST 提示輸入使用者目前的登入密碼,請輸入該密碼以繼續。

  6. 按一下進階選項+立即寫入變更儲存所有變更,而不離開管理對話方塊。按一下確定關閉管理對話方塊並儲存變更。

過程 12.5. 修改或停用加密的主目錄

當然,您也可以隨時停用對主目錄的加密或變更影像檔的大小。

  1. 使用者檢視窗中開啟 YaST 的使用者和群組管理對話方塊。

  2. 請在清單中選取使用者,然後按一下編輯

  3. 若要停用加密,請切換到詳細資料索引標籤並停用使用加密的主目錄

    如果您需要為此使用者增大或減小加密影像檔的大小,請變更目錄大小的 MB 數

  4. 按一下確定套用您的設定。

  5. 如果 YaST 提示輸入使用者目前的登入密碼,請輸入該密碼以繼續。

  6. 按一下進階選項+立即寫入變更以儲存所有變更,而不離開使用者及群組管理對話方塊。按一下確定關閉管理對話方塊並儲存變更。

12.3.4. 使用指紋驗證

如果您的系統配有指紋讀取器,那麼,您便可以使用這種生物測量驗證方法,做為透過登入和密碼進行標準驗證的補充。使用者註冊其指紋後,可以透過在指紋讀取器上滑掃指紋,或者輸入密碼,來登入系統。

可以使用 YaST 註冊指紋。如需設定和使用指紋驗證的的詳細資訊,請參閱Chapter 7, Using the Fingerprint Reader (↑Security Guide)。如需受支援裝置的清單,請參閱 http://www.freedesktop.org/wiki/Software/fprint/libfprint

12.3.5. 管理配額

為避免出現事先未通知系統容量即用盡的情況,系統管理員可以為使用者或群組設定配額。配額可以針對一或多個檔案系統定義,並限制可以使用的磁碟空間容量以及可在其中建立的 inode (索引節點) 數量。Inode 是檔案系統上的資料結構,用於儲存關於一般檔案、目錄或其他檔案系統物件的基本資訊。它們會儲存檔案系統物件的所有屬性 (例如使用者和群組擁有權、讀取、寫入或執行許可權),檔案名稱和內容除外。

SUSE Linux Enterprise Server 允許使用配額和配額。軟配額通常定義用於通知使用者已接近限制的警告層級,而硬配額則定義拒絕寫入要求的限制。此外,可以定義寬限間隔,允許使用者或群組在一定數量範圍內暫時違反其配額。

過程 12.6. 對分割區啟用配額支援

若要為特定使用者和群組設定配額,您需要先在 YaST 進階磁碟分割程式中對相應的分割區啟用配額支援。

  1. 在 YaST 中,選取系統+磁碟分割程式,然後按一下以繼續。

  2. 進階磁碟分割程式中,選取要對其啟用配額的分割區,然後按一下編輯

  3. 按一下Fstab 選項並啟用啟用配額支援。如果 quota 套件尚未安裝,則您按一下確認相應的訊息後即會將其安裝。

  4. 確認變更並離開進階磁碟分割程式

過程 12.7. 為使用者或群組設定配額

現在,您可以為特定使用者或群組定義軟配額或硬配額,並設定做為寬限間隔的期間。

  1. 在 YaST 的使用者和群組管理中,選取要為其設定配額的使用者或群組,然後按一下編輯

  2. 外掛程式索引標籤中,選取管理使用者配額項目,然後按一下啟動開啟配額組態對話方塊。

  3. 檔案系統中,選取要為其套用配額的分割區。

  4. 大小限制下面,限制磁碟空間的容量。輸入使用者或群組在此分割區上可使用的 1 KB 區塊數。指定軟限制硬限制的值。

  5. 此外,您還可以限制使用者或群組在分割區上可擁有的 inode 數。在Inode 限制下面,輸入軟限制硬限制

  6. 只有在使用者或群組已經超過指定的大小或 inode 軟限制後,您才可以定義寬限間隔。否則,與時間相關的輸入欄位將處於未啟用狀態。指定允許使用者或群組超過上述所設限制的期間。

  7. 確定 確認您的設定值。

  8. 按一下進階選項+立即寫入變更以儲存所有變更,而不離開使用者及群組管理對話方塊。按一下確定關閉管理對話方塊並儲存變更。

SUSE Linux Enterprise Server 還提供了一些指令行工具,例如 repquotawarnquota,系統管理員可以使用它們來控制磁碟的使用或向超出配額的使用者傳送電子郵件通知。管理員還可以使用 quota_nld 將關於所超過之配額的核心訊息轉遞給 D-BUS。如需詳細資訊,請參閱 repquotawarnquotaquota_nld 的 man 頁面。

12.4. 變更本地使用者的預設設定

建立新的本地使用者時,YaST 會使用幾個預設設定。舉例來說,預設設定包括使用者所屬的主要群組和次要群組,或使用者主目錄的存取許可權。您可以變更這些預設設定來符合自身需求。

  1. 開啟 YaST 的使用者和群組管理對話方塊並選取新使用者的預設值索引標籤。

  2. 若要變更新使用者應自動隸屬的主要群組,請從預設群組中選取另一個群組。

  3. 若要修改新使用者的次要群組,請在次要群組中新增或變更群組。群組名稱必須以逗號隔開。

  4. 如果您不想使用 /home/使用者名稱做為新使用者主目錄的預設路徑,請修改主目錄的路徑字首

  5. 若要變更新建立之主目錄的預設許可模式,請在主目錄的 Umask中調整 Umask 值。如需 Umask 的詳細資訊,請參閱Chapter 10, Access Control Lists in Linux (↑Security Guide) 和 Umask man 頁面。

  6. 如需關於各選項的資訊,請按一下說明

  7. 按一下確定套用您的變更。

12.5. 將使用者指定給群組

系統會根據您可從使用者及群組管理對話方塊的新使用者的預設值索引標籤中存取的預設設定,將本地使用者指定給幾個群組。下面說明了如何修改為個別使用者指定的群組。如果您需要變更新為使用者預設指定的群組,請參閱第 12.4 節「變更本地使用者的預設設定」

過程 12.8. 變更為使用者指定的群組

  1. 開啟 YaST 的使用者和群組管理對話方塊並按一下使用者索引標籤。它顯示了使用者以及使用者隸屬群組的清單。

  2. 按一下編輯並切換到詳細資料索引標籤。

  3. 若要變更使用者隸屬的主要群組,請按一下預設群組,然後從清單中選取群組。

  4. 若要為使用者指定其他次要群組,請啟用其他群組清單中對應的核取方塊。

  5. 按一下確定套用您的變更。

  6. 按一下進階選項+立即寫入變更以儲存所有變更,而不離開使用者及群組管理對話方塊。按一下確定關閉管理對話方塊並儲存變更。

12.6. 管理群組

使用 YaST 還可以輕鬆地新增、修改或刪除群組。

過程 12.9. 建立和修改群組

  1. 開啟 YaST 的使用者和群組管理對話方塊並按一下群組索引標籤。

  2. 使用設定過濾器定義要管理的一組群組。對話方塊將顯示系統中的群組清單。

  3. 若要建立新的群組,請按一下新增

  4. 若要修改現有的群組,請選取群組,然後按一下編輯

  5. 在下面的對話方塊中,輸入或變更資料。右側的清單顯示可以做為群組成員的所有可用使用者和系統使用者的綜覽。

  6. 若要將現有的使用者新增到新群組,請在可用群組成員的清單中核取對應的方塊選取使用者。若要從群組中移除使用者,請取消核取方塊。

  7. 按一下確定套用您的變更。

  8. 按一下進階選項+立即寫入變更以儲存所有變更,而不離開使用者及群組管理對話方塊。

若要刪除群組,則它不能包含任何群組成員。若要刪除群組,請從清單中選取群組,然後按一下刪除。按一下進階選項+立即寫入變更以儲存所有變更,而不離開使用者及群組管理對話方塊。按一下確定關閉管理對話方塊並儲存變更。

12.7. 變更使用者驗證方式

機器連接到網路時,您可以變更在安裝時設定的驗證方式。下列選項可供使用:

NIS

在 NIS 伺服器上集中管理網路中所有系統的使用者。如需詳細資料,請參閱Chapter 3, Using NIS (↑Security Guide)。

LDAP

在 LDAP 伺服器上集中管理網路中所有系統的使用者。如需有關 LDAP 的詳細資料,請參閱Chapter 4, LDAP—A Directory Service (↑Security Guide)。

可以使用 YaST 使用者模組管理 LDAP 使用者。所有其他 LDAP 設定 (包括 LDAP 使用者的預設設定) 都必須使用 YaST LDAP 用戶端模組進行設定,如Section “Configuring an LDAP Client with YaST” (Chapter 4, LDAP—A Directory Service, ↑Security Guide)中所述。

Kerberos

借助於 Kerberos,使用者只需註冊一次,然後便能在工作階段的其餘時間在整個網路上受到信任。

Samba

Linux 與 Windows 混合網路中常使用 SMB 驗證。如需詳細資料,請參閱第 28 章「Samba」 (↑管理指南)。

eDirectory LDAP

eDirectory 驗證用於 Novell 網路。

若要變更驗證方式,請按照下列步驟進行:

  1. 在 YaST 中開啟使用者和群組管理對話方塊。

  2. 按一下驗證設定索引標籤,顯示可用驗證方式和目前設定的綜覽。

  3. 若要變更驗證方式,請按一下設定並選取要修改的驗證方式。此動作會將您直接轉到 YaST 中的用戶端組態模組。如需設定適當用戶端的相關資訊,請參閱以下幾節:

    NIS︰.  Section “Configuring NIS Clients” (Chapter 3, Using NIS, ↑Security Guide)

    LDAP︰.  Section “Configuring an LDAP Client with YaST” (Chapter 4, LDAP—A Directory Service, ↑Security Guide)

    Samba:.  第 28.4.1 節「使用 YaST 設定 Samba 用戶端」 (第 28 章「Samba」, ↑管理指南)

  4. 接受組態後,返回使用者及群組管理綜覽。

  5. 按一下確定,關閉管理對話方塊。

SUSE Linux Enterprise Server 部署指南 11 SP4

部署指南 > 手動部署 >