Vai al contenutoNaviga tra le pagine: pagina precedente [tasto di scelta p]/pagina successiva [tasto di scelta n]
documentation.suse.com / Documentazione di SUSE Linux Enterprise Server / Guida alla distribuzione / Configurazione iniziale del sistema / Gestione utenti con YaST
Si applica a SUSE Linux Enterprise Server 12 SP4

16 Gestione utenti con YaST

Durante l'installazione è possibile creare un utente locale per il sistema in uso. Con il modulo YaST Gestione utente e gruppi è possibile aggiungere altri utenti o modificare quelli esistenti. È inoltre possibile configurare il sistema per l'autenticazione con un server di rete.

16.1 Finestra di dialogo Amministrazione utenti e gruppi

Per amministrare utenti o gruppi, avviare YaST e fare clic su Sicurezza e utenti › Gestione utente e gruppi. In alternativa, avviare direttamente la finestra di dialogo Gestione utente e gruppi eseguendo sudo yast2 users & da una riga di comando.

Amministrazione utenti e gruppi con YaST
Figura 16.1: Amministrazione utenti e gruppi con YaST

A ciascun utente viene assegnato un ID a livello di sistema (UID). Oltre agli utenti che possono eseguire il login al computer, esistono anche vari utenti di sistema riservati all'utilizzo interno. Ciascun utente viene assegnato a uno o più gruppi. Oltre agli utenti di sistema, sono disponibili anche gruppi di sistema per uso interno.

La finestra di dialogo principale visualizza varie schede (utenti locali, utenti di rete, utenti di sistema), a seconda del gruppo di utenti che si sceglie di visualizzare o modificare. che consentono di eseguire i compiti seguenti:

Gestione dei conti utente

Aprire la scheda Utenti per creare, modificare o eliminare temporaneamente account utente, come descritto nella Sezione 16.2, «Gestione dei conti utente». Ulteriori informazioni su opzioni avanzate quali applicazione delle policy sulle password, utilizzo di home directory cifrate o gestione delle quote del disco, sono disponibili nella Sezione 16.3, «Opzioni aggiuntive per gli account utente».

Modifica delle impostazioni di default

Gli account utenti locali sono creati secondo le impostazioni definite nella scheda Default per nuovi utenti. Ulteriori informazioni sulla modifica dell'assegnazione del gruppo di default o del percorso di default e dei permessi di accesso alle home directory sono disponibili nella Sezione 16.4, «Modifica delle impostazioni di default per utenti locali».

Assegnazione di utenti a gruppi

Ulteriori informazioni sulla modifica delle assegnazioni ai gruppi per i singoli utenti sono disponibili nella Sezione 16.5, «Assegnazione di utenti a gruppi».

Gestione dei gruppi

Nella scheda Gruppi è possibile aggiungere, modificare o eliminare i gruppi esistenti. Per informazioni su come effettuare questa operazione, vedere la Sezione 16.6, «Gestione dei gruppi».

Modifica UAM (User Authentication Method)

Se il computer è collegato a una rete che fornisce metodi di autenticazione utente come NIS o LDAP, è possibile scegliere uno dei numerosi metodi di autenticazione nella scheda Impostazioni di autenticazione. Per ulteriori informazioni, fare riferimento alla Sezione 16.7, «Modifica UAM (User Authentication Method)».

La finestra di dialogo fornisce funzionalità simili per la gestione di utenti e gruppi. Scegliendo la scheda corretta nella parte superiore della finestra, è possibile passare facilmente dalla vista di amministrazione di utenti a quella di amministrazione di gruppi e viceversa.

Le opzioni di filtro consentono di definire il set di utenti o gruppi che si desidera modificare: nella scheda Utenti o Gruppo, fare clic su Imposta filtro per visualizzare e modificare utenti o gruppi in base a determinate categorie, ad esempio Utenti locali o Utenti LDAP (se il sistema fa parte di una rete che utilizza LDAP). Con Imposta filtro › Personalizza filtro è possibile impostare e personalizzare un filtro.

Le opzioni e funzioni disponibili nella finestra di dialogo dipendono dal filtro scelto.

16.2 Gestione dei conti utente

YaST consente di creare, modificare, eliminare o disabilitare temporaneamente gli account utente. Gli account utente devono essere modificati solo dagli utenti esperti o dall'amministratore.

Di seguito, viene illustrato come configurare account utente di default. Per ulteriori opzioni, fare riferimento alla Sezione 16.3, «Opzioni aggiuntive per gli account utente».

Procedura 16.1: Aggiunta o modifica di account utente
  1. Aprire la finestra di dialogo Amministrazione utenti e gruppi di YaST e fare clic sulla scheda Utenti.

  2. Con Imposta filtro definire il set di utenti che si desidera gestire. Nella finestra di dialogo sono elencati gli utenti del sistema e i gruppi a cui appartengono.

  3. Per modificare le opzioni per un utente esistente, selezionare una voce e fare clic su Modifica.

    Per creare un nuovo account utente, fare clic su Aggiungi.

  4. Immettere i dati utente corretti nella prima scheda, ad esempio, Nome utente (utilizzato per il login) e Password. Questi dati sono sufficienti per la creazione di un nuovo utente. Se si fa clic su OK ora, il sistema assegnerà automaticamente un ID utente e imposterà tutti gli altri valori secondo il default.

  5. Attivare Ricevi posta di sistema per ricevere qualsiasi tipo di notifica di sistema nella casella postale dell'utente specificata. In tal modo si crea un alias di posta per root e l'utente può leggere la posta del sistema senza dover eseguire prima il login come root.

    Le e-mail inviate dal sistema sono memorizzate nella casella postale locale /var/spool/mail/USERNAME, doveUSERNAME è il nome di login per l'utente selezionato. Per leggere la posta è possibile utilizzare il comando mail.

  6. Per modificare ulteriori dettagli quali ID utente o il percorso della home directory dell'utente, eseguire tali operazioni nella scheda Dettagli.

    Se fosse necessario spostare la home directory di un utente esistente, immettere il percorso della nuova directory e spostare i contenuti della home directory corrente con Sposta nella nuova ubicazione. In caso contrario, verrà creata una nuova home directory che non conterrà nessun dato esistente.

  7. Per forzare gli utenti a modificare regolarmente la password o a impostare altre opzioni per la password, passare a Impostazioni Password e modificare le opzioni. Per ulteriori informazioni, fare riferimento alla Sezione 16.3.2, «Implementazione delle norme sulle password».

  8. Se tutte le opzioni sono state impostate come desiderato, fare clic su OK.

  9. Fare clic su OK per chiudere la finestra di dialogo di amministrazione e salvare le modifiche. Un utente appena aggiunto potrà eseguire il login al sistema utilizzando il nome di login e la password creati.

    In alternativa, per salvare tutte le modifiche senza chiudere la finestra di dialogo Amministrazione utenti e gruppi, fare clic su Opzioni avanzate › Scrivi modifiche ora.

Suggerimento
Suggerimento: ID utente corrispondenti

Per un nuovo utente (locale) di un computer portatile che deve essere integrato in un ambiente di rete dove l'utente dispone già di un ID utente, è opportuno far corrispondere l'ID utente (locale) a quello della rete. Ciò garantisce che la proprietà dei file creati dall'utente «offline» sia uguale a quella risultante nel caso in cui i file fossero stati creati direttamente in rete.

Oltre alle impostazioni per un account utente di default, SUSE® Linux Enterprise Server offre altre opzioni, come quella per l'applicazione di policy password, l'uso di home directory cifrate o la definizione di quote disco per utenti e gruppi.

16.3.1 Login automatico e senza password

Se si utilizza l'ambiente desktop GNOME, è possibile configurare il login automatico per alcuni utenti e il login senza password per tutti gli utenti. Il login automatico esegue automaticamente il login di un utente nell'ambiente desktop all'avvio. Questa funzionalità può essere attivata solo per un utente alla volta. Il login senza password consente a tutti gli utenti di eseguire il login nel sistema dopo aver immesso il proprio nome utente nel manager login.

Avvertimento
Avvertimento: rischi di sicurezza

L'abilitazione di Login automatico o di Login senza password su un computer accessibile da più persone rappresenta un rischio per la sicurezza. Senza la necessità di eseguire l'autenticazione, qualsiasi utente potrà accedere al sistema e ai dati. Se il sistema contiene dati confidenziali, non utilizzare questa funzionalità.

Per attivare il login automatico o senza password, accedere a queste funzioni dalla finestra di dialogo Amministrazione utenti e gruppi di YaST scegliendo Opzioni avanzate › Impostazioni di login.

16.3.2 Implementazione delle norme sulle password

In un sistema con più utenti è consigliabile implementare almeno le norme di base per la sicurezza delle password. Gli utenti dovrebbero cambiare regolarmente le password e utilizzare password sicure che non siano facilmente identificabili. Per gli utenti locali, procedere come indicato di seguito:

Per proteggere i dati delle directory home da furti e rimozione del disco rigido, è possibile creare directory home cifrate per gli utenti. Queste directory vengono cifrate con LUKS (Linux Unified Key Setup), che crea un'immagine e una chiave immagine per l'utente. La chiave utente è protetta dalla password di login dell'utente. Quando l'utente esegue il login al sistema, la directory home cifrata viene montata e il contenuto viene reso disponibile all'utente.

Con YaST è possibile creare directory home cifrate per utenti nuovi o esistenti. Per cifrare o modificare directory home cifrate di utenti già esistenti, sarà necessario conoscere la password di login corrente dell'utente. Per default tutti i dati utente esistenti sono copiati nella nuova directory home cifrata, ma non sono eliminati dalla directory non cifrata.

Avvertimento
Avvertimento: limitazioni di sicurezza

La cifratura della directory home di un utente non fornisce una solida sicurezza dagli altri utenti. Se è richiesta una solida sicurezza, il sistema non deve essere condiviso.

Ulteriori informazioni di base relative alle directory home cifrate e a quali azioni intraprendere per ottenere maggiore sicurezza sono disponibili nel Section 11.2, “Using Encrypted Home Directories”.

Procedura 16.4: Creazione di directory home cifrate
  1. Aprire la finestra di dialogo Gestione utente e gruppi di YaST e fare clic sulla scheda Utenti.

  2. Per cifrare la directory home di un utente esistente, selezionare l'utente e fare clic su Modifica.

    In alternativa, fare clic su Aggiungi per creare un nuovo account utente

  3. Nella scheda Dettagli, attivare Usa home directory cifrata. Con Dimensioni directory in MB, specificare le dimensioni del file immagine cifrato da creare per questo utente.

    Image
  4. Applicare le impostazioni con OK.

  5. Nel caso YaST la richieda, immettere la password di login corrente dell'utente.

  6. Fare clic su OK per chiudere la finestra di dialogo di amministrazione e salvare le modifiche.

    In alternativa, per salvare tutte le modifiche senza chiudere la finestra di dialogo Amministrazione utenti e gruppi, fare clic su Opzioni avanzate › Scrivi modifiche ora.

Procedura 16.5: Modifica o disabilitazione di directory home cifrate

Ovviamente, è possibile disabilitare la cifratura di una directory home o modificare le dimensioni del file di immagine in qualsiasi momento.

  1. Aprire la finestra di dialogo Amministrazione utenti e gruppi di YaST nella vista Utenti.

  2. Selezionare un utente dall'elenco e fare clic su Modifica.

  3. per disabilitare la cifratura, passare alla scheda Dettagli e disabilitare Usa home directory cifrata.

    Per ingrandire o ridurre le dimensioni del file immagine cifrato per l'utente, modificare il valore contenuto in Dimensioni directory in MB.

  4. Applicare le impostazioni con OK.

  5. Nel caso YaST la richieda, immettere la password di login corrente dell'utente.

  6. Fare clic su OK per chiudere la finestra di dialogo di amministrazione e salvare le modifiche.

    In alternativa, per salvare tutte le modifiche senza chiudere la finestra di dialogo Amministrazione utenti e gruppi, fare clic su Opzioni avanzate › Scrivi modifiche ora.

16.3.4 Gestione delle quote

Per evitare che le capacità del sistema si esauriscano senza preavviso, gli amministratori di sistema possono configurare quote per utenti o gruppi. È possibile definire le quote per uno o più file system, nonché limitare la quantità di spazio su disco utilizzabile e il numero di inode (nodi indice) che è possibile creare. Gli inode sono strutture di dati su un file system che memorizzano informazioni di base su un file normale, directory o altri oggetti del file system. Memorizzano tutti gli attributi di un oggetto del file system (quali proprietà di utenti e gruppi e permessi di lettura, scrittura o di esecuzione) tranne nome file e contenuti.

SUSE Linux Enterprise Server consente l'utilizzo di quote relative e assolute. Inoltre, possono essere definiti intervalli aggiuntivi che consentono agli utenti o ai gruppi di violare temporaneamente le quote per un determinato valore.

Quota relativa

Definisce una soglia di avvertimento che informa gli utenti quando stanno raggiungendo il limite. Gli amministratori esorteranno gli utenti a eseguire la pulizia e a ridurre i dati presenti sulla partizione. Il limite di quota relativa generalmente più basso del limite di quota assoluta.

Quota assoluta

Definisce il limite raggiunto il quale le richieste di scrittura vengono rifiutate. Quando si raggiunge la quota assoluta, non è più possibile memorizzare dati e le applicazioni potrebbero bloccarsi.

Periodo di tolleranza

Definisce l'intervallo di tempo tra l'overflow della quota relativa e l'emissione di un avviso. Viene generalmente impostato su un valore abbastanza basso, da una a diverse ore.

Per configurare le quote per determinati utenti e gruppi, è innanzitutto necessario abilitare il supporto delle quote per le rispettive partizioni in Partizionatore avanzato di YaST.

Nota
Nota: quote partizioni Btrfs

Le quote per le partizioni Btrfs vengono gestite in modo diverso. Per ulteriori informazioni, vedere il Section 1.2.5, “Btrfs Quota Support for Subvolumes”.

  1. In YaST, selezionare Sistema › Partizionatore e fare clic su per continuare.

  2. In Partizionatore avanzato, selezionare la partizione per la quale abilitare le quote e fare clic su Modifica.

  3. Fare clic su Opzioni di fstab e attivare Abilita supporto quota. Se il pacchetto quota non è ancora stato installato, verrà installato appena si conferma il messaggio corrispondente selezionando .

  4. Confermare le modifiche e abbandonare la Modalità di partizionamento per esperti.

  5. Verificare che il servizio quotaon sia in esecuzione immettendo il seguente comando:

    systemctl status quotaon

    Dovrebbe essere contrassegnato come attivo. In caso contrario, avviarlo usando il comando systemctl start quotaon.

Procedura 16.7: Impostazione quote per utenti o gruppi

Ora è possibile definire quote relative o assolute per utenti specifici o gruppi e impostare periodi di tempo come intervalli aggiuntivi.

  1. Nella finestra di dialogo Amministrazione utenti e gruppi di YaST, selezionare l'utente o il gruppo per il quale si desidera impostare le quote e fare clic su Modifica.

  2. Nella scheda Plug-in selezionare la voce Gestisci quota utente e fare clic su Lancia per aprire la finestra di dialogo Configurazione quota.

  3. In File system, selezionare la partizione alla quale applicare la quota.

    Image
  4. In Limiti alle dimensioni, limitare la quantità di spazio su disco. Immettere il numero di blocchi da 1 KB che l'utente o il gruppo può avere sulla partizione. Specificare un valore per il Limite relativo e per il Limite assoluto.

  5. Inoltre, è possibile limitare il numero di inode posseduti dall'utente o dal gruppo nella partizione. In Inodes Limits (Limiti inode), immettere un Limite relativo e un Limite assoluto.

  6. È possibile definire intervalli aggiuntivi se l'utente o il gruppo ha già superato il limite relativo specificato per le dimensioni o inode. In caso contrario, le caselle di testo relative al tempo non saranno attivate. Specificare il periodo di tempo per il quale all'utente o al gruppo è consentito superare i limiti di tempo impostati in precedenza.

  7. Confermare le impostazioni premendo OK.

  8. Fare clic su OK per chiudere la finestra di dialogo di amministrazione e salvare le modifiche.

    In alternativa, per salvare tutte le modifiche senza chiudere la finestra di dialogo Amministrazione utenti e gruppi, fare clic su Opzioni avanzate › Scrivi modifiche ora.

SUSE Linux Enterprise Server viene inoltre fornito con strumenti a riga di comando come repquota o warnquota. Gli amministratori di sistema possono servirsi di questi strumenti per controllare l'uso del disco o inviare notifiche e-mail agli utenti che superano le rispettive quote. Con l'utilizzo di quota_nld, gli amministratori possono anche inoltrare messaggi kernel relativi al superamento delle quote al D-BUS. Per ulteriori informazioni, consultare le manpage di repquota, warnquota e quota_nld.

16.4 Modifica delle impostazioni di default per utenti locali

YaST utilizza numerose impostazioni di default durante la creazione di nuovi utenti locali. Tali impostazioni comprendono, ad esempio, i gruppi primari e secondari a cui appartiene l'utente oppure le autorizzazioni di accesso alla home directory dell'utente. È possibile modificare queste impostazioni di default per soddisfare i requisiti:

16.5 Assegnazione di utenti a gruppi

Gli utenti locali sono assegnati a vari gruppi a seconda delle impostazioni di default alle quali è possibile accedere tramite la finestra di dialogo Amministrazione utenti e gruppi, nella scheda Default per nuovi utenti. Di seguito, viene illustrato come modificare la singola assegnazione di un gruppo di utenti. Se si necessita modificare le assegnazioni del gruppo di default per i nuovi utenti, consultare Sezione 16.4, «Modifica delle impostazioni di default per utenti locali».

Procedura 16.8: Modifica dell'assegnazione di un gruppo di utenti.
  1. Aprire la finestra di dialogo Amministrazione utenti e gruppi di YaST e fare clic sulla scheda Utenti. Vengono elencati gli utenti e i gruppi a cui appartengono.

  2. Fare clic su Modifica e passare alla scheda Dettagli.

  3. Per modificare il gruppo primario al quale l'utente appartiene, fare clic su Gruppo predefinito e selezionare il gruppo dall'elenco.

  4. Per assegnare l'utente a ulteriori gruppi secondari, selezionare le caselle di controllo corrispondenti nell'elenco Gruppi aggiuntivi.

  5. Fare clic su OK per applicare le modifiche.

  6. Fare clic su OK per chiudere la finestra di dialogo di amministrazione e salvare le modifiche.

    In alternativa, per salvare tutte le modifiche senza chiudere la finestra di dialogo Amministrazione utenti e gruppi, fare clic su Opzioni avanzate › Scrivi modifiche ora.

16.6 Gestione dei gruppi

Con YaST è anche possibile aggiungere, modificare o eliminare gruppi facilmente.

  1. Aprire la finestra di dialogo Gestione utente e gruppi di YaST e fare clic sulla scheda Gruppi.

  2. Con Imposta filtro definire il set di gruppi che si desidera gestire. Questa finestra di dialogo elenca i gruppi presenti nel sistema.

  3. Per creare un nuovo gruppo, fare clic su Aggiungi.

  4. Per modificare un gruppo esistente, selezionare il gruppo e fare clic su Modifica.

  5. Nella seguente finestra di dialogo immettere o modificare i dati. L'elenco a destra mostra una panoramica di tutti gli utenti disponibili e degli utenti di sistema che possono essere membri del gruppo.

    Image
  6. Per aggiungere utenti ad un nuovo gruppo, sceglierli da un elenco di possibili Membri gruppo selezionando la casella corrispondente. Per rimuoverli dal gruppo, disattivare la casella.

  7. Fare clic su OK per applicare le modifiche.

  8. Fare clic su OK per chiudere la finestra di dialogo di amministrazione e salvare le modifiche.

    In alternativa, per salvare tutte le modifiche senza chiudere la finestra di dialogo Amministrazione utenti e gruppi, fare clic su Opzioni avanzate › Scrivi modifiche ora.

È possibile eliminare un gruppo solo se non contiene alcun membro. Per eliminare un gruppo, selezionarne il nome nell'elenco e fare clic su Elimina. Fare clic su OK per chiudere la finestra di dialogo di amministrazione e salvare le modifiche. In alternativa, per salvare tutte le modifiche senza chiudere la finestra di dialogo Amministrazione utenti e gruppi, fare clic su Opzioni avanzate › Scrivi modifiche ora.

16.7 Modifica UAM (User Authentication Method)

Quando il computer è connesso a una rete, è possibile modificare il metodo di autenticazione. Sono disponibili le seguenti opzioni:

NIS

Gli utenti vengono amministrati a livello centrale su un server NIS per tutti i sistemi della rete. Per informazioni, vedere la Chapter 3, Using NIS.

SSSD

System Security Services Daemon (SSSD) consente di memorizzare localmente nella cache i dati utente e di utilizzarli anche se il servizio di directory è (temporaneamente) irraggiungibile. Per informazioni dettagliate, vedere Section 4.3, “SSSD”.

Samba

L'autenticazione SMB viene spesso utilizzata in reti miste Linux/Windows. Per informazioni, vedere il Chapter 29, Samba.

Per modificare il metodo di autenticazione, procedere come indicato di seguito:

  1. Aprire la finestra di dialogo Amministrazione utenti e gruppi di YaST.

  2. Fare clic sulla scheda Impostazioni di autenticazione per visualizzare una panoramica dei metodi di autenticazione disponibili e delle impostazioni correnti.

  3. Per modificare il metodo di autenticazione, fare clic su Configura e selezionare il metodo di autenticazione che si desidera modificare. Verrà aperto direttamente il modulo di configurazione client in YaST. Per informazioni relative alla configurazione del client corretto, consultare le sezioni successive:

    NIS:  Section 3.2, “Configuring NIS Clients”

    LDAP:  Section 4.2, “Configuring an Authentication Client with YaST”

    Samba:  Section 29.5.1, “Configuring a Samba Client with YaST”

  4. Dopo aver accettato la configurazione, ritornare alla panoramica Amministrazione utenti e gruppi.

  5. Fare clic su OK per chiudere la finestra di dialogo di amministrazione.