Страница:
специальные символами также как и системе UNIX.
- 9-19 -
Изменение времени
Когда происходит доступ к файлам DOS из раздела UNIX,уста-
новка времени создания, изменения и доступа всегда одинаковая и
при этом используется GMT, т.е. среднее время по гринвичскому
меридиану. (Система использует GMT врутренне и преобразует его
для конкретного пользователя). Это значит, что файлы, созданные
в файловой системе DOS под управлением DOS или UNIX, не будут
иметь совместимое время в этих операционных системах.
Утилиты создания резервных копий UNIX
Утилиты backup(ADM) или xbackup(ADM) не могут быть исполь-
зованы для создания резервной копии для организованной файловой
системы DOS. Утилиты DOS и другие программы копирования подобные
tar(C) будут работать соответствующим образом.
Для получения подробной информации, включая технические ас-
пекты использования DOS, обратитесь к руководству по dos(C)
справочника пользователя.
- 9-20 -
________________________________________________________________
Операционные системы UNIX и DOS на нестандартных дисках
Операционная система UNIX обеспечивает поддержку "нестан-
дартных" жестких дисков. Термин "нестандартный" относится к та-
ким дискам, для которых не существует стандартных значений пара-
метров в ROM Вашего компьютера.
Правильные параметры, которые Вы указываете для
нестандартного диска(ов), запоминаются в главном загрузочном
блоке, который является первым сектором Вашего загрузочного
жесткого диска. Вы можете указать характеристики этого жесткого
диска в процессе установки, и эти характеристики затем будут
считываться оставшейся частью главного загрузочного блока. Спе-
циальный главный загрузочный блок, который устанавливается при
установке UNIX, переустанавливает параметры диска на указанные
значения вне зависимости от того, какая операционная система яв-
ляется "активной". Этот механизм обеспечивает поддержку нестан-
дартных дисков как для UNIX,так и для DOS операционных систем.
Хотя специальный главный загрузочный блок поддерживает нес-
тандартные диски под DOS, Вы не можете использовать Вашу систему
UNIX, для того чтобы установить DOS на Ваш жесткий диск. Если
используется нестандартный диск, предполагается, что Вы уже име-
ете способ передачи Ваших файлов DOS на этот жесткий диск.
Пока Вы не изменили активный раздел, Вы должны использо-
вать fdisk только системы UNIX для управления таблицей разделов
Вашего жесткого диска. Использование fdisk DOS или пользователь-
ских команд fdisk, поставляемых производителем жесткого диска,
может сделать неиспользуемыми характеристики нестандартного
жесткого диска, что может привести к тому, что Ваш диск нельзя
будет использовать.
Глава 10
Ведение учета пользователей
________________________________________________________________
Введение 10-1
Управление учетом 10-3
Добавление пользователя 10-3
Изменение/Назначение прав пользователя 10-8
Удаление учетной информации пользователя 10-9
Блокировка учетной информации пользователя 10-9
Изменение группы пользователей 10-10
Изменение пароля пользователя или
параметров пароля 10-11a
Определение/изменение параметров контроля
пользователя 10-13
Добавление/изменение групп 10-14
Конфигурация учета по умолчанию 10-15
Выбор сниженной защиты по умолчанию 10-16
Динамическое изменение параметров защиты 10-17
Изменение ограничений входа в систему,
принятого по умолчанию 10-17
Изменение ограничений по паролю,
принятого по умолчанию 10-19
Изменение прав, принимаемых по умолчанию 10-21
Авторизованные администраторы и привилегированный
пользователь 10-24
Права для работы с ядром 10-24
Управление входом в систему с терминала 10-26
Просмотр входа терминала 10-26
Переопределение ограничений входа в систему 10-27
Блокировка/разблокировка терминала 10-28
Установка базы данных эквивалентных устройств 10-28
Генерация отчетов 10-29
Отчет по статусу пароля 10-29
Отчет по работе терминала 10-31
Отчет по входам в систему 10-32
- 10-1 -
________________________________________________________________
Введение
Учет пользователей помогает администратору системы сохра-
нять треки пользователей системы и управлять правами доступа
пользователей к ресурсам системы. Учетная информация состоит из
уникального имени для входа в систему и пароля для каждого поль-
зователя, с которыми он входит в систему, а также из имени собс-
твенного каталога, где пользователь может работать. Кроме то-
го, система имеет определенные значения, принимаемые по
умолчанию, которые определяют как долго имеет силу пользователь-
ский пароль, может ли пользователь выбирать свой собственный па-
роль, как много попыток неправильного ввода имени для входа в
систему разрешено до блокировки ввода.
На администратора возлагается деятельность по созданию
учетной информации для всех пользователей системы и по поддержке
этой учетной информации - изменение пароля пользователей, групп
для входа, и пользовательских идентификаторов, когда это необхо-
димо.
Вы можете также определить число администраторов системы, в
случае нескольких администраторов, каждый из них будет отвечать
за определенные операции системы, в случае одного - он определя-
ется как основной пользователь и на него возлагаются все аспекты
работы администратора (основной пользователь наделен всеми пра-
вами привелигированного пользователя, принимаемыми по умолча-
нию).
В этой главе описываются следующие функции:
Управление учетом Добавление, изменение и удаление учетной
ресурсов информации пользователей плюс создание
групп пользователей
Конфигурация учета Конфигурация параметров входа в сис-
ресурсов по умол- тему и паролей, принимаемых по
чанию умолчанию
Управление входами Управление входом в систему с терми-
в систему с терми- нала с помощью базовых компонент тер-
налов минала
Генерация отчетов Генерация отчетов по входу в систему
пользователей, по использованию тер-
миналов пользователями, и статусу па-
ролей пользователей
Важно проверить ограничения по учету, принимаемые по умол-
чанию, сразу же после создания учетной информации пользователя.
Эти ограничения обобщены в "Конфигурации учета по умолчанию". Вы
должны определить, удовлетворяют ли эти значения требованиям Ва-
шей системы или нет.
- 10-2 -
________________________________________________________________
Примечание
Ни при каких условиях Вы не должны редактировать
/etc/passwd текстовым редактором. Это приведет к тому, что отоб-
разится сообщение об ошибке и система больше не будет принимать
далее запросов на вход в нее. Используйте выбор учетной информа-
ции sysadmsh для изменения или добавления учетной информации
пользователя. База данных /etc/passwd помещена в дополнительную
защищенную паролем базу данных, которая содержит скрытую версию
пароля и другие параметры защиты для каждого пользователя.
________________________________________________________________
- 10-3 -
________________________________________________________________
Управление учетом использования ресурсов
Этот раздел описывает процесс создания учетной информации
пользователя и управления ей.
Добавление пользователя
Вы можете добавить пользователя в список пользователей,
имеющих право входа в систему, с помощью программы sysadmsh. Эта
программа создает новый элемент в базе данных учетной информа-
ции. После этого база данных будет содержать информацию о новом
пользователе (имя для входа в систему и начальный пароль), кото-
рую система используют для предоставления пользователю права
войти в систему и начать работу. Sysadmsh также создает свой
собственный каталог для каждого пользователя, почтовый нако-
питель для команды mail и некоторый файл инициализации (напри-
мер, .profile для среды Bourne, или .login для среды С), содер-
жащий команды UNIX, которые выполняются, когда пользователь
входит в систему.
Чтобы создать учетную информацию пользователя введите
sysadmsh и сделайте следующий выбор:
Учетная информация-> Пользователь-> Создание
Отобразится следующий экран:
+--------------------------------------------------------------+
| Create |
| (создание) |
| Name of new user (once set, this can not be changed) |
| (имя нового пользователя (задается один раз, не может быть |
| изменено)) |
| |
| /tcb/files/auth 03/23/89 10:57 |
| |
| +----------------Make a new user account--------------------+|
| | (создание новой учетной информации пользователя) ||
| | ||
| |Username : [ ] ||
| |(Имя пользователя) ||
| | ||
| |Comment : [ ]||
| |(Комментарии) ||
| | ||
| |Modify defaults ? Yes [No] ||
| |(Изменять значения, принимаемые по умолчанию ? Да [Нет]) ||
| +-----------------------------------------------------------+|
+--------------------------------------------------------------+
- 10-4 -
Осуществите следующую последовательность действий, чтобы
добавить пользователя:
1. Заполните поля имени пользователя и комментариев, если
потребуется.
2. Если Вы хотите изменить значения, принимаемые по умолча-
нию, выберите "Да" и определите поля как показано в "Из-
менении значений, принимаемых по умолчанию, для пользо-
вателя". Заполните необходимые поля; нажмите клавишу
<F3> для выбора значений из списка элементов меню. Когда
Вы нажмете клавишу <Enter>, поле заполнится значением,
которое Вы выбрали.
3. Когда Вы покинете эту форму, этот экран исчезнет, будет
запрошено подтверждение Вашего добавления. Когда Вы
подтвердите добавление, на экране появится ряд сообщений
по созданию нового пользователя, например:
+-------------------------------------------------------------
| Созданный собственный каталог: <имя каталога>
| Созданный файл среды: <имя файла>
| Почтовый адрес для передачи почты пользователю: <имя>
Эти сообщения показывают, что все необходимые файлы и
каталоги созданы. ( Информация по умолчанию берется из
файла /usr/lib/mkuser).
4. Последнее действие - создание начального пароля.
пароль. Если пароль не назначен, то никто не может войти
с созданной учетной информацией. Выберите "Да" и следуй-
те действиям процедуры назначения пароля:
+-------------------------------------------------------------
| Last succesful password change for user: date
| (последнее успешное изменение пароля для пользователя: дата)
| Last unsuccesful password change for auth: NEVER
| (последнее неуспешное изменение пароля для пользователя:нет)
|
| Choose password
| (выберите пароль)
| You can choose whether you pick your own passord,
| or have the system create one for you.
| (Вы можете выбрать,или Вы выбираете свой собственный пароль,
| или система сама создает его для Вас)
| 1. Pick your own password(Выбираете сами свой пароль)
| 2. Pronounceable password will be generated for you
| (Будет сгенерирован удобный пароль для Вас)
| Enter choice (default is 1):
| (Сделайте выбор(по умолчанию 1):)
- 10-4a -
5. Если Вы выберите 1 , Вы будете опрошены на ввод пароля
дважды:
+-------------------------------------------------------------
| Password:
| (пароль)
|
| Re-enter password:
| (Введите пароль еще один раз)
Заметим, что пароль не отображается на экране, когда Вы
его набираете.
- 10-5 -
6. Если Вы выбираете "g", на экране появляется следующая
информация:
+---------------------------------------------------------------
| Генерация случайного удобного пароля для пользователя.
| Этот пароль вместе со своей дополнительной версией, напи-
| санной через дефис, отображены на экране.
| Нажимайте <Return> или <Enter> пока Вас не удовлетворит
| сгенерированный пароль.
| Когда Вы выберите пароль, который Вы хотите, наберите его.
| Примечание: Нажмите символ прерывания или 'quit' для прек-
| ращения выбора.
|
|Пароль: xxxxxxxx Разбивка по слогам: xx-xx-xx Введите пароль:
|
Сгенерированный пароль отображается со своей версией, напи-
санной по слогам через дефис. Написанная через дефис версия
пароля генерируется, чтобы помочь пользователю запомнить его.
7. Присвойте новый пароль пользователю, советуя ему изме-
нить этот пароль сразу после входа в систему.
Новая учетная информация будет применима и будет поддержи-
ваться в соответствии с параметрами защиты, принятыми по умолча-
нию, если Вы не установите их специфические значения их для
конкретного пользователя.
Изменение значений параметров пользователя, принимаемых по
умолчанию
Для большинства пользователей надо просто выбрать Identity
и определить значения, эти значения показаны ниже. Другие значе-
ния (ревизионный параметр, имя для входа в систему, пароль, пра-
ва) являются объектами системного подчинения и принимаются по
умолчанию системой. Вы не должны выбирать эти значения без необ-
ходимости определить специфические возможности пользователя или
ограничения.
Значения, принимаемые по умолчанию сведены в следующую фор-
му:
- 10-6 -
+--------------------------------------------------------------+
| Create |
| (создание)|
| Use the system default login group |
| (Использование системной принятой по умолчанию группы |
| входов в систему) |
| 7 dec 88 17:51 /usr/auth |
|+-----------------Make a new user account--------------------+|
|| (создание новой учетной информации пользователя) ||
|| ||
||+------------- New user account parameters ----------------+||
||| (новые параметры учетной информации пользователя) |||
||| |||
||| Login group: Specify [Default] of value, |||
||| (группа входа <F3> for list: |||
||| в систему) (Укажите значение, значение по умолчанию, |||
||| или <F3> для получения спиcка:) |||
||| Groups: [... ] |||
||| (группы) |||
||| Login shell: Specify [Default] of sh value, |||
||| (среда для <F3> for list: |||
||| входа) (Укажите значения среды, по умолчанию sh,||
||| <F3> для получения списка:) |||
||| Home directory: Specify [Default] of /usr/sample value, |||
||| (собственный <F3> for list: |||
||| каталог) (Укажите имя, по умолчанию /usr/sample, |||
||| <F3> для получения списка:) |||
||| User ID number: Specify [Default] of 200 value: |||
||| (номер идентифи- (Укажите значение, по умолчанию 200) |||
||| катора пользова- |||
||| теля) |||
||| CPU priority: Specify [Default] of 0 value: |||
||| (приоритет при (Укажите значение, по умолчанию 0) |||
||| работе с про- |||
||| цессором) |||
||| Type of user: Specify [Default] of individual value, |||
||| (тип пользова- <F3> for list: |||
||| теля) (Укажите значение, по умолчанию - индивидуум|
||| <F3> для получения списка:) |||
||| |||
||| Account that may su(C) tо this user: |||
||| (Учетная информация может быть su(c) для этого |||
|++ пользователя). ++|
+-+ +-+
+----------------------------------------------------------+
- 10-6a -
Вначале курсор установлен на поле "Login group(группа входа
в систему)". Некоторые отображаемые поля могут быть модифициро-
ваны только в момент создания - в режиме Modify (Изменения),
эти поля являются информационными; их значение нельзя менять.
Login group (группа входа в систему)
Группа связанная с конкретной учетной информацией, с кото-
рыми пользователь входит в систему. Это поле можно изме-
нять, но оно может и быть пустым. Оно станет полем группы
для конкретного пользователя в /etc/pesswd. Нажатие клавиши
<F3> приводит к отображению списка меню из существующих в
настоящее время в системе групп. Заметим, что это приведет
к потере предыдущего значения этого поля, даже если ничего
не выбрано из меню.
Если пользователь в настоящее время не является членом выб-
ранной группы, то пользователь будет добавлен в эту группу
и на экране в поле "Группа" появится конкретное значение.
Пользователь не может быть удален из уже существующей груп-
пы; удаляя пользователя из группы, администратор должен
удалить эту группу из поля "Группа". Когда выбрано первое
имя группы, открывается другое окно в середине экрана; это
окно остается открытым, таким образом можно ввести несколь-
ко групп. Для каждой несуществующей группы отображается вы-
деленный прямоугольник, что запрашивает создание этой груп-
пы. Когда Вы закончите ввод групп, нажмите <Return> чтобы
переместиться дальше.
- 10-7 -
Groups (группы)
Список групп, членами которых является пользователь; это
поле не является заполняемым. В нем отображаются дополни-
тельные группы, введенные в окне, открытом полем "Группа
входа".
Login shell (cреда входа)
Cреда, которую использует пользователь. (Значение по умол-
чанию определено как /etc/default/authsh). Если указан пол-
ный путь ("bin/sh"), то среда, описанная этим путем просто
используется как среда входа в систему пользователя. Однако,
если среда указана не как путь (как "sh") то принимается
имя "предварительно определенной среды", среды, определен-
ной в подкаталоге каталога /usr/lib/mkuser. Выбор пред-
варительно определенной среды приводит к копированию фай-
лов, связанных со средой (например: .profile для "sh"), в
собственный пользовательский каталог, когда создается
учетной информации этого пользователя.
Home directory (собственный каталог)
Это поле определяет, где будут размещаться файлы пользова-
теля. Нажмите <F3> для того, чтобы получить место располо-
жение файлов по умолчанию.
User ID (идентификатор пользователя)
Определяется системой. (Однажды установленная идентификация
пользователя не может быть изменена, иначе это спутает ве-
дение контроля). Это поле отображается только с информаци-
онной целью.
CPU priority (приоритет для работы процессора)
Распределение процессора: 0 - по умолчанию, значение мень-
шее 0 - больший приоритет. Это значение отрицательное. Оно
соответствует значению nice(C); для получения детальной
смотрите руководство по этому значению. Это поле может из-
меняться, но не может быть пустым. Приоритет может быть из-
менен для того чтобы наказать пользователей, запускающих
программы, которые используют чрезмерно время процессора.
Type of user (тип пользователя)
В большинстве случаев, это или "individual(индивидуум)" или
"pseudo-user(псевдо-пользователь)". По умолчанию принимает-
ся individual. Пользователь с таким типом - реальный поль-
зователь с конкретным именем. Псевдо-пользователь не имеет
имени и имеет учетной информации подобные mmdf. Каждый
псевдо-пользователь должен иметь "ответственного пользовате-
ля", который ответственен по этой учетной информации.
- 10-7a -
Account that may su(C) to this user (учетная информация может
быть su(c) для этого пользователя).
Пользователь ответственный по этой учетной информации. Это
поле может быть изменено, только в том случае, если пользо-
ватель имеет тип отличный от individual. Для пользователя с
типом individual это поле пустое, но для пользователя с
другим типом оно может и не быть пустым. Это поле содержит
имя пользователя с индивидуальной учетной информацией (не
удаленной). Например основной пользователь должен иметь имя
пользователя, который отвечает по этой учетной информации.
Это значит, что учетная информация не должна быть аноним-
ной; каждый комплект учетной информации должен определять
реальную личность. Нажмите <F3> чтобы получить список меню
всех индивидуальных пользователей системы.
- 10-8 -
Добавление администраторов
Кроме стандартной информации Identity, пользователям, кото-
рые работают как администраторы печати, по учету и др., может
быть назначена ответственность с помощью выбора Privileges. Под-
системы обсуждаемые в разделе "Изменение прав, принятых по умол-
чанию" и назначающие права обсуждаются в следующем разделе.
Изменение/назначение прав пользователей
Подсистема назначения прав обсуждалась ранее в разделе "Из-
менение прав, принимаемых по умолчанию" и в большей степени - в
главе "Поддержка защиты системы". Права поддерживаются для того,
чтобы быть присвоенными пользователям, на которых возложена мис-
сия администратора некоторой подсистемы. Для назначения нового
права некоторому пользователю, выберите:
Права-> Пользователь-> Проверка:Привилегии
после этого отобразится на экране следующая форма:
+-------------------------------------------------------------+
| Authorizations|
| (права) |
| Use default kernel autorizations |
| (используется права ядра, принимаемые по умолчанию) |
| 7 Dec 88 17:51 /usr/auth |
|+-----------View/modify an existing user account------------+|
||(просмотр/изменение существующей учетной информации пользователя)
||+-------------------- Authorizations ---------------------+||
||| (права) |||
||| Username : sample |||
||| (имя пользователя) |||
||| Kernel : Specify Default authorizations: [... ]|||
||| (ядро указать по умолчанию права) |||
||| Subsystem: Specify Default authorizations: [... ]|||
|||(подсистема указать по умолчанию права) |||
||| |||
||| When specifying authorizations |||
||| <F3> will list thos which may |||
||| be selected |||
||| (Когда указываете права нажатие клавиши <F3> |||
||| приведет к отображению меню пользователей, |||
++| которые могут быть выбраны) |++
++ ++
+---------------------------------------------------------+
- 10-9 -
Вы можете выбрать "указать" и нажать <F3> для того, чтобы
открыть окно со списком доступных прав
________________________________________________________________
Примечание
Если Вы перейдете с элемента по умолчанию на указание, зна-
чения, принимаемые по умолчанию разрушатся для этого пользовате-
ля; и только права, которые Вы укажите, станут действительными.
________________________________________________________________
Удаление учетной информации пользователя
На самом деле, пользователь никогда не удаляется из систе-
мы. Некоторый идентификатор однажды назначенный никогда не может
использоваться снова. Вместо этого,пользователю назначается
"удаленный", или пользователь удаляется из обслуживания. Для то-
го, чтобы вычеркнуть учетную информацию пользователя, осуществи-
те следующий выбор в sysadmsh:
Учетная информация-> Пользователь-> Удаление
________________________________________________________________
Примечание
Удаленную учетную информацию никогда нельзя активизировать
заново. Это удаление постоянно.
________________________________________________________________
Блокировка/разблокировка учетной информации пользователя
Администратор может заблокировать по своему усмотрению не-
которую учетную информацию. Кроме того, некоторая учетная инфор-
мация могут быть автоматически заблокированы при превышении па-
раметров входа в систему (смотри "Конфигурация учета по
умолчанию"). Если пользователь или терминал заблокированы, толь-
ко администратор может их разблокировать. Некоторая учетная ин-
формация может быть заблокирована или разблокирована следующим
выбором из sysadmsh:
Учетная информация-> Пользователь-> Проверка:Входы в систему
На экране отобразится следующая форма:
- 10-10 -
+-----------------------------------------------------------------+
| Logins |
| (Входы в систему) |
| Use the system default limit on unsuccessful login attempt |
| (используйте системные ограничения, принимаемые по умолчанию, |
| при неудачной попытке назначения входов в систему) |
| |
| +-----View/modify an existing user account-----------+ |
| |(просмотр/изменение существующей учетная информации | |
| | пользователя) | |
|+--+----------Login history and locks-------------------+-------+|
|| (История назнaчения входов в систему и блокировка) ||
|| ||
|| Username : sample ||
||(имя пользователя) ||
|| Last login attempt Location Date/time ||
||(последняя попытка (место- (дата и ||
|| входа в систему ) положение) время) ||
|| ||
|| successful : tty01 Thu 3 jan 1989 08:22: 6 AM ||
|| (успешная) ||
|| unsuccessful : tty2b Mon 7 jan 1989 02:12: 9 AM ||
|| (неуспешная) ||
|| Last logout : tty2b Mon 7 jan 1989 03:19:24 AM ||
||(последний выход ||
|| из системы) ||
|| ||
|| Number of unsuccessful login attempts since last ||
|| successful login: 1(Число неуспешных попыток войти в сис- ||
|| тему с последнего успешного входа) ||
|| Maximum number of unsuccessful attempts before account is ||
|| locked (Максимальное количество неудачных попыток до то- ||
|| го, как они будут заблокированы) ||
|| Specify Default of 6 Value : ||
|| (укажите) (по умолчанию (значение) ||
|| 6) ||
- 9-19 -
Изменение времени
Когда происходит доступ к файлам DOS из раздела UNIX,уста-
новка времени создания, изменения и доступа всегда одинаковая и
при этом используется GMT, т.е. среднее время по гринвичскому
меридиану. (Система использует GMT врутренне и преобразует его
для конкретного пользователя). Это значит, что файлы, созданные
в файловой системе DOS под управлением DOS или UNIX, не будут
иметь совместимое время в этих операционных системах.
Утилиты создания резервных копий UNIX
Утилиты backup(ADM) или xbackup(ADM) не могут быть исполь-
зованы для создания резервной копии для организованной файловой
системы DOS. Утилиты DOS и другие программы копирования подобные
tar(C) будут работать соответствующим образом.
Для получения подробной информации, включая технические ас-
пекты использования DOS, обратитесь к руководству по dos(C)
справочника пользователя.
- 9-20 -
________________________________________________________________
Операционные системы UNIX и DOS на нестандартных дисках
Операционная система UNIX обеспечивает поддержку "нестан-
дартных" жестких дисков. Термин "нестандартный" относится к та-
ким дискам, для которых не существует стандартных значений пара-
метров в ROM Вашего компьютера.
Правильные параметры, которые Вы указываете для
нестандартного диска(ов), запоминаются в главном загрузочном
блоке, который является первым сектором Вашего загрузочного
жесткого диска. Вы можете указать характеристики этого жесткого
диска в процессе установки, и эти характеристики затем будут
считываться оставшейся частью главного загрузочного блока. Спе-
циальный главный загрузочный блок, который устанавливается при
установке UNIX, переустанавливает параметры диска на указанные
значения вне зависимости от того, какая операционная система яв-
ляется "активной". Этот механизм обеспечивает поддержку нестан-
дартных дисков как для UNIX,так и для DOS операционных систем.
Хотя специальный главный загрузочный блок поддерживает нес-
тандартные диски под DOS, Вы не можете использовать Вашу систему
UNIX, для того чтобы установить DOS на Ваш жесткий диск. Если
используется нестандартный диск, предполагается, что Вы уже име-
ете способ передачи Ваших файлов DOS на этот жесткий диск.
Пока Вы не изменили активный раздел, Вы должны использо-
вать fdisk только системы UNIX для управления таблицей разделов
Вашего жесткого диска. Использование fdisk DOS или пользователь-
ских команд fdisk, поставляемых производителем жесткого диска,
может сделать неиспользуемыми характеристики нестандартного
жесткого диска, что может привести к тому, что Ваш диск нельзя
будет использовать.
Глава 10
Ведение учета пользователей
________________________________________________________________
Введение 10-1
Управление учетом 10-3
Добавление пользователя 10-3
Изменение/Назначение прав пользователя 10-8
Удаление учетной информации пользователя 10-9
Блокировка учетной информации пользователя 10-9
Изменение группы пользователей 10-10
Изменение пароля пользователя или
параметров пароля 10-11a
Определение/изменение параметров контроля
пользователя 10-13
Добавление/изменение групп 10-14
Конфигурация учета по умолчанию 10-15
Выбор сниженной защиты по умолчанию 10-16
Динамическое изменение параметров защиты 10-17
Изменение ограничений входа в систему,
принятого по умолчанию 10-17
Изменение ограничений по паролю,
принятого по умолчанию 10-19
Изменение прав, принимаемых по умолчанию 10-21
Авторизованные администраторы и привилегированный
пользователь 10-24
Права для работы с ядром 10-24
Управление входом в систему с терминала 10-26
Просмотр входа терминала 10-26
Переопределение ограничений входа в систему 10-27
Блокировка/разблокировка терминала 10-28
Установка базы данных эквивалентных устройств 10-28
Генерация отчетов 10-29
Отчет по статусу пароля 10-29
Отчет по работе терминала 10-31
Отчет по входам в систему 10-32
- 10-1 -
________________________________________________________________
Введение
Учет пользователей помогает администратору системы сохра-
нять треки пользователей системы и управлять правами доступа
пользователей к ресурсам системы. Учетная информация состоит из
уникального имени для входа в систему и пароля для каждого поль-
зователя, с которыми он входит в систему, а также из имени собс-
твенного каталога, где пользователь может работать. Кроме то-
го, система имеет определенные значения, принимаемые по
умолчанию, которые определяют как долго имеет силу пользователь-
ский пароль, может ли пользователь выбирать свой собственный па-
роль, как много попыток неправильного ввода имени для входа в
систему разрешено до блокировки ввода.
На администратора возлагается деятельность по созданию
учетной информации для всех пользователей системы и по поддержке
этой учетной информации - изменение пароля пользователей, групп
для входа, и пользовательских идентификаторов, когда это необхо-
димо.
Вы можете также определить число администраторов системы, в
случае нескольких администраторов, каждый из них будет отвечать
за определенные операции системы, в случае одного - он определя-
ется как основной пользователь и на него возлагаются все аспекты
работы администратора (основной пользователь наделен всеми пра-
вами привелигированного пользователя, принимаемыми по умолча-
нию).
В этой главе описываются следующие функции:
Управление учетом Добавление, изменение и удаление учетной
ресурсов информации пользователей плюс создание
групп пользователей
Конфигурация учета Конфигурация параметров входа в сис-
ресурсов по умол- тему и паролей, принимаемых по
чанию умолчанию
Управление входами Управление входом в систему с терми-
в систему с терми- нала с помощью базовых компонент тер-
налов минала
Генерация отчетов Генерация отчетов по входу в систему
пользователей, по использованию тер-
миналов пользователями, и статусу па-
ролей пользователей
Важно проверить ограничения по учету, принимаемые по умол-
чанию, сразу же после создания учетной информации пользователя.
Эти ограничения обобщены в "Конфигурации учета по умолчанию". Вы
должны определить, удовлетворяют ли эти значения требованиям Ва-
шей системы или нет.
- 10-2 -
________________________________________________________________
Примечание
Ни при каких условиях Вы не должны редактировать
/etc/passwd текстовым редактором. Это приведет к тому, что отоб-
разится сообщение об ошибке и система больше не будет принимать
далее запросов на вход в нее. Используйте выбор учетной информа-
ции sysadmsh для изменения или добавления учетной информации
пользователя. База данных /etc/passwd помещена в дополнительную
защищенную паролем базу данных, которая содержит скрытую версию
пароля и другие параметры защиты для каждого пользователя.
________________________________________________________________
- 10-3 -
________________________________________________________________
Управление учетом использования ресурсов
Этот раздел описывает процесс создания учетной информации
пользователя и управления ей.
Добавление пользователя
Вы можете добавить пользователя в список пользователей,
имеющих право входа в систему, с помощью программы sysadmsh. Эта
программа создает новый элемент в базе данных учетной информа-
ции. После этого база данных будет содержать информацию о новом
пользователе (имя для входа в систему и начальный пароль), кото-
рую система используют для предоставления пользователю права
войти в систему и начать работу. Sysadmsh также создает свой
собственный каталог для каждого пользователя, почтовый нако-
питель для команды mail и некоторый файл инициализации (напри-
мер, .profile для среды Bourne, или .login для среды С), содер-
жащий команды UNIX, которые выполняются, когда пользователь
входит в систему.
Чтобы создать учетную информацию пользователя введите
sysadmsh и сделайте следующий выбор:
Учетная информация-> Пользователь-> Создание
Отобразится следующий экран:
+--------------------------------------------------------------+
| Create |
| (создание) |
| Name of new user (once set, this can not be changed) |
| (имя нового пользователя (задается один раз, не может быть |
| изменено)) |
| |
| /tcb/files/auth 03/23/89 10:57 |
| |
| +----------------Make a new user account--------------------+|
| | (создание новой учетной информации пользователя) ||
| | ||
| |Username : [ ] ||
| |(Имя пользователя) ||
| | ||
| |Comment : [ ]||
| |(Комментарии) ||
| | ||
| |Modify defaults ? Yes [No] ||
| |(Изменять значения, принимаемые по умолчанию ? Да [Нет]) ||
| +-----------------------------------------------------------+|
+--------------------------------------------------------------+
- 10-4 -
Осуществите следующую последовательность действий, чтобы
добавить пользователя:
1. Заполните поля имени пользователя и комментариев, если
потребуется.
2. Если Вы хотите изменить значения, принимаемые по умолча-
нию, выберите "Да" и определите поля как показано в "Из-
менении значений, принимаемых по умолчанию, для пользо-
вателя". Заполните необходимые поля; нажмите клавишу
<F3> для выбора значений из списка элементов меню. Когда
Вы нажмете клавишу <Enter>, поле заполнится значением,
которое Вы выбрали.
3. Когда Вы покинете эту форму, этот экран исчезнет, будет
запрошено подтверждение Вашего добавления. Когда Вы
подтвердите добавление, на экране появится ряд сообщений
по созданию нового пользователя, например:
+-------------------------------------------------------------
| Созданный собственный каталог: <имя каталога>
| Созданный файл среды: <имя файла>
| Почтовый адрес для передачи почты пользователю: <имя>
Эти сообщения показывают, что все необходимые файлы и
каталоги созданы. ( Информация по умолчанию берется из
файла /usr/lib/mkuser).
4. Последнее действие - создание начального пароля.
пароль. Если пароль не назначен, то никто не может войти
с созданной учетной информацией. Выберите "Да" и следуй-
те действиям процедуры назначения пароля:
+-------------------------------------------------------------
| Last succesful password change for user: date
| (последнее успешное изменение пароля для пользователя: дата)
| Last unsuccesful password change for auth: NEVER
| (последнее неуспешное изменение пароля для пользователя:нет)
|
| Choose password
| (выберите пароль)
| You can choose whether you pick your own passord,
| or have the system create one for you.
| (Вы можете выбрать,или Вы выбираете свой собственный пароль,
| или система сама создает его для Вас)
| 1. Pick your own password(Выбираете сами свой пароль)
| 2. Pronounceable password will be generated for you
| (Будет сгенерирован удобный пароль для Вас)
| Enter choice (default is 1):
| (Сделайте выбор(по умолчанию 1):)
- 10-4a -
5. Если Вы выберите 1 , Вы будете опрошены на ввод пароля
дважды:
+-------------------------------------------------------------
| Password:
| (пароль)
|
| Re-enter password:
| (Введите пароль еще один раз)
Заметим, что пароль не отображается на экране, когда Вы
его набираете.
- 10-5 -
6. Если Вы выбираете "g", на экране появляется следующая
информация:
+---------------------------------------------------------------
| Генерация случайного удобного пароля для пользователя.
| Этот пароль вместе со своей дополнительной версией, напи-
| санной через дефис, отображены на экране.
| Нажимайте <Return> или <Enter> пока Вас не удовлетворит
| сгенерированный пароль.
| Когда Вы выберите пароль, который Вы хотите, наберите его.
| Примечание: Нажмите символ прерывания или 'quit' для прек-
| ращения выбора.
|
|Пароль: xxxxxxxx Разбивка по слогам: xx-xx-xx Введите пароль:
|
Сгенерированный пароль отображается со своей версией, напи-
санной по слогам через дефис. Написанная через дефис версия
пароля генерируется, чтобы помочь пользователю запомнить его.
7. Присвойте новый пароль пользователю, советуя ему изме-
нить этот пароль сразу после входа в систему.
Новая учетная информация будет применима и будет поддержи-
ваться в соответствии с параметрами защиты, принятыми по умолча-
нию, если Вы не установите их специфические значения их для
конкретного пользователя.
Изменение значений параметров пользователя, принимаемых по
умолчанию
Для большинства пользователей надо просто выбрать Identity
и определить значения, эти значения показаны ниже. Другие значе-
ния (ревизионный параметр, имя для входа в систему, пароль, пра-
ва) являются объектами системного подчинения и принимаются по
умолчанию системой. Вы не должны выбирать эти значения без необ-
ходимости определить специфические возможности пользователя или
ограничения.
Значения, принимаемые по умолчанию сведены в следующую фор-
му:
- 10-6 -
+--------------------------------------------------------------+
| Create |
| (создание)|
| Use the system default login group |
| (Использование системной принятой по умолчанию группы |
| входов в систему) |
| 7 dec 88 17:51 /usr/auth |
|+-----------------Make a new user account--------------------+|
|| (создание новой учетной информации пользователя) ||
|| ||
||+------------- New user account parameters ----------------+||
||| (новые параметры учетной информации пользователя) |||
||| |||
||| Login group: Specify [Default] of value, |||
||| (группа входа <F3> for list: |||
||| в систему) (Укажите значение, значение по умолчанию, |||
||| или <F3> для получения спиcка:) |||
||| Groups: [... ] |||
||| (группы) |||
||| Login shell: Specify [Default] of sh value, |||
||| (среда для <F3> for list: |||
||| входа) (Укажите значения среды, по умолчанию sh,||
||| <F3> для получения списка:) |||
||| Home directory: Specify [Default] of /usr/sample value, |||
||| (собственный <F3> for list: |||
||| каталог) (Укажите имя, по умолчанию /usr/sample, |||
||| <F3> для получения списка:) |||
||| User ID number: Specify [Default] of 200 value: |||
||| (номер идентифи- (Укажите значение, по умолчанию 200) |||
||| катора пользова- |||
||| теля) |||
||| CPU priority: Specify [Default] of 0 value: |||
||| (приоритет при (Укажите значение, по умолчанию 0) |||
||| работе с про- |||
||| цессором) |||
||| Type of user: Specify [Default] of individual value, |||
||| (тип пользова- <F3> for list: |||
||| теля) (Укажите значение, по умолчанию - индивидуум|
||| <F3> для получения списка:) |||
||| |||
||| Account that may su(C) tо this user: |||
||| (Учетная информация может быть su(c) для этого |||
|++ пользователя). ++|
+-+ +-+
+----------------------------------------------------------+
- 10-6a -
Вначале курсор установлен на поле "Login group(группа входа
в систему)". Некоторые отображаемые поля могут быть модифициро-
ваны только в момент создания - в режиме Modify (Изменения),
эти поля являются информационными; их значение нельзя менять.
Login group (группа входа в систему)
Группа связанная с конкретной учетной информацией, с кото-
рыми пользователь входит в систему. Это поле можно изме-
нять, но оно может и быть пустым. Оно станет полем группы
для конкретного пользователя в /etc/pesswd. Нажатие клавиши
<F3> приводит к отображению списка меню из существующих в
настоящее время в системе групп. Заметим, что это приведет
к потере предыдущего значения этого поля, даже если ничего
не выбрано из меню.
Если пользователь в настоящее время не является членом выб-
ранной группы, то пользователь будет добавлен в эту группу
и на экране в поле "Группа" появится конкретное значение.
Пользователь не может быть удален из уже существующей груп-
пы; удаляя пользователя из группы, администратор должен
удалить эту группу из поля "Группа". Когда выбрано первое
имя группы, открывается другое окно в середине экрана; это
окно остается открытым, таким образом можно ввести несколь-
ко групп. Для каждой несуществующей группы отображается вы-
деленный прямоугольник, что запрашивает создание этой груп-
пы. Когда Вы закончите ввод групп, нажмите <Return> чтобы
переместиться дальше.
- 10-7 -
Groups (группы)
Список групп, членами которых является пользователь; это
поле не является заполняемым. В нем отображаются дополни-
тельные группы, введенные в окне, открытом полем "Группа
входа".
Login shell (cреда входа)
Cреда, которую использует пользователь. (Значение по умол-
чанию определено как /etc/default/authsh). Если указан пол-
ный путь ("bin/sh"), то среда, описанная этим путем просто
используется как среда входа в систему пользователя. Однако,
если среда указана не как путь (как "sh") то принимается
имя "предварительно определенной среды", среды, определен-
ной в подкаталоге каталога /usr/lib/mkuser. Выбор пред-
варительно определенной среды приводит к копированию фай-
лов, связанных со средой (например: .profile для "sh"), в
собственный пользовательский каталог, когда создается
учетной информации этого пользователя.
Home directory (собственный каталог)
Это поле определяет, где будут размещаться файлы пользова-
теля. Нажмите <F3> для того, чтобы получить место располо-
жение файлов по умолчанию.
User ID (идентификатор пользователя)
Определяется системой. (Однажды установленная идентификация
пользователя не может быть изменена, иначе это спутает ве-
дение контроля). Это поле отображается только с информаци-
онной целью.
CPU priority (приоритет для работы процессора)
Распределение процессора: 0 - по умолчанию, значение мень-
шее 0 - больший приоритет. Это значение отрицательное. Оно
соответствует значению nice(C); для получения детальной
смотрите руководство по этому значению. Это поле может из-
меняться, но не может быть пустым. Приоритет может быть из-
менен для того чтобы наказать пользователей, запускающих
программы, которые используют чрезмерно время процессора.
Type of user (тип пользователя)
В большинстве случаев, это или "individual(индивидуум)" или
"pseudo-user(псевдо-пользователь)". По умолчанию принимает-
ся individual. Пользователь с таким типом - реальный поль-
зователь с конкретным именем. Псевдо-пользователь не имеет
имени и имеет учетной информации подобные mmdf. Каждый
псевдо-пользователь должен иметь "ответственного пользовате-
ля", который ответственен по этой учетной информации.
- 10-7a -
Account that may su(C) to this user (учетная информация может
быть su(c) для этого пользователя).
Пользователь ответственный по этой учетной информации. Это
поле может быть изменено, только в том случае, если пользо-
ватель имеет тип отличный от individual. Для пользователя с
типом individual это поле пустое, но для пользователя с
другим типом оно может и не быть пустым. Это поле содержит
имя пользователя с индивидуальной учетной информацией (не
удаленной). Например основной пользователь должен иметь имя
пользователя, который отвечает по этой учетной информации.
Это значит, что учетная информация не должна быть аноним-
ной; каждый комплект учетной информации должен определять
реальную личность. Нажмите <F3> чтобы получить список меню
всех индивидуальных пользователей системы.
- 10-8 -
Добавление администраторов
Кроме стандартной информации Identity, пользователям, кото-
рые работают как администраторы печати, по учету и др., может
быть назначена ответственность с помощью выбора Privileges. Под-
системы обсуждаемые в разделе "Изменение прав, принятых по умол-
чанию" и назначающие права обсуждаются в следующем разделе.
Изменение/назначение прав пользователей
Подсистема назначения прав обсуждалась ранее в разделе "Из-
менение прав, принимаемых по умолчанию" и в большей степени - в
главе "Поддержка защиты системы". Права поддерживаются для того,
чтобы быть присвоенными пользователям, на которых возложена мис-
сия администратора некоторой подсистемы. Для назначения нового
права некоторому пользователю, выберите:
Права-> Пользователь-> Проверка:Привилегии
после этого отобразится на экране следующая форма:
+-------------------------------------------------------------+
| Authorizations|
| (права) |
| Use default kernel autorizations |
| (используется права ядра, принимаемые по умолчанию) |
| 7 Dec 88 17:51 /usr/auth |
|+-----------View/modify an existing user account------------+|
||(просмотр/изменение существующей учетной информации пользователя)
||+-------------------- Authorizations ---------------------+||
||| (права) |||
||| Username : sample |||
||| (имя пользователя) |||
||| Kernel : Specify Default authorizations: [... ]|||
||| (ядро указать по умолчанию права) |||
||| Subsystem: Specify Default authorizations: [... ]|||
|||(подсистема указать по умолчанию права) |||
||| |||
||| When specifying authorizations |||
||| <F3> will list thos which may |||
||| be selected |||
||| (Когда указываете права нажатие клавиши <F3> |||
||| приведет к отображению меню пользователей, |||
++| которые могут быть выбраны) |++
++ ++
+---------------------------------------------------------+
- 10-9 -
Вы можете выбрать "указать" и нажать <F3> для того, чтобы
открыть окно со списком доступных прав
________________________________________________________________
Примечание
Если Вы перейдете с элемента по умолчанию на указание, зна-
чения, принимаемые по умолчанию разрушатся для этого пользовате-
ля; и только права, которые Вы укажите, станут действительными.
________________________________________________________________
Удаление учетной информации пользователя
На самом деле, пользователь никогда не удаляется из систе-
мы. Некоторый идентификатор однажды назначенный никогда не может
использоваться снова. Вместо этого,пользователю назначается
"удаленный", или пользователь удаляется из обслуживания. Для то-
го, чтобы вычеркнуть учетную информацию пользователя, осуществи-
те следующий выбор в sysadmsh:
Учетная информация-> Пользователь-> Удаление
________________________________________________________________
Примечание
Удаленную учетную информацию никогда нельзя активизировать
заново. Это удаление постоянно.
________________________________________________________________
Блокировка/разблокировка учетной информации пользователя
Администратор может заблокировать по своему усмотрению не-
которую учетную информацию. Кроме того, некоторая учетная инфор-
мация могут быть автоматически заблокированы при превышении па-
раметров входа в систему (смотри "Конфигурация учета по
умолчанию"). Если пользователь или терминал заблокированы, толь-
ко администратор может их разблокировать. Некоторая учетная ин-
формация может быть заблокирована или разблокирована следующим
выбором из sysadmsh:
Учетная информация-> Пользователь-> Проверка:Входы в систему
На экране отобразится следующая форма:
- 10-10 -
+-----------------------------------------------------------------+
| Logins |
| (Входы в систему) |
| Use the system default limit on unsuccessful login attempt |
| (используйте системные ограничения, принимаемые по умолчанию, |
| при неудачной попытке назначения входов в систему) |
| |
| +-----View/modify an existing user account-----------+ |
| |(просмотр/изменение существующей учетная информации | |
| | пользователя) | |
|+--+----------Login history and locks-------------------+-------+|
|| (История назнaчения входов в систему и блокировка) ||
|| ||
|| Username : sample ||
||(имя пользователя) ||
|| Last login attempt Location Date/time ||
||(последняя попытка (место- (дата и ||
|| входа в систему ) положение) время) ||
|| ||
|| successful : tty01 Thu 3 jan 1989 08:22: 6 AM ||
|| (успешная) ||
|| unsuccessful : tty2b Mon 7 jan 1989 02:12: 9 AM ||
|| (неуспешная) ||
|| Last logout : tty2b Mon 7 jan 1989 03:19:24 AM ||
||(последний выход ||
|| из системы) ||
|| ||
|| Number of unsuccessful login attempts since last ||
|| successful login: 1(Число неуспешных попыток войти в сис- ||
|| тему с последнего успешного входа) ||
|| Maximum number of unsuccessful attempts before account is ||
|| locked (Максимальное количество неудачных попыток до то- ||
|| го, как они будут заблокированы) ||
|| Specify Default of 6 Value : ||
|| (укажите) (по умолчанию (значение) ||
|| 6) ||